"Vertraue niemandem, verifiziere immer"

Vivien Eberhardt ist Experte für Cybersecurity und erklärt im Interview, dass viele Unternehmen sich der zunehmenden Risiken durch Cyberattacken zwar bewusst seien, hohe Investitionen aber längst noch nicht ausreichen würden, um sich vor Hackerangriffen zu wappnen.

springerprofessional.de: Herr Eberhardt, wie schätzen deutsche Unternehmen ihre Cybersicherheitslage aktuell ein?

Vivien Eberhardt: Deutsche Großkonzerne sind sich zunehmend der Tragweite und Häufigkeit von Cyberbedrohungen bewusst und in der Bewertung ihrer Cybersicherheitslage mischt sich ein hohes Bewusstsein mit anhaltender Besorgnis. Während sie sich stark zur Digitalen Transformation bekennen, wird diese Ambition von der Realität einer hochentwickelten Bedrohungslandschaft überschattet. Viele deutsche Unternehmen, besonders jene im Bereich kritischer Infrastrukturen (Energie, Versorgung, Transport) sowie der Automobil- und Fertigungsindustrie, sehen sich als Hauptziele für Industriespionage und Ransomware-Angriffe. Es wächst das Verständnis, dass herkömmliche Perimeter-Verteidigungsmaßnahmen nicht ausreichen. Umfragen zeigen häufig, dass trotz steigender Sicherheitsausgaben ein erheblicher Teil der Unternehmen sich weiterhin anfällig für erfolgreiche Angriffe sieht. Der Fokus verlagert sich von der bloßen Reaktion hinsichtlich regulatorischer Compliance hin zum Aufbau von echter Widerstandsfähigkeit. Schaut man auf die verschiedenen Branchen, so sind sich die Fertigungs- und Automobilindustrie als Eckpfeiler der deutschen Wirtschaft der Risiken für ihr geistiges Eigentum, ihre Operativen Technologien (OT) und Lieferketten sehr bewusst. Sie bewerten ihre IT-Sicherheit oft hoch, erkennen jedoch erhebliche Lücken bei der Konvergenz der OT-Sicherheit an. Im Finanzdienstleistungssektor verfügen die stark regulierten Institutionen in der Regel über reifere Cybersicherheitsprogramme und robuste Selbstbeurteilungen, oft angetrieben durch strenge Compliance-Vorgaben (zum Beispiel BaFin). Ihre Hauptsorgen gelten hochentwickeltem Finanzbetrug und der Datenintegrität. Angesichts einer weltweiten Zunahme von Ransomware-Angriffen erkennen auch deutsche Gesundheitsdienstleister ihre Verwundbarkeit. Ihre Selbsteinschätzungen betonen oft Unterinvestitionen in Legacy-Systeme sowie die Notwendigkeit einer raschen Modernisierung zum Schutz sensibler Patientendaten und zur Gewährleistung der Servicekontinuität. Gleichzeitig bewerten Unternehmen aus dem Bereich "Einzelhandel/E-Commerce" den Schutz von Kundendaten und die Sicherheit von Online-Transaktionen als entscheidend. Sie sind kontinuierlichen Bedrohungen in Form von Phishing, Webanwendungsangriffen und Zahlungskartenbetrug ausgesetzt, was zu hohen Investitionen in spezielle Web- und API-Sicherheitslösungen führt.

Inwieweit wird genug in den Schutz der Unternehmens-IT investiert?

Obwohl die Investitionen großer deutscher Unternehmen in Cybersicherheit eindeutig Jahr für Jahr steigen, herrscht unter Experten und vielen CISOs Konsens darüber, dass diese oft noch nicht ausreichen, um der sich zuspitzenden und weiter entwickelnden Bedrohungslandschaft entgegenzutreten. Die Herausforderung liegt dabei nicht nur im Investitionsvolumen, sondern in dessen strategischer Verteilung. Viele Unternehmen sind immer noch im Stadium der Aufholjagd. Sie investieren Ressourcen in das "Flicken" von Sicherheitslücken in veralteter Infrastruktur oder versuchen, Sicherheitslösungen nachträglich in Cloud-Umgebungen zu integrieren. Dies führt zu fragmentierten Sicherheitsarchitekturen, die kostspielig zu verwalten sind und oft kritische Lücken hinterlassen. Schlüsselbereiche, in denen Investitionen oft zu kurz greifen:

• Sicherheit in der OT/IT-Konvergenz: Obwohl die Fertigungsindustrie ein Schlüsselsektor ist, hinken dedizierte Investitionen in die Sicherung konvergierter IT- und Betriebstechnologie-Umgebungen oft der Bedrohungslage hinterher.
• Qualifizierte Fachkräfte: Der globale Mangel an Talenten im Bereich Cybersicherheit hat in Deutschland erhebliche Auswirkungen – mit der Folge, dass selbst gut finanzierte Initiativen aufgrund fehlender qualifizierter Mitarbeitender zur effektiven Umsetzung und Verwaltung von Lösungen scheitern können.
• Proaktive Fähigkeiten: Während sich die Bedrohungserkennung verbessert, bleiben die Automatisierung einer robusten Incident Response, erweiterte Bedrohungssuche und umfassende Lieferkettensicherheit oft unterfinanziert.
• Security by Design: Die frühzeitige Integration von Sicherheit in den Software-Entwicklungszyklus (DevSecOps) und die Entwicklung Cloud-nativer Anwendungen erfordern weiterhin erhebliche Investitionen in Schulungen, Tools und kulturelle Veränderungen.

Was sollten Unternehmen tun, um ihre Cybersicherheit proaktiv voranzutreiben?

Um Cybersicherheit proaktiv voranzutreiben, sollten große Unternehmen über eine reaktive, Compliance-getriebene Denkweise hinausgehen und einen strategischen, risikobasierten Ansatz verfolgen, der in die Kerngeschäftsprozesse integriert ist. Zunächst gehört hierzu die Einführung einer Zero Trust-Architektur. Dies ist eine zentrale Grundlage. Der Grundgedanke ist hier ein Modell nach dem Prinzip „Vertraue niemandem, verifiziere immer“ für jeden Benutzer, jedes Gerät und jeden Anwendungszugriff. Das bedeutet, sich von einer perimeter-zentrierten Sicherheit hin zu identitäts- und kontextgesteuerten Zugriffsrichtlinien zu bewegen. Außerdem sollte Secure Access Service Edge (SASE) eingesetzt werden: Netzwerk- und Sicherheitsfunktionen sollten auf einer einheitlichen, Cloud-nativen Plattform konvergiert werden. Dies bietet konsistente Sicherheitsrichtlinien für alle Benutzer unabhängig vom Standort, reduziert Komplexität und verbessert die Leistung. Angesichts der Zunahme von Lieferkettenangriffen (etwa im Fall von Solarwinds) bietet sich eine Stärkung der Sicherheit in diesem Bereich an. Unternehmen sollten die Cybersicherheitslage ihrer Drittanbieter und Partner sorgfältig bewerten und monitoren, gleichzeitig aber auch in die eigene Cyber-Resilienz investieren: Robuste und erprobte Incident Response-Pläne (IRP) und Playbooks sind essenziell. Hinzu kommen regelmäßige Simulationen und Übungen, um sicherzustellen, dass die Organisation Angriffe effektiv erkennen, eindämmen, beseitigen und sich schnell davon erholen kann. Priorisierung verdient ebenfalls die menschliche Komponente von Cybersicherheit. Deshalb sollten kontinuierliche, rollenspezifische Sicherheitsbewusstseins-Trainings implementiert werden. Wichtig sind außerdem die Förderung einer starken Sicherheitskultur sowie Investitionen in Phishing- und Social Engineering-Simulationen. Gleichzeitig empfiehlt es sich, IT- und OT-Sicherheit zu vereinheitlichen: Besonders für Fertigung und kritische Infrastrukturen ist es von größter Bedeutung, die Lücke zwischen IT- und OT-Sicherheitsteams zu schließen und integrierte Sichtbarkeit und Schutzmaßnahmen zu implementieren. Als ergänzende Maßnahme bietet sich die Nutzung von Threat Intelligence an: Es sollten proaktiv relevante Bedrohungsinformationen gesammelt und eingesetzt werden, um neue Angriffsvektoren und Taktiken, Techniken und Verfahren von Angreifenden zu verstehen. Zu guter Letzt ist die Einbindung von C-Suite und Vorstand entscheidend: Cybersicherheit muss zu einem Thema werden, das auf Vorstandsebene diskutiert wird. So können ein angemessenes Budget, die Unterstützung der Geschäftsführung sowie die Integration in das gesamte Risikomanagement des Unternehmens sichergestellt werden.

Welche Rolle spielen Künstliche Intelligenz (KI) und KI-Automatisierung mit Blick auf die Cybersecurity?

Künstliche Intelligenz (KI) und KI-Automatisierung transformieren die Cybersicherheit, indem sie menschliche Fähigkeiten erweitern, die Erkennung von Bedrohungen beschleunigen und effektivere Reaktionen ermöglichen. Sie nehmen in verschiedenen Bereichen eine Schlüsselrolle ein: KI ist besonders gut in der Lage, riesige Datenmengen zu verarbeiten, um subtile Anomalien und Muster zu erkennen. Denn Letztere können auf ausgeklügelte Bedrohungen hinweisen, die menschlichen Analysten möglicherweise entgehen (beispielsweise polymorphe Malware, Zero-Day Angriffe oder Insider-Bedrohungen). So ist KI im Finanzdienstleistungssektor entscheidend für die Betrugserkennung in Echtzeit. Sie analysiert Transaktionsmuster und Nutzerverhalten, um verdächtige Aktivitäten sofort zu erkennen. Außerdem entlastet KI-gestützte Automatisierung Security-Operations-Center-Teams (SOC) durch die Priorisierung von Warnungen und das Herausfiltern von Falsch-Positiven sowie die Automatisierung repetitiver Aufgaben wie das Blockieren bösartiger IPs oder das Isolieren infizierter Endpunkte. Im Bereich kritischer Infrastrukturen kann KI weiterhin SCADA-Systeme auf Anomalien überwachen und Warnungen automatisieren oder Teil-Abschaltungen einleiten, um Schäden durch Cyberangriffe zu verhindern. Darüber hinaus analysiert KI Schwachstellen, Patch-Historien und Exploit-Informationen, um vorherzusagen, welche Schwachstellen am wahrscheinlichsten ausgenutzt werden, so dass Unternehmen ihre Patching-Maßnahmen effektiver priorisieren können. Sie lernt auch das normale Benutzerverhalten in Unternehmensnetzwerken und erkennt Abweichungen, die auf kompromittierte Konten oder Insider-Bedrohungen hindeuten könnten. Da Angreifer zunehmend auf Künstliche Intelligenz wie Adversarial AI zurückgreifen, entwickelt sich KI im Bereich der Cybersicherheit weiter, um diesen neuen Bedrohungen zu begegnen, indem sie belastbare CAPTCHAs generiert und KI-generierte Phishing-Versuche erkennt. Trotz ihrer transformativen Natur steht die Einführung von KI in der Cybersicherheit vor Herausforderungen: darunter die Verwaltung von Falsch-Positiven, die Sicherstellung der Datenqualität im Training von Modellen, das "Black Box"-Problem (Nachvollziehbarkeit von KI-Entscheidungen) und das Risiko von Adversarial AI, die Modelle manipulieren kann. Trotz dieser Herausforderungen entwickelt sich KI zweifellos zu einer unverzichtbaren Komponente einer modernen, widerstandsfähigen Cybersicherheits-Aufstellung für große Unternehmen.