Cyber Resilience Assessment
Verstehen Sie jetzt den Cyber Resilience-Reifegrad Ihres Unternehmens
Wir wissen:Jeder Cyberangriff bedroht Ihre Existenz. Können Sie Ihren Unternehmensbetrieb nach einem Angriff reibungslos wieder aufnehmen?
Dass Cyber-Angriffe im Prinzip unvermeidbar geworden sind, hat Cyber Resilience mit Inkrafttreten von NIS2 und DORA zu einem faktischen „must-have“ gemacht. Cyberangriffe sind mittlerweile die #1 IT-Bedrohung für Unternehmen und öffentliche Einrichtungen geworden und verursachen einen jährlichen Schaden von >200 mrd. Euro für die deutsche Wirtschaft. Das zeigen auch weitere Statistiken unter anderem aus der Studie "Wirtschaftsschutz 2024" von Bitkom.
Im Kontext zu solchen Zahlen stehen die neuen Compliance-Anforderungen
Diese Bedrohung und das Inkrafttreten von gesetzlichen Anforderungen wie NIS2 und DORA macht eine ausgereifte und bis ins Detail umgesetzte Cyber-Resilience Strategie zu einem „must-have“ für Unternehmen.
Einführung und Umsetzung von NIS2
Die NIS-2-Richtlinie gilt seit 16.01.2023. Sie regelt die IT-Sicherheit in Unternehmen. Das deutsche Umsetzungsgesetz tritt im März 2025 in Kraft.
NIS2 verschärft die Cybersicherheitsanforderungen in der EU unter Sanktionen, um ein einheitliches Sicherheitsniveau in der EU zu gewährleisten. Für die Bereiche Cyber-Risikomanagement, Kontrolle, Überwachung, Incident Management und Business Continuity Management gelten damit strengere Vorgaben. Diese gelten nun für fast alle Unternehmen und Organisationen, als vorher unter der KRITIS-Gesetzesgrundlage. Zudem gelten damit strengere Haftungsregeln für Geschäftsleitungen.
Fazit: NIS2 betrifft nun eine breite Masse an Unternehmen in Deutschland und Europa. Cybersicherheit und Resilienz werden somit zu einem zentralen Thema für viele weitere Unternehmen als bisher unter dem Stichwort KRITIS angenommen.
(Einordnung nach ActiveMind.legal, usd AG und Atos)
DORA (Digital Operational Resilience Act)
DORA ist eine EU-Verordnung zur digitalen operationellen Resilienz im Finanzsektor, trat am 16. Januar 2023 in Kraft und gilt ab 17. Januar 2025 verbindlich für Finanzinstitute und deren IT-Dienstleister mit folgenden Zielen:
- Stärkung der Cyber-Resilienz und IT-Sicherheit im Finanzwesen
- Einheitliche Risikomanagement-Anforderungen für Banken, Versicherungen, Investmentfirmen etc.
- Meldepflicht für Cybervorfälle
- Regulierung von Drittanbietern (z. B. Cloud-Dienstleister)
- Einheitliche EU-weite Standards für digitale Sicherheit
Fazit: DORA zielt auf ein höheres und harmonisiertes Cybersicherheitsniveau im europäischen Finanzsektor ab
Wir setzen Cyber Resilience in den Kontext des NIST-Cyberframeworks als Basis für ein Cyber-Resilience Assessment
- Umfang des Organisationsprofils
- Sammeln benötigter Informationen
- Organisationsprofil erstellen
- Analyse der Schwachstellen und Erstellung eines Aktionsplans
- Aktionsplan umsetzen und Profil aktualisieren
Unser fachlich-Inhaltliches Vorgehen basiert auf den Kategorien des NIST-Frameworks
Cyber Resilience muss als fester Bestandteil der Unternehmensstrategie verankert werden. Es gilt klare Richtlinien zu definieren und Verantwortlichkeiten sowie Kapazitäten zu schaffen.
Durch ein transparentes Risikomanagement-Framework werden fundierte Entscheidungen, regelmäßige Überprüfungen und KPI-basierte Erfolgsmessungen ermöglicht.
Relevante Bereiche des Unternehmens müssen auf Cyberrisiken überprüft werden, indem kritische Assets, Lieferantenrisiken und interne Cyber-Risiken analysiert werden sowie ein gut funktionierendes Datenmanagement sichergestellt wird.
Zur Etablierung von Verbesserungsmechanismen empfehlen wir klare Melde- und Eskalationswege, regelmäßige Testszenarien und ein strukturiertes C-Level-Reporting. So können kontinuierlich Optimierungspotenziale identifiziert werden und Ihr Unternehmen ist besser auf Cyberangriffe vorbereitet.
Cyber Security kann nur sichergestellt werden, wenn Schwachstellen im Identity and Access Management aufgedeckt und die Infrastruktur mit sicheren Architekturen gestärkt wurden. Die Datensicherheit für allen Datentypen bei gespeicherten, übertragenden und aktiven Daten muss garantiert werden und alle gesetzlichen Vorgaben zur Datensicherheit und zum Informationsfluss im Krisenfall müssen eingehalten werden.
Sicherheitsrisiken in Netzwerken, physischen Umgebungen, bei Mitarbeitenden und externen Anbietern sollten kontinuierlich überwacht werden. Durch die Analyse vergangener Events mit KI können verpasste Vorfälle erkannt werden und die Monitoring-Prozesse für eine schnellere Bedrohungserkennung automatisiert werden.
Angemessen auf Vorfälle reagieren bedeutet, Incident-Management-Prozesse zu überprüfen, um eine schnelle Bearbeitung und klare Verantwortlichkeiten sicherzustellen. Ursachen werden analysiert, Maßnahmen abgeleitet und transparent an alle Stakeholder kommuniziert, um die Auswirkungen zu minimieren und IT-bezogene Vorfälle im Kontext der Cyber-Resilience zu behandeln.
Wiederherstellung ermöglichen bedeutet, ein Notfallhandbuch und einen Recovery-Plan zu entwickeln, die alle notwendigen Schritte zur Wiederherstellung der Organisation bei einer Betriebsunterbrechung klar vorgeben. Diese Schritte werden regelmäßig getestet, um ihre Durchführbarkeit zu gewährleisten. Zudem werden die Recovery-Zeiten gemessen, alle Backups nach einem Ransomware-Befall überprüft und automatische Bedrohungserkennungssysteme implementiert, um eine proaktive Wiederherstellung zu ermöglichen.
Kritische Systeme und Prozesse werden definiert und schnellstmöglich wiederhergestellt. Wiederhergestellte Assets gelten nur als funktionsfähig, wenn ihre Verfügbarkeit verifiziert wurde. Es werden klare Kriterien festgelegt, wann ein Problem als gelöst gilt, sowie Kommunikationspläne für den gesamten Wiederherstellungsprozess entwickelt.
Hands-on mit Empalis: Cyber Resilience Assessment
In einigen Branchen - wie in vielen Industrieunternehmen beispielsweise – führt die Auffassung, hier handele es sich um ein reines Compliance-Thema, Umsetzungsmaßnahmen an. Anderen, wie dem Finanzsektor, ist ihre Relevanz für die Sicherung der Business Continuity im Sinne eines Risikomanagements im Unternehmen klar geworden.
Entsprechend fallen die Reaktionen auf die aktuelle Bedrohungslage unterschiedlich aus, so dass der „Cyber Resilience-Reifegrad“ der Unternehmen in Deutschland recht unterschiedlich ausfällt.
Die Frage, was zu tun ist, erscheint mit Blick auf das NI2-Security Mapping komplex und umfassend.
Hierzu bietet das Empalis Cyber Resilience Assessment die Prüfung geeigneter Maßnahmen aus einer Hand. Mit unserem ganzheitlichen Beratungsansatz führen wir unsere Kunden durch ihre Cyber-Resilience Journey.
- Strukturierte Interviews mit relevanten Stakeholdern
- Bewertung der relevanten Geschäftsprozesse
- Auswertung des aktuellen Status Quo im Bereich Cyber-Resilience
Kritikalität der Daten/Anwendungen
Anforderungen an Datenverfügbarkeit/ Klassifizierung der Daten
Anforderung an Cyber-Resilienz
Kaufmännische Anforderungen
- Erarbeitung Zielsetzung und weiteres Vorgehen
- Präsentation der Ergebnisse im Management
- Vorstellung mögliches Zielbild durch Empalis
- Gemeinsame Definition von Prioritäten und Zielen
- Planung des Zukunft Modells gemeinsam mit Verantwortlichen
- Sicherstellung der Einhaltung regulatorischer Vorgaben (NIS2, DORA) und Cyber-Resilience Standards
- Feinplanung zur Umsetzung der definierten Anforderungen
- Umsetzung der Strategie im Unternehmen durch Empalis
- Regelmäßige Management Meetings inklusive Status Updates
- Enablement der Organisation durch Trainings
Begleitung der operativen Umsetzung mit unseren Fachexperten
Implementierung der technischen und prozessualen Lösungen
Enablement der Organisation/ des Providers für den Betrieb der Lösung durch Trainings
- Einführung von KPIs zur regelmäßigen Prüfung der Cyber-Resilience im Unternehmen
- Regelmäßige Überprüfung der umgesetzten Maßnahmen
- Betreuung operativer Prozesse durch Managed-Services
- Regelmäßige Überprüfung der technischen Standards
- Durchführung von nötigen Verbesserungen und Veränderungen
Wie läuft das Cyber Resilience Assessment genau ab? - Das Format im Detail
Das Assessment setzt sich zusammen aus
- Management Workshop
- Interviews mit Stakeholdern (Compliance-Manager, IT-Security Manager, ...)
- Fragebogenverteilung mit weiterführende Fragen an relevante Rollen
- Variabel nach Fall die technische Prüfung einzelner Infrastrukturkomponenten (bestehende Infrastrukturen, Prüfung in Hinblick auf Widerstandsfähigkeit auf Ransomware-Angriffe)
Die Phasen des Cyber Resilience Assessments
Ramp-Up Phase
In dieser Phase werden unsere Berater in Ihrem Unternehmen für das Projekt aufgegleist.
Wir erstellen einen Projektplan, definieren gemeinsam die wichtigsten Meilensteine des Projekts und verständigen uns auf die Mitglieder des Projektteams sowie weitere wichtige Stakeholder.
Phase 1
Gemeinsam mit dem Management und relevanten Stakeholdern wird ein Cyber Resilience-Workshop durchgeführt, in dem es gilt, einen gemeinsamen Blick auf das Thema Cyber Resilience zu entwickeln.
Es wird erörtert, wie das Unternehmen in diesem Bereich aus strategischer Sicht bereits aufgestellt ist, von welchen gesetzlichen Anforderungen Sie betroffen sind, erste Fokusthemen identifiziert und Ziele für das weitere Vorgehen definiert.
Phase 2
Mithilfe von Interviews und Fragebögen wird in verschiedenen Abteilungen des Unternehmens eine detaillierte Bestandsaufnahme durchgeführt.
Der Input der einzelnen Bereiche fließt mit einer bestimmten Gewichtung in das Bewertungssystem ein. Sollte Ihr Unternehmen von NIS2 oder DORA betroffen sein, fließen die Spezifika dieser Reglements mit in die Fragestellung ein.
Zur genaueren Evaluierung der einzelnen Themenbereiche werden weitere Dokumente wie Notfallpläne Zertifikate, Prozessdokumentationen, Schulungen, Architekturdokumente und Verträge zusammengetragen und analysiert.
Speziell im Bereich Desaster Recovery bieten wir optional eine weitere technische Analyse an in welcher wir das aktuelle technische Setup mit besonderem Augenmerk auf das Thema Cyberangriffe analysieren. Sobald der benötigte Input gesammelt wurde, geht es in die Beurteilungsphase des Projekts.
Phase 3
In der letzten Phase des Projekts werden die gesammelten Informationen verarbeitet und es wird eine Gap-Analyse entwickelt, in welcher die Ergebnisse konsolidiert werden und die kritischsten Punkte jedes Bereichs herausgestellt werden.
Aus den finalen Ergebnissen dieser Gap-Analyse entwickeln wir klare Handlungsempfehlungen und potenzielle Lösungsmöglichkeiten, gemeinsam mit uns oder einem unserer Partner.
Die Ergebnisse werden den vereinbarten Stakeholdern präsentiert und wir erarbeiten gemeinsam einen Fahrplan um die Handlungsempfehlungen entsprechend Ihrer Priorität im Unternehmen umzusetzen.
Wir sind dabei Ihr zuverlässiger und erfahrener Partner für die beste Cyber-Resilience Strategie
Mit unseren Partnern helfen wir Ihnen, Ihre Backup-Infrastruktur cyberresilienter aufzustellen
Zufriedene Kunden im Desaster Recovery Umfeld in der Cloud: Empalis – Ihr verlässlicher Partner
Deutscher Automobilzulieferer
Carve-out aus dem ausländischen Mutterkonzern inklusive Cloud Migration zur technischen Neuorientierung
Situation
- Infrastruktur gehostet bei externem Provider
- Zielinfrastruktur sollte in M365 abgebildet werden
- Active-Directory soll für unternehmensweite Authentifizierung genutzt werden
- Backups der aktuellen Lösung in TSM
- Fragestellung: Wie kann eine cyberresiliente Desaster Recovery Lösung für das Cloud Umfeld etabliert werden?
Tätigkeiten Empalis
- Aufsetzen der Backup Strategie
- Aufsetzen der neuen Backup Infrastruktur im Cloud Umfeld
- Migration der Daten aus der alten Infrastruktur in die neue Infrastruktur durch die Empalis
- Betrieb der Backup Lösung
Deutsches Familienunternehmen
Probleme mit neu eingekaufter Desaster Recovery Lösung nach Cloud Migration
Situation
- Neu eingekauftes Sicherungsprodukt funktionierte in der Cloud nicht
- Ziel war es Daten mehrerer Standorte Zentral an den Hauptstandort zu sichern und über die Cloud verfügbar zu machen
- Empalis wurde bei Problemen nach der Migration beratend hinzugezogen
- Fragestellung: Wie bekommen wir unsere Sicherungsumgebung NIS2 Konform funktionsfähig?
Tätigkeiten Empalis
- Beratung einer NIS2 konformen Desaster Recovery Strategie
- Neuaufsetzen der Disaster Recovery Lösung durch Empalis (Tiering, S3…)
- Aufbau der zentralen Cloud Backup Instanz für die Landesgesellschaften
- Sicherung der Daten zusätzlich in einer zentralen Azure Instanz
- Schulung der Mitarbeiter und Übergabe des Betriebs an den Kunden
- Regelmäßiger Support
Empalis ist exklusiver Predatar-Partner
- "Single Point of Truth" für Ihre Datensicherung
- Einblick in den Fortschritt bei Backup und Recovery
- Möglichkeit zur Remote-Überwachung
- Einblicke in Ihren Storage und Ihre Infrastruktur
- Proaktive Warnung vor potenziellen Problemen und Risiken
- Unabhängige Testund und Planung Worst Case Szenarios-Anbieter
- Malware-Erkennung in Backups, Clean-up der Backups
Empalis ist Veeam Gold Service Provider Partner
- Full-Service-Angebot: Beratung, Implementierung und Betrieb aus einer Hand inkl. Deutschem Support
- Spezifische Expertise mit allen Veeam Lösungen (z.B. Veeam Rechovery Orchestrator, Veeam Backup Enterprise Manager)
- Setup von cyberresilienten Desaster Recovery Lösungen auch in Kombination mit anderen Lösungen wie TSM
- Projekt Management und Review von Implementierung durch andere Provider, sowie Betriebsüberwachung
Sie wollen mehr erfahren? Kontaktieren Sie mich gern direkt.
Philip Röder, Key Account Manager & Business Development
Telefon +49 162 4196789