Autor: Andreas Kroier*
Die steigende Zahl an Cyberangriffen stellt Unternehmen vor immense Herausforderungen. Einen Ausweg bieten innovative Ansätze wie Echtzeit-Observability und KI-gestützte Sicherheitssysteme.
Die IT-Infrastruktur der deutschen Unternehmen steht unter Beschuss: Täglich gibt es rund 300.000 neue Schadprogrammvarianten und 78 bisher unbekannte Softwareschwachstellen, so der aktuelle BSI-Lagebericht. Ähnliches berichtet die Bitkom-Studie „Wirtschaftsschutz 2024“: 81 Prozent der Unternehmen waren von Cyberangriffen betroffen, die einen Gesamtschaden von mehr als 266 Milliarden Euro anrichteten.
Um diese Risiken zu vermeiden, benötigen Unternehmen Cyberresilienz. Gemeint ist damit die Fähigkeit einer Organisation, sich effektiv gegen Cyberbedrohungen zu schützen, auf Angriffe zu reagieren und den Betrieb auch bei Störungen oder Ausfällen aufrechtzuerhalten. Dieser Ansatz ist besonders in Branchen wie dem Finanzsektor wichtig.
DORA: Cyberresilienz wird zur Pflicht
Diese Unternehmen sehen sich strengen regulatorischen Vorgaben wie dem Digital Operational Resilience Act (DORA) gegenüber. Das EU-Gesetz ist seit 2023 in Kraft und wird ab Anfang 2025 verbindlich angewendet. Es verpflichtet Finanzinstitute, ihre Informations- und Kommunikationstechnologie (IKT) so zu gestalten, dass sie auch bei schweren Betriebsstörungen funktionsfähig bleiben.
Die Umsetzung dieser Anforderungen ist ohne geeignete Werkzeuge arbeitsintensiv. Finanzdienstleister und die meisten anderen Unternehmen operieren in komplexen Umgebungen mit vielen Anwendungen, Cloud-Services und Lösungen von Drittanbieter. Cyberresilienz umfasst dabei die Aspekte Echtzeit-Datenanalyse, automatisiertes Risikomanagement, Echtzeit-Observability, effiziente Incident-Response-Mechanismen und das Monitoring von Drittanbietern.
Echtzeit-Datenanalyse: Grundlage für präventive Maßnahmen
Grundlegende Voraussetzung für die Cybersicherheit sind Echtzeit-Datenanalysen. Damit können Unternehmen Bedrohungen sofort erkennen und darauf reagieren. Durch die Analyse aktueller Daten aus Metriken, Logs und Traces werden Schwachstellen kontinuierlich überwacht und bewertet, besonders in hybriden und Multicloud-Umgebungen.
Schlüsseltechnologien für Echtzeitanalysen sind Machine-Learning-Algorithmen, die große Datenmengen aus SIEM-Systemen (Security Information and Event Management) besser auswerten. Sie priorisieren Risiken und zeigen Zusammenhänge zwischen Sicherheitsproblemen und betrieblichen Abläufen auf, wodurch die Systemstabilität auch unter Extrembedingungen erhalten bleibt.
Die Weiterentwicklung klassischer SIEM-Systeme reagiert auf neue Anforderungen der Cloud-Sicherheit. Mit Cloud Detection and Response (CDR) sowie Application Detection and Response (ADR) entstehen spezialisierte Werkzeuge für moderne IT-Infrastrukturen. Diese Technologien ergänzen oder ersetzen SIEM-Funktionen durch cloud-native Sicherheitsmechanismen, die auf cloud-basierte Anwendungen zugeschnitten sind.
Wenn Unternehmen darauf aufbauen und die Bewertung von Schwachstellen, Gefährdungen und Compliance-Vorgaben kombinieren, dann schaffen sie ein umfassendes Lagebild. Automatisierte Reaktionsmechanismen überführen die Analyseergebnisse unmittelbar in konkrete Handlungen. Das kann bedeuten, dass die gewonnenen Erkenntnisse gezielt an Entscheidungsträger und operative Teams weitergeleitet werden, sodass eine effektive Handlungskette entsteht. Diese stärkt die Cyber-Resiliienz des Unternehmens nachhaltig.
Automatisiertes Risikomanagement: Beschleunigte Reaktionszeiten
Durch den Einsatz von weiteren KI-Verfahren und Automatisierungstechnologien werden wiederholte Aufgaben effizienter bewältigt, sodass die Reaktionszeit auf Bedrohungen sinkt. Teams werden damit von Routineaufgaben entlastet und können sich auf strategische Aufgaben konzentrieren.
In dynamischen IT-Umgebungen wie hybriden und Multicloud-Architekturen ermöglicht Automatisierung Maßnahmen, um potenzielle Bedrohungen im Vorfeld zu neutralisieren. Security-Lösungen wie Runtime Vulnerability Analytics identifizieren Sicherheitslücken, priorisieren Schwachstellen und leiten selbsttätig Gegenmaßnahmen ein. Die automatisierte Ausführung von Erkennungsmechanismen markiert den Übergang von reaktiver zu präventiver Sicherheit.
Echtzeit-Observability: Frühzeitige Erkennung und Vermeidung von Vorfällen
Echtzeit-Observability ist ein weiterer essenzieller Bestandteil einer robusten Cyberresilienzstrategie. Observability (Beobachtbarkeit) ermöglicht es, komplexe Systeme effizient zu überwachen und potenzielle Probleme schnell zu erkennen. In modernen IT-Umgebungen ermöglicht Observability eine ganzheitliche Sicht auf alle relevanten Systeme.
Im Gegensatz zu herkömmlichen SIEM-Lösungen, die hauptsächlich auf Log-Daten basieren, bezieht Observability ein umfangreicheres Informationsset in die Analyse ein wie Metriken, Events und Traces. Gerade in komplexen Infrastrukturen mit hybriden Clouds, Containerisierung und Microservices wird dieser ganzheitliche Überwachungsansatz immer wichtiger.
Mit einer Observability-Plattform kontrollieren Unternehmen ihre IT kontinuierlich und erreichen einen umfassenden Überblick über Anwendungen, Netzwerke und Komponenten, der über Monitoring hinausgeht. Echtzeit-Observability bietet somit einen umfassenden Ansatz für Cyberresilienz.
Effiziente Incident Response: Verkürzte Ausfallzeiten durch KI-gestützte Prozesse
Trotz aller Präventionsmaßnahmen sind Sicherheitsvorfälle nicht vollständig auszuschließen. Daher ist eine effiziente Incident Response wichtig, um Ausfallzeiten zu minimieren und den normalen Betrieb schnell wiederherzustellen. KI-gestützte Prozesse spielen hierbei eine zentrale Rolle, da sie Vorfälle schneller erkennen und analysieren.
Sie leiten außerdem automatisch entsprechende Maßnahmen ein oder geben den IT-Teams Handlungsempfehlungen. Auch in der Prävention leistet KI einen wichtigen Beitrag. Nach der Analyse von Vorfällen und Mustern können Sicherheitsstrategien angepasst werden, um ähnliche Probleme künftig zu vermeiden – eine resilientere IT-Umgebung ist die Folge.
Integriertes Drittanbieter-Monitoring: Externe Risiken erkennen
Ein häufig unterschätzter Aspekt der Cyberresilienz ist die Überwachung von Drittanbietern. Unternehmen nutzen eine Vielzahl externer Dienstleistern und Anwendungen. Das erhöht die Angriffsfläche erheblich, da Schwachstellen bei Drittanbietern oft Auswirkungen auf die eigene IT-Sicherheit haben. Einige Cyberangriffe richten sich sogar direkt auf typische Drittanbieter-Lösungen wie beispielweise Single-Sign-On-Dienste und können damit unerkannt Eindringlinge in die interne IT einschleusen.
Ein integriertes Drittanbieter-Monitoring erlaubt es, diese Risiken kontinuierlich zu überwachen und proaktiv auf Schwachstellen zu reagieren. Durch Lösungen wie die Runtime Vulnerability Analytics werden potenzielle Sicherheitslücken bei Drittanbietern in Echtzeit identifiziert und priorisiert. Dies reduziert Abhängigkeiten von extern bereitgestellten Sicherheitsinformationen und stärkt die Gesamtsicherheit.
Fazit: Cyberresilienz als Zukunftsinvestition
Die Kombination aus präventiven, automatisierten und reaktiven Ansätzen bildet die Grundlage einer effektiven Cyberresilienz und der erfolgreichen Implementierung von Regulierungen wie DORA. Organisationen müssen sich vor bekannten Bedrohungen schützen und zugleich in der Lage sein, auf neuartige Angriffsmethoden zu reagieren. Cyberresilienz ist deshalb kein endgültiger Zustand, sondern ein fortlaufender Prozess. Unternehmen können damit ihre Sicherheitsstrategie verbessern und ihre Wettbewerbsfähigkeit langfristig stärken – als Investition in ihre Zukunftsfähigkeit.
