Logo AMD

Cyberresilienz: So überstehen Unternehmen einen Cyberangriff

Eine gute IT-Security-Strategie muss neben Vorsorgemaßnahmen die rasche Erkennung und Eindämmung eines Angriffs sowie die schnelle Wiederherstellung betroffener Systeme umfassen. Die Hardware-Plattform spielt dabei eine Schlüsselrolle.

Zahl und Schwere von Cyberattacken nehmen ständig zu. So verzeichnete das Bundeskriminalamt (BKA) im Bundeslagebild Cybercrime 2024 einen neuen Höchststand an Cyberstraftaten. Laut der Wirtschaftsschutz-Studie 2025 des Branchenverbands Bitkom entstanden der deutschen Wirtschaft in den vergangenen zwölf Monaten durch Cyberangriffe Schäden in Höhe von über 202 Milliarden Euro. Im Vorjahreszeitraum waren es noch knapp 179 Milliarden Euro.

Diese Zahlen zeigen deutlich: Einen hundertprozentigen Schutz vor Cyberangriffen gibt es nicht. Die Frage lautet nicht mehr, ob man gehackt wird, sondern nur noch wann. Unternehmen müssen sich deshalb stärker auf den Ernstfall vorbereiten und Maßnahmen für eine bessere Cyberresilienz ergreifen. Nur so können sie Angriffe schnell erkennen und eindämmen und nach einer Attacke rasch wieder handlungsfähig werden.

Elemente einer effizienten Cyberresilienz-Strategie

Bei der Umsetzung einer erfolgreichen Cyberresilienzstrategie helfen bewährte Standards für das Incident Response Management (IRM). Dazu zählen beispielsweise die „Incident Response Recommendations and Considerations for Cybersecurity Risk Management“ des National Institute of Standards and Technology (NIST) oder die Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI) für Risikomanagement, Notfallmanagement und Business Continuity Management. Sie umfassen im Wesentlichen folgende acht Schritte:

  1. Bestandsaufnahme. Um auf den Ernstfall vorbereitet zu sein, müssen Organisationen erst einmal wissen, was es zu schützen gilt und wo die größten Schwachstellen und Risiken liegen. Der erste Schritt umfasst daher die Inventarisierung aller zu schützenden Assets, die Schwachstellenanalyse und die Risikobewertung.
  2. Vorsorge. Auch wenn jederzeit mit einer erfolgreichen Attacke zu rechnen ist, muss man es den Cyberkriminellen nicht zu leicht machen. Unternehmen sollten deshalb auf jeden Fall technische und organisatorische Vorsorgemaßnahmen wie Firewalls, Endpoint Protection und Security-Awareness-Schulungen umsetzen. Zu den wichtigsten Schutzmaßnahmen gehören außerdem ein gutes Schwachstellenmanagement, manipulationssichere Backups sowie regelmäßige Penetrationstests.
  3. Vorbereitung. Unternehmen müssen vorab klären, wer im Ernstfall für welche Aufgaben verantwortlich ist, wer zu informieren ist und welche Systeme priorisiert wiederhergestellt werden sollen. All das muss in einem Notfallplan festgehalten werden. Wie bei anderen Katastrophenszenarien auch sollte ein Cybervorfall regelmäßig geübt werden.
  4. Erkennung: Je schneller ein Angriff erkannt wird, desto größer ist die Chance, den Schaden einzudämmen. Unternehmen sollten daher Maßnahmen zur schnellen Erkennung von Angriffen ergreifen. Dazu gehören Werkzeuge wie IDS/IPS (Intrusion Detection/Intrusion Prevention System), SIEM (Security Information and Event Management) sowie die Einrichtung eines Security Operations Centers (SOC) oder die Nutzung entsprechender MDR-Services (Managed Detection and Response).
  5. Eindämmung: Um einen laufenden Angriff zu stoppen, müssen betroffene Systeme und Netzwerksegmente so schnell wie möglich isoliert und vom Internet getrennt werden.
  6. Bereinigung: Nach der Eindämmung werden alle Systeme untersucht und falls notwendig neu aufgesetzt. Besonders wichtig ist es, alle Backdoors zu entdecken und zu schließen, da es sonst zu einer Reinfektion kommen kann.
  7. Wiederherstellung: In dieser Phase werden die Systeme wieder in den Normalbetrieb überführt und Daten aus nicht betroffenen Backups wiederhergestellt.
  8. Nachbereitung: Es ist wichtig, nach einem Angriff nicht einfach zur Tagesordnung zurückzukehren, sondern die Cyberattacke und deren Bewältigung genau zu analysieren. Was war die Ursache? Was lief gut, was könnte das nächste Mal besser laufen? Das sind einige der Fragen, die beantwortet werden müssen.

Die Rolle der IT-Plattform in der Cyberresilienz

Angreifer zielen häufig auf die untersten Schichten der IT-Architektur wie Firmware, BIOS oder Hypervisor ab. Gelingt es ihnen, diese grundlegenden Prozesse zu kompromittieren, können sie Sicherheitsmaßnahmen auf Betriebssystems- und Applikationsebene leichter umgehen oder sogar ganz deaktivieren. Eine nachhaltige Cyberresilienzstrategie beginnt deshalb bereits bei der Hardware.

Ein Hardware Root of Trust (RoT) wie der AMD Secure Processor 2.0 (ASP 2.0) bildet hierfür das Fundament. Er stellt sicher, dass sich Hardware, Firmware und BIOS in einem vertrauenswürdigen Zustand befinden und nicht manipuliert wurden. Im Projekt Caliptra arbeitet AMD außerdem an einem offenen RoT-Standard mit, der den Einsatz von Root of Trust in heterogenen Multi-Vendor-Umgebungen erleichtern soll.

In Kombination mit AMD Platform Secure Boot (PSB) gewährleistet der Secure Processor selbst dann einen sicheren Systemstart, wenn höhere Systemebenen kompromittiert wurden. Dadurch wird die Bereinigung und Wiederherstellung betroffener Systeme deutlich erleichtert und beschleunigt.

Ein weiteres wichtiges Element der hardwarebasierten Cyberresilienz sind Sicherheitsfunktionen wie AMD Shadow Stack. Sie schützt vor Control-Flow-Angriffen wie Buffer Overflow oder Return-Oriented Programming (ROP), bei denen Angreifer versuchen, den normalen Ablauf eines Programms zu unterbrechen oder umzuleiten, um bösartigen Code ausführen zu können. AMD Shadow Stack vergleicht den Programmstack während der Ausführung mit einer gespeicherten Kopie und erkennt so Manipulationen. Die Funktion spielt deshalb vor allem bei der Erkennung und Eindämmung von Angriffen eine entscheidende Rolle.

Bei einem erfolgreichen Angriff auf den Hypervisor einer Virtualisierungsplattform ist der Schaden besonders groß, da eine Vielzahl von virtuellen Maschinen (VMs) betroffen sein kann. Als Teil der AMD Infinity Guard Suite schützen Plattformfunktionen wie Secure Encrypted Virtualization (SEV), Secure Encrypted Virtualization-Encrypted State (SEV-ES) und Secure Nested Paging (SEV-SNP) VMs, indem sie den VM-Speicher verschlüsseln und kritische Workloads wie Domain Controller oder Datenbanken logisch und physisch isolieren. Sie garantieren so die Datenintegrität in den VMs, selbst wenn der Host kompromittiert wurde. Das erleichtert und beschleunigt die Wiederherstellung nach einem Angriff erheblich.

Fazit: Cyberresilienz beginnt bei der Plattformwahl

Cyberresilienz ist zu einem entscheidenden Wettbewerbsfaktor geworden. Nur wenn Unternehmen einen erfolgreichen Angriff schnell erkennen und eindämmen sowie dessen Auswirkungen so gering wie möglich halten können, lassen sich existenzbedrohende Schäden verhindern. Das gelingt nur, wenn die Hardware-Plattform eine zuverlässige, robuste und sichere Basis bietet.

IT-Verantwortliche sollten deshalb bei der Beschaffung neuer Server und Clients Systeme etwa mit AMD EPYC beziehungsweise AMD Ryzen PRO Prozessoren wählen. Dank ihrer mehrschichtigen Sicherheitsarchitektur bieten diese bereits auf Hardwareebene alle notwendigen Voraussetzungen für eine gelingende Cyberresilienz-Strategie.