Über Resilienz im Zusammenhang mit Cyber-Sicherheit wird viel diskutiert. Die einen mögen den Begriff, die anderen nicht. Ist Resilienz nun der neue Hype? Was ist überhaupt Resilienz?
Hier nun sieben sehr unterschiedliche Meinungen dazu:
Achim Schmidtmann, Professor für Wirtschaftsinformatik an der Fachhochschule Bielefeld
Resilienz, resilience. Was bedeutet dieses Wort eigentlich für mich? Offen gesagt erst einmal bis vor einiger Zeit gar nichts, da es nicht in meinem aktiven Sprachgebrauch war. Ich habe das Wort nachsehen müssen, weil ich es in einem wissenschaftlichen Artikel gelesen hatte und zwar im Zusammenhang mit Cybersecurity und mir seiner Bedeutung nicht bewusst war. Und dann stieß ich auf die Übersetzung dieses englischen Begriffs. Und zwar “Widerstandsfähigkeit”, “Belastbarkeit”, auch so was wie Elastizität. Und im Deutschen wird er auch als Resilienz mittlerweile verwendet. Nachdem ich dann aufmerksam geworden war, war es so, wie man das häufiger erlebt. Da sieht man diesen Begriff plötzlich an ganz vielen Stellen und man merkt, dass er doch schon mehr im Sprachgebrauch angekommen ist, als man gedacht hat. Und im deutschen Sprachraum, insbesondere in der Medizin, Psychologie und Soziologie, wird dieser Begriff schon länger verwendet. Ursprünglich kommt er sicherlich aus dem Lateinischen von resilire, was so viel heißt wie zurückspringen, abprallen. Und genau darum geht es ja auch.
Also widerstandsfähig sein. Das heißt ja, es prallt etwas an einem ab. Man nimmt nicht alles in sich auf, man lässt auch nicht alles an sich heran, aber gleichzeitig auch so Dinge wie: man ist anpassungsfähig. Zum Beispiel eben aufgrund von geänderter Umwelt. Und an die kann man sich anpassen. Geänderte Bedingungen, neue Situationen, auf die kann man besser reagieren, diese besser annehmen und auch damit klarkommen. Also auch so Dinge wie Bewältigungsstrategien und damit auch der Selbsterhaltungstrieb. Somit konnte ich jetzt den Begriff besser einordnen. In dem Bereich machte er für mich auch sehr viel Sinn. Und er wird in der letzten Zeit auch im deutschen Raum immer mehr in den Bereichen Risikomanagement und Informations- oder Cybersicherheit eingesetzt hat, ist also sozusagen herüber geschwappt. Auch dort macht dieser Begriff sicherlich Sinn, aber er ist dabei auch relativ breit. Denn er umfasst diese ganze Spannbreite von Widerstandsfähigkeit bis hin zu Anpassungsfähigkeit, Flexibilität und Elastizität. Und insoweit macht es, glaube ich, Sinn, ihn im Einzelfall einfach genauer zu erläutern und auch herunterzubrechen in andere Begriffe, um Sachverhalte verständlicher zu machen.
Letztendlich auch, weil der Begriff eben noch nicht so vollständig angekommen ist im deutschen Sprachraum. Jedenfalls für mich. So sehe ich es.
Benjamin Bachmann, Head of Group Information Security Office, Ströer SE & Co. KGaA
Für mich bedeutet Resilienz die Fähigkeit oder den Skill, gut auf schwierige Gegebenheiten reagieren zu können. Als Beispiel: Ich könnte dann resilient sein, wenn ich geübt habe, wie ich auf Security Incidents reagiere. Also nicht Security Incidents als blablabla sonstwas, sondern wenn der Vorstand zum Beispiel an Table tops teilgenommen und ein Gefühl dafür hat, was es denn überhaupt bedeutet, dass es Sicherheits-Incidents geben könnte. Wofür sie wichtig ist, habe ich gerade auch erklärt.
Ist Resilienz ein Modebegriff und wird sie überbewertet?
Ich würde ganz klar sagen “ja” und “nein”. Es ist ein Modebegriff, es wird überbewertet, auf der anderen Seite ist es aber auch wichtig.
Ich denke Resilienz alleine ist nichts wert. Ich finde Resilienz als Wort nicht so toll, ein besserer Begriff wäre Readiness. Readiness passt auch sehr gut zu Awareness: Zunächst müssen wir es schaffen, Awarness oder Umwelt-Awareness zu schaffen. Und dann müssen wir dafür sorgen, dass die Leute auch “ready” dafür sind, also Readiness zu erzeugen: Wie gehe ich mit Phishing um? Wie gehe ich mit der Klimakrise um? Was mache ich daraus? Was nehme ich daraus mit? Das ist im Prinzip für mich der zweite Schritt, der auf Awareness folgt – das Thema Readiness. Und ich glaube, in meiner Welt ist das ziemlich dasselbe wie das, was die meisten unter Resilienz verstehen.
Amadeus Müller-Daubermann (Äußerung privat)
Wenn Resilienz die Fähigkeit ist, Gegenwind und Schwierigkeiten zu widerstehen, dann kommt ihr aus zwei Gründen zunehmend Bedeutung zu.
Erstens, weil wir diese Fähigkeit, diesen Muskel der Resilienz, in den letzten Jahrzehnten des Überflusses und Wohlstandes kaum trainieren mussten und er somit relativ schwach geworden ist. Ich denke, das kann man zum Beispiel daran sehen, wie sich die psychischen Krankheiten entwickeln.
Zweitens, weil die Welt zunehmend unübersichtlicher, lauter und komplexer wird – oder in anderen Worten wir uns von einer VUCA– zu einer BANI-Welt bewegen. Schon in der VUCA war Resilienz für die selbstständige Meisterung der täglichen Herausforderungen wichtig. In der BANI-Welt wird sie noch wichtiger werden.
Mir fallen ohne weiteres zahlreiche Beispiele ein, warum ich glaube, dass in der BANI-Welt die Fähigkeit der Resilienz noch wichtiger wird. An dieser Stelle nur eines davon: Das „I“ am Ende von BANI steht für „Incomprehensible“. D.h. wir leben in einer Welt, in der wir vieles nicht begreifen können. Dies ist zunächst einmal „verstörend“, denn wir glauben seit der Aufklärung zunehmend, dass wir als Menschen alles verstehen können. Jetzt müssen wir jedoch mit dem Fakt leben, dass die Welt der Technik, der Politik, der Natur etc. in ihrer Komplexität bei weitem unseren persönlichen Verstand überschreitet. Dies führt dazu, dass ich zwangsweise mehr vertrauen muss – z.B. meinen Mitmenschen in der Wissenschaft. Gleichzeitig ist es jedoch auch ein Fakt, dass Vertrauen in Menschen immer wieder missbraucht und gebrochen wird.
Und hier kommt dann die Fähigkeit der Resilienz ins Spiel. Als einzelne Person muss ich die mentale Fähigkeit haben diese Unsicherheiten auszuhalten, mich davon nicht einschüchtern oder verwirren zu lassen. Sondern trotz Rückschlägen das Vertrauen in meine Mitmenschen nicht zu verlieren.
Aleksandra Sowa, IT Compliance Managerin, Datenschutzauditorin (DSA TÜV), Datenschutzbeauftragte (DSB TÜV), IT Information Security Practitioner und Buchautorin
Wir sagen heute “Resilienz”, statt “sichere kritische Infrastrukturen und Systeme”. Wir sagen zum Beispiel “Vertrauen in künstliche Intelligenz” und nicht mehr “Reliability” bzw. Zuverlässigkeit der KI-Systeme und wir sagen auch gerne “Cloud Computing”, wenn wir Rechenzentren meinen. Diese neuen Begriffe kommen nicht von ungefähr, gerade in den hochkomplexen, anspruchsvollen Fachgebieten. Natürlich umfasst Sicherheit auch, die Anforderung robuste und resiliente Architektur zu gewährleisten, auch als Eigenschaft, nicht als Selbstzweck. Die Anwendung umgangssprachlicher Begriffe, wie zum Beispiel Resilienz statt Sicherheit ermöglicht es auch den Nicht-Experten, sich unter Sicherheit, Cyber-Sicherheit, Informationssicherheit, Internet-Sicherheit, etwas vorzustellen. Das hat Vor- und Nachteile zugleich. Denn um eine Cyber-Sicherheitsstrategie zu konzipieren und mit angemessenen Maßnahmen zu untermauern, sollte man eine gewisse Expertise in der Informationssicherheit vorweisen. Zum Beispiel sie studiert haben, eine spezielle Ausbildung absolviert haben, einige Jahre in das Sammeln praktischer Erfahrung investiert haben. Die Hürden eine Resilienzstrategie zu erstellen, liegen dagegen nicht mehr so hoch, denn unter Resilienz kann sich tatsächlich fast jeder etwas vorstellen. Eine Resilienzstrategie, glauben deshalb viele verfassen zu können – einige tun es dann auch.
Ob man den Begriff „Resilienz“ gut oder schlecht findet, ist letztendlich ohne Belang. Denn eine Sache ist ganz gewiss: Auch das geht irgendwann vorbei. Letztendlich ist es auch ohne Belang, mit welchen Konzeptionen oder unter welchen Namen Unternehmen oder Behörden ihre IT-Systeme, kritische Infrastrukturen, ihre KI-Systeme robuster, resilienter und sicherer machen. Oder mit welchen technischen und organisatorischen Maßnahmen konkret sie die Vorräte an Daten ihrer Mitarbeitenden, Kunden oder Mandanten schützen. Hauptsache ist, sie tun es überhaupt!
Pascal Schneider, Professor für Kommunikationsmanagement an der SRH Hochschule Heidelberg
Was bedeutet für Dich Resilienz?
Im Alltag mit Situationen, Erlebnissen und Begegnungen, die mir als schwierig, zu komplex und störend vorkommen und erscheinen, umgehen zu lernen und in eine positive Erfahrung zu wandeln. Entweder durch die Erkenntnis, dass ich sie schlichtweg nicht beeinflussen kann. Oder erkenne, dass ich sie beeinflussen und ändern kann und sie dann jedoch als Herausforderung akzeptiere – als eine Herausforderung, aus der ich lerne und die mich wiederum stabiler und belastbarer machen kann.
Wofür ist sie wichtig?
Die Welt um uns herum ist schnelllebig und komplex und sie wird es zunehmender. Da kann es einen schon ab und an etwas durchschütteln. Schnell kann sich Verunsicherung breit machen. Während der fortlaufenden Corona-Pandemie und seit Beginn des Krieges in der Ukraine konnten und können sich Gefühle der Verunsicherung, Zukunftssorgen und Ängste besonders verstärken. Unabhängig davon hilft Resilienz und entsprechende Techniken, diese Gefühle bewusst wahrzunehmen und ihnen nicht ohnmächtig gegenüberzustehen.
Ist Resilienz ein Modebegriff und wird überbewertet?
Ein Modebegriff sicherlich durch die intensivere Verwendung besonders in Krisenzeiten. Doch dadurch verliert der Begriff und was dahinter steckt nicht an Relevanz.
Falls Du Resilienz doof findest, was wäre ein besserer und passenderer Begriff und warum?
Erich Kästner schreibt im Vorwort seiner Weihnachtsgeschichte das „Fliegende Klassenzimmer“ folgendes: „[…] Haltet die Ohren steif! Hornhaut müsst ihr kriegen! […]“. Er schrieb das zu seiner, einer anderen Zeit und es erscheint uns heute vielleicht etwas aus der Zeit gefallen. Ich finde gleichwohl, dass ein wenig Hornhaut und die Fähigkeit in schwierigen Situationen tapfer und widerstandsfähig zu sein und zu bleiben, hilfreich sein kann. Heute nennen wir das „resilient sein und werden“. Und ich finde den Begriff daher zeitgemäß und passend.
Manuel @HonkHase Atug, Netzaktivist
Was bedeutet für Dich Resilienz?
Für mich ist Resilienz eine Erhöhung der Widerstandsfähigkeit gegen Ausfälle oder Beeinträchtigungen und nicht aber eine Störung. Eine Störung kann immer wieder mal passieren, aber Ausfälle oder starke Einschränkungen sind das, wogegen man resilient werden soll, damit es eben maximal nur noch eine Störung ist.
Wofür sie wichtig?
Resilienz ist dafür wichtig, dass man eben genau keine gravierenden Ausfälle oder Störungen hat. Der springende Punkt ist ja, dass man durch verschiedene Vorgehensweisen und Maßnahmen die Resilienz erhöht, beispielsweise durch Redundanzen oder andere Formen von stabilisierenden Maßnahmen. Dadurch kommt man dazu, dass die Funktionalität oder die Verfügbarkeit, die man haben will – beispielsweise, dass morgen noch Strom und Wasser aus den Leitungen kommt – eben so resilient wird, dass man dann gegen alle Bedrohungen oder Gefährdungen steuern kann.
Ist Resilienz ein Modebegriff und wird überbewertet?
Ich halte Resilienz nicht für einen Modebegriff. Allerdings wird er im Moment immer stärker inflationär verwendet, ohne dass Leute tatsächlich verstehen, was dahinter steht. Und überbewertet? Definitiv nicht. Er wird eher unterbewertet. Man sagt schnell: „Ja, wir hätten da gern mehr Resilienz.“ Und viele wissen dann nicht, was für einen Impact das hat. Es ist nämlich ziemlich massiv, eine Resilienz irgendwo reinzubekommen. Und das ist in der Tat nicht trivial. Man muss sich Gedanken machen: Gegen welche Bedrohungen und Gefährdungen will ich eigentlich schützen? Was sind die Maßnahmen, die ich ergreifen muss, um etwas resilienter zu bekommen? Und manche Dinge sind ja von Grund auf resilient gewesen und werden langsam abgebaut.
Nehmen wir mal das Internet: Wir haben Domainnamen. Wenn Domainnamen ausfallen, dann kann man immer noch die IPv4 IP-Adresse nutzen und wenn die IP-Adresse defekt ist oder wenn dann irgendetwas nicht funktioniert, dann haben wir IPv6 oder mehrere Routen.
Insofern ist da also schon sehr viel Resilienz eigentlich bereits vorhanden. Aber aktuell geraten teilweise Gatekeeper-Systeme in den Blick. Beispiel: Sechs Stunden Ausfall von Facebook bedeutet plötzlich, dass sich Menschen überall nicht mehr anmelden können, weil sie eben zentralistisch hingegangen sind und ihr Anmelde-System für viele, viele andere Portale verwenden. Und diese Zentralisierung ist ein gutes Beispiel gegen Resilienz, denn dezentrale Systeme sind eigentlich viel resilienter aufgestellt.
Falls du Resilienz doof findest, was wäre ein besserer und passender Begriff und warum?
Ich finde Resilienz überhaupt nicht doof und schon gar nicht als Begriff. Das passt genau. Ich mache sogar eine Unterscheidung: Es gibt einmal die Resilienz und eine Cyber-Resilienz. Eine Cyber-Resilienz ist die Resilienz gegen cyber-physische Angriffe. Das heißt, es werden IT-Angriffe vorgenommen, also aus dem Cyberraum und sie haben physische Auswirkungen.
Das muss man sich so vorstellen, dass wenn man zum Beispiel kritische Infrastrukturen hat, die einen Angriff im Cyberraum bekommen, gegen die Verfügbarkeit ihrer Produktion von Frischwasser beispielsweise. Und wenn dieser Angriff so gebaut ist, dass er eine physische Auswirkung hat, dass man nicht nur eine Störung, sondern tatsächlich einen Ausfall oder eine starke Beeinträchtigung der Wasserproduktion hat, dann wäre das ein cyber-physischer Angriff. Und ich finde insofern Resilienz sehr schön, weil Resilienz eben auch darauf hindeutet, dass es um den Schutz des Menschen geht. Wir wollen ja resiliente Systeme oder eine Resilienz, damit wir ja auch morgen noch überlebensfähig sind und unsere Kinder auch.
Wenn man das wieder auf eine Frischwasser-Produktion abbildet: Es gibt ja von den Ingenieuren „Safety“, also den Schutz des Menschen vor den Maschinen. Und eine Cyber-Resilienz ist sozusagen dann das konsequente Weiterdenken. Wenn wir immer mehr digitalisieren und den Cyberraum auch für diese kritischen Infrastrukturen und die Produktionsumgebungen öffnen, langsam, aber kontinuierlich, dann kann es eben auch passieren, dass ein cyber-physische Angriff auf diese Porduktionsumgebungen erfolgreich ist. Und das bedeutet, dass IT-Sicherheit, also „Security“ auf „Safety“ wirkt. Nämlich gegen „Safety“ arbeitet oder dort hinein wirkt – und wir dann eben ein Ausfall einer Schutzfunktion für Menschen haben. Das heißt „Safety“ ist der Schutz von Menschen. In der schlussendlichen Denkweise ist aber auch „Security“ – weil sie auf „Safety“ einwirkt und nicht nur eine Störung verursacht, sondern einen Ausfall – zukünftig auch ein Schutz von Menschen.
Das heißt in der schlussendlichen Kette wollen wir eine solche Resilienz, damit wir Menschen nachhaltig schützen. Nachhaltigkeit ist nicht nur rein ökonomisch, sondern immer auch ein Schutz von Menschen. Klammern wir jetzt mal den ökonomischen Begriff aus und sagen „Was wollen wir denn nachhaltig erreichen, zum Beispiel durch Resilienzerhöhung oder Digitalisierung? Wir wollen nachhaltige Digitalisierung durch Resilienz und Cyber-Resilienzerhöhung, damit wir Menschen schützen. Das bedeutet zu Ende gedacht, dass wir „Security by Design“ und „Privacy by Design“ leben müssen, damit wir zukünftig noch einen Schutz von Menschen in den Produktionsumgebungen von kritischen Infrastrukturen gewährleisten können. Und das bekommen wir mit diesem wundervollen Begriff Resilienz oder Cyber-Resilienz auch hin.
Sandra Aengenheyster, Leidenschaftliche Übersetzerin und Moderatorin für IT-Kommunikation und Cyber-Security, Autorin, Freelancerin
Jenseits des technischen Verständnisses von Cyber-Resilienz denke ich, dass die ursprüngliche psychologische Definition von Resilienz einen wichtigen Beitrag zur Cyber-Sicherheit liefern kann. Resiliente Menschen sind diejenigen, die gelernt haben, mit unsicheren Situationen selbstbewußt umzugehen und in schwierigen und herausfordernden Situationen handlungsfähig zu bleiben. Die Erlangung von Resilienz im Sinne von “Widerstandsfähigkeit” kann erlernt werden. Es ist daher eine gute Idee, auch Gruppen von Menschen, zum Beispiel in Unternehmen, Bewältigungsstrategien an die Hand zu geben, mit denen man in einer außergewöhnlichen Lage möglichst schnell und möglichst lange das Heft in der Hand behält. Sollte die Situation außer Kontrolle geraten oder die Gefahr bestehen, dass dies geschieht, ist eine realistische Selbsteinschätzung der eigenen Fähigkeiten von Vorteil. Solch eine Resilienz entsteht nicht über Nacht und muss nicht nur erlernt, sondern im besten Falle auch erlebt worden sein. Ich persönlich finde die Nutzung dieses vielleicht etwas sperrigen, intellektuellen und in Cyber-Security importierten Begriffes positiv. Denn er setzt dem Impuls. schnell und daher möglicherweise unüberlegt zu reagieren eine entschleunigende Komponente entgegen: “Erst denken, dann handeln.” Im konkreten Fall: Was sollte ich tun, welche Überlebensstrategien haben wir vereinbart und was haben wir geübt? Da muss der Dreiklang aus Technologie, Organisation und Kommunikation/ Kultur (=Menschen) natürlich stimmen.
So kann im Laufe der Zeit eine resiliente Organisation entstehen oder wie ich es nenne, ein “resilientes Sicherheits-Ökosystem im Unternehmen”.
Die Podcast-Folge zum Blogartikel:
Bild von RENE RAUSCHENBERGER auf Pixabay
