IT-Resilienz vs. IT-Sicherheit: Wo liegt der Unterschied?

Die kla­re Abgren­zung #

IT-Sicher­heit ant­wor­tet auf die Fra­ge: Wie ver­hin­dern wir einen Angriff? Sicher­heit ist prä­ven­tiv. Sie ver­sucht, Ein­dring­lin­ge drau­ßen zu hal­ten — durch Authen­ti­fi­zie­rung, Auto­ri­sie­rung, Ver­schlüs­se­lung, Log­ging und Thre­at Detection.

IT-Resi­li­enz ant­wor­tet auf die Fra­ge: Wie stel­len wir uns wie­der her, wenn Prä­ven­ti­on fehlschlägt? Resi­li­enz ist reak­tiv. Sie akzep­tiert, dass Prä­ven­ti­on nicht 100% ist, und berei­tet sich auf schnel­le Wie­der­her­stel­lung vor.

Die Unter­schei­dung ist nicht seman­tisch — sie ist stra­te­gisch. Ein Sys­tem kann sehr sicher sein und trotz­dem nicht resi­li­ent. Ein Bei­spiel: Ein hoch­ver­schlüs­sel­tes, authen­ti­fi­zier­tes und über­wach­tes Cloud-Spei­cher-Sys­tem, das aber täg­lich (oder noch schlim­mer, kon­ti­nu­ier­lich) mit dem Online-ERP syn­chro­ni­siert wird. Wenn der Angrei­fer das ERP kom­pro­mit­tiert und die Daten ver­schlüs­selt, repli­ziert die­se Ver­schlüs­se­lung in weni­gen Minu­ten auch in den Cloud-Spei­cher. Das Sys­tem war sehr sicher — aber völ­lig nicht-resi­li­ent, weil es kei­ne iso­lier­te Back­up-Kopie hatte.

Das Pre­vent-Detect-Respond-Reco­ver Frame­work #

Um Sicher­heit und Resi­li­enz zu inte­grie­ren, den­ken Pro­fis in einem 4‑Stu­fen-Frame­work:

Pre­vent (Sicher­heit): Maß­nah­men, um Angrif­fe zu erschweren.

• Patch-Manage­ment und Vul­nerabi­li­ty Management
• End­point Detec­tion & Respon­se (EDR)
• Zero Trust und Micro-Segmentierung
• Mul­ti-Fak­tor-Authen­ti­fi­zie­rung
• Employee Secu­ri­ty Awareness

Der Schlüs­sel: Die­se Maß­nah­men redu­zie­ren Angriffs­flä­che, aber sie eli­mi­nie­ren Risi­ko nicht.

Detect (Sicher­heit + Über­wa­chung): Die Fähig­keit, Ein­drin­gun­gen schnell zu erkennen.

• SIEM (Secu­ri­ty Infor­ma­ti­on & Event Management)
• Net­work Detec­tion & Respon­se (NDR)
• Thre­at Intel­li­gence und Beha­vi­oral Analytics
• Secu­ri­ty Ope­ra­ti­ons Cen­ter (SOC)

Der Schlüs­sel: Je schnel­ler Sie einen Angriff bemer­ken, des­to weni­ger Scha­den entsteht.

Respond (Resi­li­enz-Vor­be­rei­tung): Der struk­tu­rier­te Umgang mit erkann­tem Angriff.

• Inci­dent Respon­se Plan
• Kla­re Rol­len und Eskalationspfade
• Foren­sik-Kapa­zi­tät
• Kom­mu­ni­ka­ti­ons­plan (intern, extern, Behörden)
• Kri­sen­ma­nage­ment-Struk­tur

Der Schlüs­sel: Reak­ti­ons­ge­schwin­dig­keit mini­miert Scha­dens­aus­maß wäh­rend des Angriffs.

Reco­ver (Resi­li­enz): Die tech­ni­sche Fähig­keit, zu einem bekann­ter­ma­ßen siche­ren Zustand zurückzukehren.

• Back­up-Manage­ment mit iso­lier­ter (Air-Gap) Ebene
• Reco­very-Run­books und Wiederherstellungs-Verfahren
• Iso­lier­te Reco­very-Umge­bung (IRE) ohne Netzwerk-Zugang
• Regel­mä­ßi­ge Reco­very-Tests (vier­tel­jähr­lich)
• Veri­fied Reco­vera­bi­li­ty (nicht nur theo­re­tisch, son­dern getestet)

Der Schlüs­sel: Wenn Prä­ven­ti­on, Detek­ti­on und Reak­ti­on ver­sa­gen, ist Reco­very die letz­te Verteidigungslinie.

Typi­scher Feh­ler: Nur in Prä­ven­ti­on inves­tie­ren #

Vie­le IT-Teams fokus­sie­ren exklu­siv auf die Pre­vent-Pha­se. Sie imple­men­tie­ren EDR, SIEM, Seg­men­tie­rung — alles sehr sinn­voll. Aber sie ver­nach­läs­si­gen Recovery:

• Kei­ne iso­lier­te Back­up-Ebe­ne (Tier 2)
• Kei­ne Back­up-Iso­la­ti­on vom Produktionsnetzwerk
• Kei­ne regel­mä­ßi­gen Recovery-Tests
• Kei­ne iso­lier­te Reco­very-Umge­bung (Zone 3)

Das ist wie ein Haus mit exzel­len­ten Schlös­sern zu bau­en — aber ohne Feuerlöscher.

Die Kon­se­quenz: Wenn Ran­som­wa­re ein­dringt (und sie wer­den ein­drin­gen), sind die Back­ups genau­so ver­schlüs­selt wie die Pro­duk­ti­ons­da­ten. Reco­very ist unmög­lich, und Löse­geld wird wahr­schein­lich gezahlt.

Kon­se­quenz bei Feh­len von Resi­li­enz #

Die Zah­len sind beun­ru­hi­gend: 56% der Ran­som­wa­re-Opfer zah­len Löse­geld (Sophos 2024). Das ist nicht irra­tio­nal — wenn Reco­very unmög­lich ist, wird Löse­geld ratio­na­le Wirtschaft.

Aber es ist auch ein Sym­ptom dafür, dass zu vie­le Orga­ni­sa­tio­nen kein ver­trau­ens­wür­di­ges Resi­li­enz-Pro­gramm haben. Mit guter Resilienz:

• Reco­very wird mög­lich in Stun­den bis Tagen (nicht Wochen)
• Löse­geld wird unnötig
• Geschäft kann schnell weitergehen
• Kun­den­aus­fall­zei­ten sind minimal

Ohne gute Resilienz:

• Reco­very ist unmög­lich oder dau­ert Wochen
• Löse­geld wird zur Frage
• Geschäfts­un­ter­bre­chung ist gravierend
• Kun­den­ab­gang und Reputationsschaden
• Regu­la­to­ri­sche Stra­fen (NIS2 §30, DORA)

Die Kom­ple­men­ta­ri­tät bei­der Dis­zi­pli­nen #

Die bes­te Pra­xis ist nicht ​“Sicher­heit ODER Resi­li­enz”. Es ist ​“Sicher­heit UND Resilienz”.

Sicher­heit redu­ziert die Wahr­schein­lich­keit eines Angriffs. Mit guter Prä­ven­ti­on sinkt Ihre Angriffs-Expos­re erheblich.

Resi­li­enz redu­ziert die Aus­wir­kun­gen eines Angriffs. Mit guter Wie­der­her­stel­lungs-Fähig­keit wird selbst ein erfolg­rei­cher Angriff begrenzt.

Ein ein­fa­ches Sze­na­rio: Ein gut geschütz­tes Unter­neh­men mit schwa­cher Resi­li­enz wird von einem fort­ge­schrit­te­nen Angrei­fer mit 1% Wahr­schein­lich­keit getrof­fen — erlei­det dann aber 10 Mio. EUR Scha­den. Ein Unter­neh­men mit weni­ger Sicher­heit (3% Angriffs-Wahr­schein­lich­keit) aber guter Resi­li­enz erlei­det nur 500.000 EUR Scha­den pro Angriff. Lang­fris­tig zahlt sich eine Balan­ce aus.

Häu­fi­ge Fra­gen #

Ist EDR Sicher­heit oder Resilienz? EDR (End­point Detec­tion & Respon­se) ist tech­nisch Sicher­heit (Prevent/​Detect) — aber es kon­tri­bu­iert auch zu Resi­li­enz, weil eine schnel­le Detek­ti­on eine schnel­le­re Reak­ti­on ermöglicht.

Ist Back­up Resilienz? Back­up ist not­wen­dig für Resi­li­enz, aber nicht hin­rei­chend. Ein Back­up ohne Iso­la­ti­on vom kom­pro­mit­tier­ten Netz­werk ist nutz­los bei Ran­som­wa­re. Back­up ist also Infra­struk­tur für Resilienz.

Kön­nen wir auf IT-Sicher­heit ver­zich­ten, wenn wir gute Resi­li­enz haben? Nein. Ohne Prä­ven­ti­on wer­den Sie per­ma­nent ange­grif­fen, und selbst gute Resi­li­enz wird über­wäl­tigt. Die bes­te Pra­xis ist beide.

---