Resilienz kann als die Fähigkeit beschrieben werden, Rückschläge vorherzusehen, zu erkennen, darauf zu reagieren, sie zu bewältigen und sich davon zu erholen.
Es handelt sich um eine Eigenschaft, die wir als positive Charaktereigenschaft von Menschen kennen, die jedoch nun gesetzlich von Organisationen gefordert wird, die eine Rolle bei der Bereitstellung von Dienstleistungen und Ressourcen spielen, die für die Gesellschaft und das Funktionieren von Wirtschaftssystemen entscheidend sind. In diesem Beitrag untersuchen wir die Gründe, warum Widerstandsfähigkeit in die Operationen kritischer Einrichtungen und deren gesamte Wertschöpfungsketten integriert werden muss. Die Möglichkeiten, wie die Abläufe einer Organisation gestört werden können, sind zahlreich und nehmen täglich zu.
Die Verbreitung von Cyberangriffen, angetrieben durch die „Kommerzialisierung“ von Ransomware, ist ein weiteres offensichtliches Beispiel. Doch nicht alle potenziellen Unterbrechungen sind krimineller Natur. Menschliches Versagen und Unfälle bleiben die häufigste Ursache für operative Unterbrechungen.
Auch ein Mangel an Rohstoffen und Störungen in global vernetzten Lieferketten können unmittelbare Auswirkungen haben. Ich bin sicher, wir alle erinnern uns an das Chaos, das entstand, als das Frachtschiff Ever Given 2021 sechs Tage lang im Suezkanal feststeckte. Die Liste setzt sich fort mit Problemen wie dem Ausfall wichtiger Maschinen und Prozesse, geopolitischen Konflikten, Handelskriegen und mehr.
Die Notwendigkeit von Widerstandsfähigkeit ist daher zu einer Priorität für alle Organisationen geworden. Für diejenigen, die einen Teil der kritischen Infrastruktur eines Landes bereitstellen, ist Widerstandsfähigkeit jedoch so wichtig geworden, dass sie zu einem regulatorischen Imperativ geworden ist.
Aus diesem Grund hat sich der Fokus von „kritischer Infrastruktur“ auf „kritische Einrichtungen“ erweitert, wodurch jede Organisation erfasst wird, die eine Rolle, sei sie auch noch so klein, bei der Unterstützung einer wachsenden Liste von Industrien spielt, die als zentral für das wirtschaftliche oder gesellschaftliche Wohl eines Landes definiert sind.
Die zunehmenden regulatorischen Anforderungen an kritische Einrichtungen
In Europa werden die auf Cybersicherheit fokussierte NIS2-Richtlinie und die weiter gefasste Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (CER) nun in den EU-Mitgliedstaaten als Gesetz umgesetzt. Diese stellen erhebliche Anforderungen an Organisationen, die als „kritische Einrichtungen“ definiert sind. Dabei handelt es sich um Organisationen, die in irgendeiner Weise an der Bereitstellung dessen beteiligt sind, was als essenzielle Dienste zur Aufrechterhaltung zentraler gesellschaftlicher Funktionen, zur Unterstützung der Wirtschaft, zur Sicherstellung der öffentlichen Gesundheit und Sicherheit und zum Schutz der Umwelt angesehen wird.
Die beiden Richtlinien sind eng miteinander verbunden, und es ist das erste Mal, dass zwei Richtlinien dieselbe und klar definierte Liste kritischer Einrichtungen betreffen. Darüber hinaus gelten die Gesetze auch für die gesamten Lieferketten dieser Organisationen, wodurch die Reichweite der Richtlinien erheblich erweitert wird.
Definition (und Nachweis) von „Resilienz“
Die CER-Richtlinie der Europäischen Kommission definiert Widerstandsfähigkeit als die „Fähigkeit einer kritischen Einrichtung, einen Vorfall zu verhindern, sich dagegen zu schützen, darauf zu reagieren, ihm zu widerstehen, ihn zu mildern, zu absorbieren, sich anzupassen und sich davon zu erholen.“
Die Definition selbst verdeutlicht die Breite der Anforderungen. Darüber hinaus, wenn die Vielfalt und Anzahl der Ursachen für potenzielle Unterbrechungen der Operationen berücksichtigt werden, zusammen mit der Notwendigkeit, sicherzustellen, dass die Lieferkette einer Organisation diese Definition von Widerstandsfähigkeit unterstützt, wird das Ausmaß der Herausforderung deutlich.
Auf einer grundlegenden Ebene müssen kritische Einrichtungen nachweisen, dass sie ein umfassendes Verständnis aller potenziellen Risiken haben, denen sie ausgesetzt sind. Diese Risiken reichen von einem physischen Angriff auf die Infrastruktur bis hin zu einem Ausfall eines kritischen Maschinenteils oder einer Komponente und allem dazwischen.
Umfassende Risikobewertungen und die potenziellen Kosten von Verstößen
Kritische Einrichtungen müssen alle vier Jahre eine Risikobewertung der Entwicklung dieser Risiken durchführen und erneut alle relevanten Risiken bewerten, die die Bereitstellung ihrer essenziellen Dienste unterbrechen könnten.
Unvermeidlich wird die Risikobewertung, die von den kritischen Einrichtungen selbst durchgeführt wird, auch die Rolle der Widerstandsfähigkeit ihrer eigenen Lieferketten aufzeigen. Dies wird einen „Dominoeffekt“ von Risikobewertungen auslösen, da die Bemühungen der kritischen Einrichtungen, die Anforderungen der Richtlinien in Bezug auf Widerstandsfähigkeit zu erfüllen, ihre Lieferanten dazu veranlassen, einen ähnlich robusten Ansatz zu demonstrieren.
Sollte ein Vorfall eintreten, der die Bereitstellung essenzieller Dienste unterbricht, müssen kritische Einrichtungen nachweisen, dass sie die geeigneten Maßnahmen ergriffen haben, um den Vorfall zu vermeiden, darauf zu reagieren und sich davon zu erholen.
Sollten solche essenziellen Einrichtungen bei einem Verstoß oder Versäumnis, alle Risiken angemessen zu berücksichtigen und sich darauf vorzubereiten, ertappt werden, sind die potenziellen Strafen erheblich. NIS2 definiert mögliche Bußgelder von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes des vorhergehenden Geschäftsjahres des Mutterunternehmens oder der Gruppe, zu der die kritische Einrichtung gehört, je nachdem, welcher Betrag höher ist. Die Strafen für Verstöße gegen CER werden von den einzelnen Nationen festgelegt, könnten aber leicht ähnlich hoch ausfallen wie die von NIS2.
Offenheit in der Kommunikation ist eine weitere Anforderung der Richtlinien. Jegliche Vorfälle müssen gemeldet werden, und die Berichte müssen offen und transparent über die Art des Vorfalls, die Reaktion und die Lösung informieren. Dies liegt im Interesse anderer Organisationen, aus den Erfahrungen zu lernen und ihre eigenen Ansätze zur Risikominderung anzupassen.
Unterstützung des Bedarfs an Widerstandsfähigkeit durch Netzwerktechnologien
Bei der Erfüllung des Bedarfs an Widerstandsfähigkeit überdenken kritische Einrichtungen die Nutzung von IP-basierten Technologien, die sie bereits im Einsatz haben – einschließlich Videoüberwachungskameras, Audiogeräte, Zutrittskontrolllösungen, Gegensprechanlagen, Umweltsensoren und mehr – zusammen mit zunehmend fortschrittlichen Analysefähigkeiten.
Fast jeder Aspekt der Definition von Widerstandsfähigkeit kann durch solche Technologien unterstützt werden, einschließlich der Risikobewertungen selbst. Die Daten und Metadaten, die von Netzwerkvideos und anderen verbundenen Geräten und Sensoren erzeugt werden, können analysiert werden, um ein Bewusstsein für fast jede Situation zu schaffen, die ein Risiko darstellen könnte, ein wesentlicher Faktor beim Nachweis der von der Regulierung geforderten Widerstandsfähigkeit.
Dank Fortschritten in der Bildqualität und KI-gestützten Analysen wurde die Fähigkeit, Probleme aller Art frühzeitig zu erkennen, erheblich verbessert. Der digitale Informationsstrom, wenn er richtig gemanagt wird, erhöht das allgemeine Bewusstsein, was entscheidend ist, um Probleme vorherzusehen und zu vermeiden. Automatisierte Warnungen ermöglichen eine schnelle Reaktion und gezielte Maßnahmen, sodass Bedrohungen und potenzielle Probleme behoben werden können, bevor sie zu Vorfällen werden.
Reduzierung des gesamten Risikospektrums
Während traditionelle Sicherheitsanwendungen ein offensichtliches Beispiel dafür sind, wo Videoüberwachung eine zentrale Rolle gespielt hat, unterstützt ein besseres Verständnis und die Fähigkeit, die Umgebung zu analysieren, zahlreiche Anwendungsfälle im Bereich Gesundheit und Sicherheit sowie in der betrieblichen Effizienz.
Wenn sie eingesetzt werden, um in Produktionsbereichen eine zusätzliche Transparenzschicht hinzuzufügen, können die Kombination von Sensoren – Video, Audio und Thermal – frühzeitig vor Problemen bei kritischen Vermögenswerten, wie wichtigen Maschinen oder Prozessen, warnen. Dies ermöglicht eine Behebung vor einem potenziellen Ausfall, und die im Laufe der Zeit gesammelten Daten unterstützen die vorausschauende Wartung kritischer Vermögenswerte.
Verstöße gegen relevante Gesundheits- und Sicherheitsprozesse stellen ebenfalls ein erhebliches Risiko dar, da jeder Vorfall wahrscheinlich zu einer Unterbrechung des Betriebs führt. Eine robuste Zutrittskontrolle – die sicherstellt, dass nur autorisiertes Personal Zugang zu sensiblen Bereichen einer Anlage erhält – zusammen mit Analysen, um sicherzustellen, dass geeignete Gesundheits- und Sicherheitsmaßnahmen eingehalten werden, sind nur zwei Beispiele dafür, wie Netzwerktechnologie helfen kann, interne Risiken zu mindern.
Physische Angriffe durch externe Parteien erregen oft Aufmerksamkeit, aber die meisten Vorfälle, die zu Betriebsunterbrechungen führen, sind das Ergebnis interner Handlungen oder Fehler, meist unschuldig, manchmal jedoch absichtlich. Studien haben beispielsweise immer wieder gezeigt, dass menschliches Versagen für den weitaus größten Teil der Cyberangriffe verantwortlich ist, und dasselbe gilt oft für Gesundheits- und Sicherheitsvorfälle, Maschinenausfälle oder Engpässe in der Lieferkette.
Cybersicherheit bleibt ein zentraler Risikobereich
Es ist entscheidend, dass alle Technologien, die von kritischen Einrichtungen genutzt werden, die Gesamtsicherheitsstruktur der Organisation unterstützen und dazu beitragen, das Risiko von Cyberangriffen zu reduzieren. Ein Gerät, das zur Sicherung eines Aspekts der Operationen einer kritischen Einrichtung entwickelt wurde, sollte selbst kein Risiko oder keine Schwachstelle darstellen. Geräte sollten sowohl sicher im Design sein als auch Prozesse haben, um sie während ihrer gesamten Lebensdauer so sicher wie möglich zu halten, wobei Hersteller und kritische Einrichtung eng zusammenarbeiten.
Dies wird zunehmend durch Vorschriften, sowohl allgemeine als auch spezifische, vorgeschrieben. Dazu gehören das Europäische Cyber-Resilienz-Gesetz, das für jedes elektronische Gerät gilt, das direkt oder indirekt mit einem Netzwerk verbunden ist, von einem intelligenten Lautsprecher zu Hause bis zu einem Server in einem Rechenzentrum, sowie solche wie CER und NIS2 mit spezifischerer Relevanz für kritische Einrichtungen. Die Zusammenarbeit mit Herstellern, die ein klares Bekenntnis zur Transparenz in Sachen Cybersicherheit zeigen, ist entscheidend.
Resilienz ist jetzt ein Muss, keine Option
Jede Organisation sollte ein Interesse daran haben, ihre Resilienz zu erhöhen. Im besten Fall kann jede Unterbrechung des Betriebs kurzfristige Auswirkungen auf die Rentabilität haben. Im schlimmsten Fall kann sie das gesamte Geschäft der Organisation gefährden. Die Kosten können direkt und indirekt, greifbar und ungreifbar, vorhersehbar und unvorhersehbar sein. Die langfristigen Kosten für den Ruf einer Organisation können die kurzfristigen finanziellen Auswirkungen bei weitem überwiegen.
In Bezug auf kritische Einrichtungen – vom Gesundheitswesen bis zur Finanzbranche, von der Wasseraufbereitung bis zur Energieversorgung – haben die Regulierungsbehörden die Ernsthaftigkeit der potenziellen Auswirkungen von Unterbrechungen bei der Bereitstellung dieser Dienste erkannt. Eine Bedrohung der Rentabilität ist eine Sache: eine Bedrohung der öffentlichen Gesundheit eine ganz andere.
Die Richtlinien sollten als positiv angesehen werden, aber der Aufwand, der erforderlich ist, um sie zu erfüllen, darf nicht unterschätzt werden. Während größere kritische Einrichtungen und Organisationen den Weg bereits begonnen haben, haben viele andere in der Lieferkette der kritischen Infrastruktur dies noch nicht getan. Die Richtlinien umfassen eine Vielzahl von kleinen und mittleren Unternehmen, von denen viele möglicherweise nicht über das Wissen, die Expertise und die Fähigkeiten verfügen, um sie einzuhalten. Expertise und Fähigkeiten von Drittanbietern stehen zur Verfügung, um zu helfen, aber die Nachfrage danach könnte bald das Angebot übersteigen. Die Zeit zu handeln ist jetzt.
