Was ist IT-Resilienz? Definition und Abgrenzung

Die 5 Dimen­sio­nen der IT-Resi­li­enz #

IT-Resi­li­enz lässt sich in fünf kom­ple­men­tä­re Dimen­sio­nen aufteilen:

1. Prä­ven­ti­on (Pre­vent): Maß­nah­men, um Angrif­fe zu erschwe­ren — Patch-Manage­ment, End­point Detec­tion & Respon­se (EDR), Netz­werk-Seg­men­tie­rung, Mul­ti-Fak­tor-Authen­ti­fi­zie­rung. Die Prä­ven­ti­on ist not­wen­dig, aber nicht hinreichend.

2. Detek­ti­on (Detect): Die Fähig­keit, Ein­drin­gun­gen, Anoma­lien und Sicher­heits­ver­let­zun­gen schnell zu erken­nen. SIEM-Sys­te­me, Net­work Detec­tion & Respon­se (NDR), Thre­at Intel­li­gence und Log­ging sind Werk­zeu­ge der Detek­ti­on. Der Schlüs­sel: Je schnel­ler Sie einen Angriff erken­nen, des­to begrenz­ter der Schaden.

3. Reak­ti­on (Respond): Der struk­tu­rier­te Umgang mit einem erkann­ten Angriff — Inci­dent Respon­se Plan, IR-Team, Eska­la­ti­ons­pro­zes­se, Foren­sik. Reak­ti­on mini­miert den zeit­li­chen Scha­den wäh­rend eines akti­ven Angriffs.

4. Wie­der­her­stel­lung (Reco­ver): Die tech­ni­sche Fähig­keit, Sys­te­me aus einem bekann­ter­ma­ßen siche­ren Zustand wie­der­her­zu­stel­len — Back­up-Manage­ment, Reco­very-Run­books, iso­lier­te Reco­very-Umge­bun­gen, regel­mä­ßi­ge Reco­very-Tests. Dies ist das Kern­stück der Cyber-Resi­li­enz, da die meis­ten ande­ren Maß­nah­men bei einem voll­stän­di­gen Kom­pro­miss versagen.

5. Anpas­sung (Adapt): Der kon­ti­nu­ier­li­che Pro­zess von Post-Inci­dent Reviews, Les­sons Lear­ned, Table­top Exer­ci­s­es und Archi­tek­tur-Ver­bes­se­run­gen. Orga­ni­sa­tio­nen ler­nen aus Angrif­fen (ihren eige­nen oder denen ande­rer) und pas­sen ihre Sys­te­me an.

IT-Resi­li­enz vs. Hoch­ver­füg­bar­keit #

Das ist die häu­figs­te Ver­wechs­lung. Hoch­ver­füg­bar­keit bedeu­tet, dass ein Sys­tem stets ver­füg­bar ist — durch Red­un­danz, Fail­over und Last­ver­tei­lung. Ein hoch­ver­füg­ba­res Sys­tem kann ²⁴⁄₇ erreich­bar sein, aber völ­lig kom­pro­mit­tiert sein. Ein Bei­spiel: Ein Web­ser­ver mit per­fek­tem Fail­over kann trotz­dem alle Daten an einen Hacker trans­mit­tie­ren, ohne off­line zu gehen.

IT-Resi­li­enz küm­mert sich nicht pri­mär um Ver­füg­bar­keit — son­dern um Wie­der­her­stell­bar­keit aus einem siche­ren Zustand. Eine resi­li­en­te Infra­struk­tur kann bewusst off­line gehen, um sich zu berei­ni­gen, und dann aus gesi­cher­ten, veri­fi­zier­ten Back­ups wie­der­her­ge­stellt werden.

Ein Merk­mal: Hoch­ver­füg­ba­re Sys­te­me kön­nen Angrif­fe unbe­merkt ampli­zie­ren, weil sie kon­ti­nu­ier­lich repli­kie­ren. Resi­li­en­te Sys­te­me tren­nen sich vom Netz­werk, um Sicher­heit zu priorisieren.

IT-Resi­li­enz vs. IT-Sicher­heit #

Dies ist eine wich­ti­ge kon­zep­tu­el­le Grenz­li­nie. IT-Sicher­heit ist prä­ven­tiv — sie ver­sucht, Bedro­hun­gen zu ver­hin­dern. IT-Resi­li­enz ist reak­tiv — sie akzep­tiert, dass Prä­ven­ti­on fehl­schla­gen wird, und berei­tet sich auf die Wie­der­her­stel­lung vor.

Sta­tis­ti­ken zei­gen das Pro­blem: 76% der Unter­neh­men, die Opfer von Ran­som­wa­re wer­den, haben bereits IT-Sicher­heits-Maß­nah­men imple­men­tiert (Vee­am 2024). Sie wur­den nicht ange­grif­fen, weil sie kei­ne Sicher­heit hat­ten — son­dern weil Sicher­heit allein gegen moder­ne, aus­ge­feil­te Angrif­fe unzu­rei­chend ist.

IT-Sicher­heit ant­wor­tet auf die Fra­ge: Wie ver­hin­dern wir einen Angriff? IT-Resi­li­enz ant­wor­tet auf die Fra­ge: Wie stel­len wir uns wie­der her, wenn Prä­ven­ti­on fehlschlägt?

Bei­de Dis­zi­pli­nen sind kom­ple­men­tär und not­wen­dig. Allein Resi­li­enz ist nach­läs­sig (Sie akzep­tie­ren zu vie­le Angrif­fe). Allein Sicher­heit ist unrea­lis­tisch (Sie kön­nen nicht alle Angrif­fe ver­hin­dern). Die bes­te Pra­xis ist die Kom­bi­na­ti­on: hohe Prä­ven­ti­on + hohe Resilienzkompetenz.

War­um Resi­li­enz nicht ver­sa­gen darf #

Der Grund für die wach­sen­de Bedeu­tung der Resi­li­enz ist ein­fach: Ran­som­wa­re-Angrei­fer zah­len sich aus. 2024 zahl­ten 56% der Ran­som­wa­re-Opfer das Löse­geld (Sophos 2024), was bedeu­tet, dass der Auf­wand der Angrei­fer ren­ta­bel ist. Solan­ge das so ist, wird die Angriffs­fre­quenz steigen.

Für betrof­fe­ne Unter­neh­men sind die Kon­se­quen­zen dra­ma­tisch. Ran­som­wa­re-Opfer berich­ten von wochen­lan­gen Aus­fall­zei­ten, Daten­ver­lust und mas­si­ven finan­zi­el­len Schä­den. Nach einer erfolg­rei­chen Wie­der­her­stel­lung aus siche­ren Back­ups — mit veri­fi­zier­ten Reco­very-Tests — sinkt das Löse­geld-Zah­lungs­ri­si­ko. Eine gute Resi­li­enz-Hal­tung wird zur Ver­si­che­rung gegen exis­ten­zi­el­le Risiken.

Häu­fi­ge Fra­gen #

Ist IT-Resi­li­enz das Glei­che wie Dis­as­ter Recovery? Nein. Dis­as­ter Reco­very (DR) ist ein Teil der Resi­li­enz — spe­zi­fisch der Wie­der­her­stel­lungs-Aspekt. Resi­li­enz umfasst zusätz­lich Prä­ven­ti­on, Detek­ti­on, Reak­ti­on und Anpassung.

Kön­nen wir Resi­li­enz mit der Cloud erreichen? Cloud-Sys­te­me kön­nen resi­li­ent sein, aber nicht auto­ma­tisch. Mul­ti-Cloud, geo­gra­fi­sche Red­un­danz und Back­up-Iso­la­ti­on sind not­wen­dig. Vie­le Cloud-Nati­ve-Ansät­ze ver­säu­men die unver­än­der­li­che Back­up-Ebe­ne, was bei Ran­som­wa­re gefähr­lich ist.

Brau­chen wir Resi­li­enz, wenn wir gute IT-Sicher­heit haben? Ja. IT-Sicher­heit allein schützt nicht aus­rei­chend. Resi­li­enz ist das Sicher­heits­netz, das ein­tritt, wenn Prä­ven­ti­on fehlschlägt.

---