Cyberkriminalität — betrifft mich doch nicht! Oder doch?

Statement: Die Cybersicherheitsarchitektur zu modernisieren, heißt nicht, alles einfach auf links zu drehen und alles neu zu machen. Im Gegenteil.

Einspieler: So klingt Wirtschaft. Zukunftsthemen für Unternehmen. Jeden Mittwoch sprechen wir mit Entscheiderinnen über die Herausforderungen und Trends in ihrer Branche. Mit jeder Menge Insights und neuen Denkanstößen aus der Wirtschaft für die Wirtschaft.

Simone Nissen: Kriminelle im Netz werden immer professioneller und greifen verstärkt deutsche Unternehmen an. Das ist das Fazit einer Bitkom-Studie. Ein weiteres Ergebnis: Jedes zweite Unternehmen in Deutschland fühlt sich durch Cyberangriffe in seiner Existenz bedroht, während andere sich der Gefahr gar nicht so recht bewusst zu sein scheinen. Deshalb widmen wir uns dem Thema heute in So klingt Wirtschaft.

Einspieler: Warum ist das wichtig?

Simone Nissen: Die Zahlen steigen. Bei 70 % der Unternehmen in Deutschland haben Hacker in 2023 sensible Daten gestohlen – oder zumindest vermutlich gestohlen, so die Bitkom-Studie. Mehr als 60 % der Unternehmen beklagen, digital überwacht oder sabotiert worden zu sein. Auch die Liste der Unternehmen, die es in 2024 bereits getroffen hat, ist lang. Und sie beinhaltet Industrieriesen wie ThyssenKrupp ebenso wie das Familienunternehmen Max Wilde. Machen es deutsche Unternehmen Angreifern aus dem Netz eventuell besonders einfach? Was sind die aktuellen Trends der kriminellen Machenschaften und wie können wir uns dagegen wehren?

Einspieler: Nachgehakt.

Simone Nissen: Ich bin Simone Nissen und Antworten gibt uns heute Hannes Steiner. Er ist Vizepräsident für die DACH-Region von Trend Micro, einem weltweit führenden Anbieter für Cybersicherheitslösungen. Hallo Hannes.

Hannes Steiner: Guten Morgen, Simone.

Simone Nissen: Was macht gerade die deutsche Wirtschaft zu einem so attraktiven Angriffsziel?

Hannes Steiner: Ja, ich glaube, wir haben in Deutschland eine sehr diversifizierte Wirtschaft, einen gesunden Mittelstand, viele Hidden Champions. Es gibt einfach viel zu holen im cyberkriminellen Untergrund. Wir digitalisieren zunehmend. Und diese Digitalisierung bringt mehr und mehr Systemschwachstellen mit sich und damit auch mehr Einfallsmöglichkeiten für cyberkriminelle Aktivitäten. Und um dem zu begegnen, fehlt es viel zu häufig an Know-how, Personal und Mitteln. An und für sich muss auch die Geschäftsleitung mehr Visibilität und Sensibilisierung für Cyberrisiken erlangen. Also das Thema Cyberrisiken muss in der Geschäftsleitung verankert werden. Das ist auch ein klarer Auftrag an die Unternehmensführung, sich Cyberrisiken bewusst zu machen und in der Geschäftsleitung die Fähigkeit zu entwickeln, Cyberrisiken zu qualifizieren, zu quantifizieren und zu kommunizieren. Das ist leider heute immer noch zu häufig nicht in der Geschäftsleitung implementiert. Und damit machen wir es den Angreifern einfach zu leicht.

Simone Nissen: Mal angenommen, ich bin Schuhsohlenproduzent aus Bernkastel-Wittlich in der Vulkaneifel. Kannst du nachvollziehen, wenn ich sage, da ist Cybersecurity jetzt nicht gerade mein Topthema?

Hannes Steiner: Ich glaube, man muss die Frage aus dem Blickwinkel des vorhandenen Mindsets bewerten. Es verlangt von vielen Unternehmen, gerade im Mittelstand, wirklich einen Mindset-Shift. Aber was ist der Grund dafür? Das typische mittelständische Unternehmen ist über Generationen gewachsen und sehr erfolgreich in dem Segment, in dem das Unternehmen aktiv ist. In der Regel war das Unternehmen bis dato keinen gesetzlichen Regelungen unterworfen. Aber diese Grundlage ändert sich nun einfach. Das Unternehmen wird sicherlich zunehmend digitalisieren, Geschäftsabläufe werden automatisiert und digitalisiert. Somit steigt auch die Angreifbarkeit. Und hier bedarf es eines geänderten Risikobewusstseins in der Geschäftsleitung. Ein letzter Punkt noch, Simone: Eines wird sich mit Sicherheit ändern. Mit der bevorstehenden NIS2-Direktive, die auf europäischer Ebene verabschiedet wurde und in die deutsche Gesetzgebung wahrscheinlich dieses Jahr noch nicht implementiert wird. Aber eines ist mit Sicherheit festzuhalten: NIS2 wird nicht weggehen. Die Anzahl der Unternehmen, die unter diese NIS2-Direktive fallen werden, also NIS2 umschreibt Unternehmen, die eine gewisse Kritikalität mit sich bringen, also kritische Infrastrukturen. Und es wird die Tragweite, die Ausweitung von Unternehmen, die unter diese Regulierung fallen werden, massiv zunehmen. Also wir sprechen von knapp 30.000 Unternehmen, die in Deutschland von dieser Regulierung betroffen sein werden.

Simone Nissen: Und die dann auch dazu verpflichtet werden, mehr zu tun.

Hannes Steiner: Die verpflichtet werden, mehr zu tun. Aber ein ganz entscheidender Punkt: Cyberrisikomanagement verankert in der Geschäftsleitung ist ein wesentlicher Faktor innerhalb der Cybersicherheitsdirektive NIS2.

Simone Nissen: Dass es besser ist, nicht auf Links in dubiosen Mails zu klicken, haben wir bestenfalls mittlerweile begriffen. Was haben sich Kriminelle Neues ausgedacht, um uns in die Falle tappen zu lassen?

Hannes Steiner: Na ja, technische Innovation sehen wir ja überall und auch im cyberkriminellen Untergrund wird natürlich technische Innovation nutzbar gemacht, zum Beispiel KI. Phishing-E-Mails werden einfach viel schwerer erkennbar. Ich würde mal sagen, es ist für den normalen Anwender heute gar nicht mehr möglich, eine legitime E-Mail von einer Phishing-E-Mail zu unterscheiden. Durch moderne technologische Möglichkeiten wird einfach die Art, das Aussehen und die Ansprache in einer E-Mail so authentisch, dass es für den normalen Anwender fast nicht mehr möglich ist, zwischen Gut und Böse zu unterscheiden.

Simone Nissen: Ich sage mal, die Mail kommt jetzt nicht mehr von dem Prinz von irgendwo, der mir sein Vermögen schenken möchte, sondern von meinem Chef zum Beispiel.

Hannes Steiner: Von meinem Chef. Die E-Mail ist vielleicht noch eben ein ohnehin etabliertes Medium, diese Phishing-E-Mail. Wir sehen vermehrt sogenannte Fake-Angriffe, das heißt, es wird durch die Nutzung von KI-Technologien einfach immer einfacher möglich, Sprache oder Videobotschaften sehr authentisch zu transportieren und somit nicht nur in Form einer einfachen E-Mail den Anwender in die Falle zu locken, sondern eben auch viel authentischer eine Sprach- oder Videobotschaft des CEOs. Und da gab es in der Tat auch dieses Jahr einige sehr greifbare und auch medial wirksame Beispiele. Ein Sicherheitsanbieter LastPass ist nur knapp einem sogenannten Art-Fake-Angriff entgangen, weil ein Mitarbeiter aufmerksam war. In dem Fall, ja, was einfach passiert ist: Der Mitarbeiter hat vermehrt Nachrichten des vermeintlichen CEOs erhalten. Es war auffällig, dass eine sehr starke Dringlichkeit in den Botschaften zu vernehmen war. Zum Teil wurden Kanäle genutzt, die unüblich für die unternehmensinterne Kommunikation waren. Und es hat den Mitarbeiter ein Stück weit auch aufmerksam gemacht, dass da vielleicht irgendwas im Argen sein könnte. Insofern ist das Unternehmen nur sehr knapp diesem Angriff entgangen. Ein anderes Beispiel auch dieses Jahr: Ein Unternehmen in Hongkong ist dem leider nicht so glimpflich entgangen. Das hat das Unternehmen einen Schaden von 25 Millionen US-Dollar eingebrockt.

Simone Nissen: Das heißt also, wenn es dann tatsächlich mal passiert, dann wird es für das Unternehmen auch richtig, richtig teuer.

Hannes Steiner: Richtig teuer, und damit, ja, die Unternehmen haben einfach eine große Herausforderung. Wie gehe ich mit diesem Spannungsfeld von Kompetenzen und Kapazitäten um? Skills und Fachkräfte? Wir haben überall Fachkräftemangel. Und das ist ein großes Spannungsfeld, in dem sich vor allem die mittelständischen Unternehmen sehen. Lass mir dir ein Beispiel geben: Das dringlichste Problem für den Betrieb von Infrastrukturen ist immer noch der Umgang mit Schwachstellen, weil de facto jede Malware, jede Schadsoftware, jeder erfolgreiche Angriff basiert auf vorhandenen Systemschwachstellen. Ja, und jetzt siehst du: Die Herausforderung ist für die Betreiber, für die Infrastrukturbetreiber, für die IT in den Unternehmen, in diesem Wust an Schwachstellen den Überblick zu behalten. Schwachstellen sind einfach überall gegeben. Es ist Realität. Wo es Software gibt, gibt es Schwachstellen. Es gibt Systemschwachstellen. Aber wie priorisiere ich die Relevanz für mein eigenes Unternehmen aus Tausenden, zum Teil eben Tausenden von Systemschwachstellen, um die notwendigen Prioritäten abzuleiten? Was heißt denn Schwachstelle für meine Infrastruktur? Und damit die IT in die Lage zu versetzen, die notwendigen Prioritäten zu setzen und die notwendigen Maßnahmen zu implementieren, und zwar die Maßnahmen, die den größtmöglichen Impact erwirken.

Simone Nissen: Das klingt jetzt so, als könnte man wirklich nur sehr individuell priorisieren. Aber gibt es vielleicht so Klassiker, die eine große Hebelwirkung haben?

Hannes Steiner: Ja, ich glaube, wichtig ist, auf Basis der vorhandenen Infrastruktur sogenannte Quick Wins zu identifizieren. Also sprich, wo habe ich die Möglichkeit, mit zielgerichteten Maßnahmen möglichst viel Impact zu erreichen? Das verlangt sicherlich einen starken Fokus auf Simplifizierung. Gerade Sicherheitsarchitekturen sind über Jahrzehnte hinweg sehr heterogen gewachsen. Für jedes Spezialproblemchen wurden irgendwo Spezialtools implementiert. Das verläuft sich irgendwo im Wald der Systemlandschaft. Also Simplifizierung, damit einhergehend Konsolidierung und ein sehr starker Fokus auf sogenannte Plattformansätze. Weil es das einfach erleichtert, bei ohnehin schon limitierten Kompetenzen und Kapazitäten, den Überblick zu behalten und die nötigen Maßnahmen daraufhin abzuleiten.

Simone Nissen: Ja, das heißt, ich sammle erst mal im gesamten Unternehmen: Welche Tools nutzen wir eigentlich? Wie arbeiten die? Sprich, was ergeben die für Sicherheitslücken und welche brauche ich wirklich oder welche kann ich auch aussortieren?

Hannes Steiner: Genau, welche kann ich aussortieren? Aber ich würde es eher vielleicht übersetzen in Konsolidieren. Ja, weil häufig aufgrund der Breite der gewachsenen Systemlandschaft häufig Schnittmengen da sind. Ich glaube, Konsolidierung ist der richtige oder der wichtigere Ansatz, um die Daten und die Informationen, die die Tools und die Technologie generieren, auch nutzbar zu machen. Simone, by the way, das ist ja auch ein Thema, was wir häufig sehen. An Implementierung von Technik ist es eine und das ist relativ schnell und relativ einfach unter Anführungszeichen geschehen. Was wir häufig sehen, ist, dass die Telemetrie, die die Technik dann auch generiert, also die Informationen und die Sichtbarkeit, die die Technik generiert, häufig gar nicht genutzt wird. Das heißt, ich habe zwar theoretisch Sichtbarkeit über verdächtige Aktivitäten, aber niemand schaut drauf. Heißt wieder: Mehr Fachkräfte am AIS. Vielleicht das dringlichste Problem im Betrieb einer Sicherheitsarchitektur.

Simone Nissen: Kann mich da auch KI unterstützen? Weil bei Fachkräftemangel sind wir mal ganz schnell bei KI.

Hannes Steiner: Auf jeden Fall. KI oder die Nutzung von KI-Technologien auch in Cybersicherheitsplattformen, in einer Plattform wie wir sie bieten, ist eines der aktuellen und vor allem auch zukünftig vielversprechendsten Themen. Das ist ein Punkt, da bin ich auf der operativen technischen Ebene, um es einfach dem Anwender, dem Betreiber, einfacher zu machen. Das ist das eine Feld. Das andere Feld, und das ist mir wirklich auch noch mal wichtig zu betonen, ist, der Geschäftsleitung zu helfen, diese komplexen Zusammenhänge verständlich zu machen. Sicherheit ist abstrakt für viele Geschäftsführer, einfach wenig greifbar. Häufig ist das Problem vielleicht auch ein Sprachproblem innerhalb des Unternehmens. Die IT hat sehr technologisches Denken und sehr technologisches Sprechen, und häufig habe ich eine Kommunikationsbarriere zwischen der Technologie, dem Technologiebetrieb und der Geschäftsleitung. Aber es ist wichtig, die Fähigkeit in der Geschäftsleitung zu implementieren, das individuelle Cyberrisiko kommunizierbar zu machen an die unterschiedlichsten Stakeholder der Geschäftsleitung.

Simone Nissen: Ja, danke schön. Was möchtest du unseren Zuhörenden zum Ende dieses Podcasts noch mit auf den Weg geben?

Einspieler: Und jetzt der Gedanke zum Mitnehmen.

Hannes Steiner: Die Cybersicherheitsarchitektur zu modernisieren, heißt nicht, alles auf links zu drehen und alles neu zu machen. Im Gegenteil, viele Unternehmen haben sehr, sehr gute Grundlagen. Ich glaube, es ist wichtig, dass sich die Unternehmen darüber bewusst werden, wie auf Basis dieser Grundlagen zielgerichtet und messbar die Cybersicherheit gesteigert werden kann. Mit messbar meine ich Folgendes: Häufig bekomme ich in Gesprächen das Feedback, ja, wir sind ja ganz gut aufgestellt. Was heißt es, wir sind gut aufgestellt? Fühlen wir uns gut aufgestellt? Fühlen wir uns sicher? Oder kann ich diese gefühlte Sicherheit objektivieren?

Simone Nissen: Danke lieber Hannes und liebe Zuhörende, danke für Ihr Interesse. Ich würde mich freuen, wenn Sie auch kommenden Mittwoch wieder reinhören, wenn es heißt: So klingt Wirtschaft.

Einspieler: Das war So klingt Wirtschaft. Haben Sie Fragen, Kritik oder Anmerkungen? Dann schreiben Sie uns gerne an podcast@handelsblattgroup.com. Gefällt Ihnen, was Sie hören? Dann bewerten Sie uns gerne auf Spotify oder Apple Podcasts. Dieser Podcast ist kein Produkt der Handelsblatt-Redaktion. Für den Inhalt sind die Interviewpartner*innen und die Handelsblatt Media Group Solutions verantwortlich.