Der Begriff Cyber-Resilienz gerät vermehrt in den Fokus aktueller Projekte der IT-Sicherheit. So zielt die am 6. Dezember 2025 in Kraft getretene Netzwerk- und Informationssicherheitsrichtlinie NIS-2 explizit darauf ab, die Resilienz der Kritischen Infrastruktur zu erhöhen. Der Cyber Resilience Act (CRA), der in genau zwei Jahren am 11. Dezember 2027 vollumfänglich verpflichtend wird, trägt die Resilienz sogar im Namen. Dabei geht es eigentlich darum, Produkte im IT-Umfeld im weitesten Sinne sicher zu gestalten. Da geht es mit der Sicherheit und der Resilienz bereits munter durcheinander.
Überhaupt werden in der IT die Begriffe Security und Resilienz oft parallel oder sogar austauschbar verwendet. Dabei gibt es eigentlich eine klare Unterscheidung. Die IT-Sicherheit bezieht sich primär auf das Vorfeld möglicher Angriffe. Es geht vorwiegend darum, Angriffe zu verhindern oder zumindest deutlich zu erschweren. Resilienz hingegen kommt dann ins Spiel, wenn der Angriff bereits erfolgt ist und man den Betrieb trotzdem weiterführen oder zumindest möglichst schnell wieder aufnehmen muss. Dazu gehört insbesondere die Fähigkeit, sich auf Angriffe – oder auch Unfälle oder Naturkatastrophen – einzustellen.
Trotzdem!
"Cyber-Resilienz bedeutet, trotz Angriffen weiter arbeitsfähig zu bleiben", erklärt Samira Taaibi vom Fraunhofer IEM. Taaibi leitet eine Studie zum besseren Verständnis von Resilienz und wie man sie erreicht. Eine ihrer ersten Erkenntnisse dazu ist es, dass es immer noch kein einheitliches Verständnis dessen gibt, was Cyber-Resilienz tatsächlich bedeutet und wie man sie aktiv verbessert. Da gibt es zwar die NIST-Definition, an der sich auch Fraunhofer IEM orientiert:
Die Fähigkeit, widrige Umstände, Belastungen, Angriffe oder Kompromittierungen von Systemen, die Cyberressourcen nutzen oder durch diese ermöglicht werden, zu antizipieren, ihnen standzuhalten, sich von ihnen zu erholen und sich an sie anzupassen.
Doch das hilft Unternehmen oder konkret Software-Entwicklern, die ihre Produkte resilienter machen wollen, wenig weiter. Kompakter formuliert, kann man Cyber-Resilienz so definieren:
Die Fähigkeit einer IT-Infrastruktur-Einheit, ihre Aufgabe trotz Störungen und Angriffen weiter zu erfüllen
Wie funktioniert Resilienz?
Man kann die Umsetzung von Resilienz dann in vier grundlegenden Bereiche unterteilen.
- Antizipieren: Risiken und mögliche Angriffswege frühzeitig erkennen, sich auf Störungen vorbereiten und entsprechende Maßnahmen einplanen.
- Widerstehen: Angriffe oder Störungen abfedern, sodass der Betrieb nicht oder nur eingeschränkt beeinträchtigt wird.
- Wiederherstellen: Dienste nach einem erfolgreichen Angriff schnell und kontrolliert zurück in einen funktionsfähigen Zustand bringen.
- Anpassen: Aus Vorfällen lernen und Systeme so weiterentwickeln, dass ähnliche Angriffe künftig schwerer erfolgreich sind.
Da wird bereits klar, dass es hier um keine statische Eigenschaft geht, die man einmal sicherstellt und dann vergessen kann. Während man einem Produkt die Widerstandsfähigkeit etwa im Rahmen von „Secure by Design“ mit auf den Weg geben kann, erfordert spätestens die Reaktion auf akute Vorfälle in der Regel auch Maßnahmen nach der Inbetriebnahme. Da braucht es dann etwa regelmäßig Mitigations oder Patches für neu entdeckte Sicherheitsprobleme. Und Anpassung benötigt einen Mechanismus, auf die Umgebung und deren Veränderungen so zu reagieren, dass das System insgesamt resistenter wird.
Doch darüber, wie Resilienz in der IT dann ganz praktisch funktioniert und vor allem wie man sie gezielt verbessert, gibt es noch keinen allgemeinen Konsens. An diesem Punkt ist noch Forschung nötig, um das Verständnis zu verbessern – wie Taaibis aktuelle Studie im Rahmen des Forschungsprojekts CyberResilience.nrw. In der geht es darum, wie es um die Cyber-Resilienz in deutschen Organisationen steht; Interessierte können daran übrigens noch bis zum 31.12.2025 teilnehmen.
(ju)
English (US) ·