Zu viele Chefs tun Cybersicherheit noch immer als IT-Angelegenheit ab. Was ist der größte Denkfehler auf der Führungsebene?
Der wesentliche Denkfehler ist: Es geht mich nichts an, die Verantwortung kann ich delegieren. Aber das darf man rechtlich gar nicht mehr. Das Aktiengesetz und das GmbH-Gesetz haben eine explizite Pflicht zur Risikovorsorge: Die Geschäftsleitung muss für existenzbedrohende Risiken vorsorgen und ein Risikomanagement-System etablieren. 2020 war der Wendepunkt: Das war der erste dokumentierte Fall, in dem ein Unternehmen nach einer Cyber-Attacke pleite ging. Inzwischen gibt es auch Rechtsfälle: In Finnland wurde ein Geschäftsführer wegen Vernachlässigung der Cybersicherheit strafrechtlich auf Bewährung verurteilt. Ein Novum.
Wer ist eigentlich am häufigsten von Cyber-Angriffen betroffen: große Konzerne oder der Mittelstand?
Beide, aber auf unterschiedliche Weise. Es gibt gezielte Angriffe auf große Unternehmen, mit Phishing-E-Mails, die sogar von echten Filialadressen zu kommen scheinen. Und eine Vielzahl ungezielter Angriffe, die alle und jeden treffen. Jeder Mittelständler hat jeden Tag mindestens ein halbes Dutzend E-Mails im Postfach, die problematisch sind.
Was sind die typischen Angriffsmittel?
Im Prinzip drei Wege. E-Mails mit gefälschten Anhängen, präparierte Webseiten machen zusammen rund drei Viertel der Ransomware-Fälle aus. Das verbleibende Viertel funktioniert ohne jeden Nutzerkontakt: Sicherheitslücken in Servern, Mail-Systemen oder VPN-Einwahlen werden ausgenutzt. Wenn Patches nicht rechtzeitig eingespielt werden, kommt Ransomware rein, ohne dass jemand auf irgendetwas geklickt hat.
Heißt das, Mitarbeiter sind schuld, wenn sie auf Phishing reinfallen?
Nein, und ich stelle mich klar auf die Seite der Mitarbeiter. Diese Phishing-Mails sind heute so gut, dass man sie auch als Profi kaum noch von echten unterscheidet. KI sorgt dafür, dass jeder eine individuell zugeschnittene Mail bekommt: Das LinkedIn-Profil wird analysiert, der Instagram-Feed ausgewertet, eine glaubwürdige Geschichte gebaut. Die typischen Filter erkennen das nicht mehr.
Ist es nicht fahrlässig, wenn Unternehmen digitalisieren, ohne den Cyberschutz mitzudenken?
Digitalisierung und Cybersicherheit sind zwei gegensätzliche Welten. Die eine lebt von Geschwindigkeit – schnell bauen, später fixen. Die andere ist langsam, behäbig, gründlich. Das gilt besonders für KI-gestütztes Programmieren: Der Output ist besser geworden, aber viele Entwickler verstehen nicht mehr, was hinten rauskommt. Man braucht nach wie vor Leute, die das auf Sicherheitslücken prüfen, und die sind heute Gold wert.
Ist das DDoS-Modell ähnlich wie klassische Schutzgelderpressung?
Bei einem DDoS-Angriff – Distributed Denial of Service – wird ein Server mit so vielen gleichzeitigen Anfragen geflutet, dass er zusammenbricht und nicht mehr erreichbar ist. Für ein Online-Casino, einen Ticketanbieter oder einen Versandhändler bedeutet das: Die Website ist down, kein Umsatz, kein Betrieb. Und dann kommt die Nachricht: Wir hören auf – gegen eine Zahlung in Bitcoin. Das ist Mafia 2.0. Dasselbe Geschäftsmodell, wie in die Pizzeria gehen und sagen: Für die Bewachung Ihres Ladens brauche ich jeden Monat x Euro.
Wer sind die Akteure hinter den Angriffen?
Ein Großteil arbeitet hochprofessionell und hocharbeitsteilig. Das ist organisiertes Verbrechen. Ein erheblicher Teil kommt aus Ländern des ehemaligen Ostblocks. Viele gut ausgebildete Leute mit mathematischem Hintergrund, die auf die schiefe Bahn geraten sind. Die sind lokal bekannt, bringen Geld in die Gemeinde, sponsern Kindergärten. Nigeria hat seit Jahrzehnten die Yahoo Boys. Die haben hohes Ansehen in der Gesellschaft, weil sie Geld in die Community bringen und die eigenen Landsleute in Ruhe lassen. Das ist ein Lifestyle. Und solange das so ist, verlieren wir in verschiedenen Ländern die klügsten Leute einer Generation ans Verbrechen.
Wie viel Geld steckt dahinter?
Schwer zu sagen, weil ein Großteil nicht transparent ist. Viele Unternehmen wollen keine große Glocke an eine Ransomware-Zahlung hängen. Die Bitkom nennt rund 280 Milliarden Euro Schaden bei deutschen Unternehmen pro Jahr. Ich halte die Tendenz für richtig, die genaue Zahl für zweifelhaft.
Wie verändert KI Cyberangriffe?
Phishing ist das klarste Beispiel. Darüber hinaus gibt es im Dark Web KI-Instanzen, die man mieten kann: sogenannte gejailbreakte Modelle, bei denen die ethischen Leitplanken entfernt wurden. Die produzieren auf Bestellung Ransomware, Fake-Videos, Fake-Audio. Und dann gibt es den sogenannten Fake-President, eine gefälschte E-Mail, wenn der Chef im Urlaub ist: Unser Lieferant hat eine neue Kontonummer, bitte überweisen Sie zwei Millionen Euro. Das ist nach Ransomware das zweitgrößte Problem. KI macht diese Betrugsmaschen mit Fake-Audio und -Video jetzt noch überzeugender. Enkeltrick für Unternehmen.
Könnten KI-Agenten irgendwann autonom Angriffe starten?
Das ist keine Science-Fiction mehr, aber wir sind noch nicht so weit, dass ein Agent hochgesicherte Systeme selbstständig knackt. Was KI bereits kann: gewöhnliche Angriffe automatisieren, DDoS starten, perfekte Phishing-Mails produzieren. Der Punkt, an dem Agenten wirklich Angriffe selbstständig entwickeln, wird kommen, ich weiß nur nicht, wann. Und dann wird es auch dazu kommen, dass KI-Agenten zur Verteidigung eingesetzt werden.
Wie entscheidet man, wie viel Cybersicherheit wirtschaftlich sinnvoll ist?
Ich kann keine klassische ROI-Rechnung aufmachen. Denn niemand weiß, ob etwas passiert, wann und mit welchen Auswirkungen. Der richtige Ansatz: Was darf auf keinen Fall passieren? Ich empfehle eine Risiko- und Bedrohungsanalyse: Welche Vorfälle kennen wir aus der Branche? Wie sichern wir das Betriebswesentliche mit dem vorhandenen Budget ab? Dann hat man 95 Prozent Sicherheit. Perfekt ist es nie, aber man ist gut aufgestellt.
