Cyberangriffe zählen längst zu den größten Geschäftsrisiken für den Mittelstand und doch sind viele Unternehmen noch immer unzureichend vorbereitet. Zwischen wachsender Bedrohungslage, komplexen Anforderungen und begrenzten Ressourcen geraten IT-Sicherheit und Risikomanagement schnell in den Hintergrund. Dabei geht es längst nicht mehr nur um Technik, sondern um Verantwortung und Resilienz. Wie Mittelständler sich wirksam schützen können, erzählte uns Richard Werner, Cybersecurity Platform Lead Europe bei Trend Micro, im Interview.
Hallo Herr Werner, wir wollen über Security sprechen. Was halten Sie für die größten Security-Herausforderungen im deutschen Mittelstand?
Der Mittelstand sitzt da, wie so oft, „zwischen den Stühlen“: Auf der einen Seite ist die IT komplex – man geht Trends wie Digitalisierung, Cloud und KI mit und hat dadurch hohe Anforderungen an die IT-Sicherheit. Auf der anderen Seite ist es schwierig, dafür das richtige Personal zu finden. Wir erleben es oft, dass die IT-Mitarbeiter bei Mittelständlern unzufrieden sind. Einerseits, weil zu viele Aufgaben auf zu wenige Schultern verteilt werden, andererseits weil der größte Teil der Aufgaben Routine ist und kaum Abwechslung bietet. Oft sind diese Abteilungen gezwungen, beim Thema Cybersecurity Kompromisse einzugehen, weil entweder die Zeit, das Budget oder das Knowhow fehlen, um alle Probleme zu lösen.
Welche Themen sollte ein Mittelständler nun angehen, um diese Herausforderungen zu meistern?
Die eigenen Cyberrisiken zu erkennen und richtig einzuschätzen, ist das vielleicht wichtigste Thema, das schnelle Verbesserungen für die Situation verspricht. Oft muss man sich in der IT zwischen mehreren Alternativen entscheiden, die jeweils eigene Vor- und Nachteile mitbringen. Aber was bedeutet das tatsächlich für die Sicherheit? Ist man als IT-Verantwortlicher in der Lage, dieses Risiko zu benennen und in seinen Auswirkungen auch der Geschäftsführung deutlich zu machen, wird vieles einfacher. Denn gerade bei Risiken, die sich auf den Unternehmenserfolg auswirken können, hat die Geschäftsführung nicht nur ein Recht darauf informiert zu werden, sondern die gesetzliche Pflicht, das Risiko einzuschätzen und dafür auch die Verantwortung zu übernehmen. Ist die Personalknappheit so dramatisch, dass Risiken zu groß werden, kann man durch Identifizierung der potenziellen Kosten auch besser einschätzen, ob beispielsweise externe Dienstleistungen eine gute Alternative und Entlastung sein könnten.
Wie verändert sich der Stellenwert von IT-Security im Mittelstand derzeit?
Security wird zunehmend wichtiger. Immer mehr Unternehmen haben realisiert, wie abhängig sie von einer funktionierenden IT sind. Das macht das Thema zur Chefsache. Regelmäßiger Austausch von Geschäftsführung und IT- bzw. Security-Verantwortlichen ist heute zum Glück normal. Diese werden auch zunehmend in geschäftliche Diskussionen integriert. Cybersicherheit verändert sich dadurch vom notwendigen Übel zur strategischen Basis des Unternehmenserfolges.
Der Gesetzgeber will ja unter anderem mit Richtlinien wie NIS2 für Cybersicherheit sorgen. Wo stehen wir in Deutschland bei dem Thema und welche Anforderungen kommen auf CEOs, CISOs und Compliance Manager zu?
Wir stehen in Deutschland nicht schlechter da, als die meisten anderen europäischen Staaten. Gleichzeitig gibt es im internationalen Vergleich aber noch viel Luft nach oben. Wenn Sie sich beispielsweise die Ukraine oder Israel ansehen, sind diese Länder – zweifellos aus äußerst traurigen Gründen – in ihrer Cyberresilienz ein deutliches Stück weiter. Weil sie es eben sein müssen. Nachdem wir auch in der EU eine immer angespanntere Bedrohungslage haben, sei es durch Cyberkriminelle oder auch staatliche Akteure, reagiert der Gesetzgeber mit strengeren Vorgaben, wie NIS2.
Mit dieser Direktive versucht die EU zwei Fliegen mit einer Klappe zu schlagen: Auf der einen Seite möchte man Vorfälle verhindern, indem man wichtige Unternehmen und Betreiber kritischer Infrastrukturen dazu bringt, eine zeitgemäße Security einzuführen. Auf der anderen Seite geht es darum, Kommunikationswege zu etablieren, sollte es zu einer Verschärfung der politischen Lage kommen. Es empfiehlt sich, NIS2 ernst zu nehmen. Nicht nur sind die Anforderungen durchaus umsetzbar, zweckmäßig und vernünftig, es geht hier auch um die Frage der Verantwortung! Ein Punkt, den viele im Moment nicht auf dem Schirm haben: In Deutschland ist die NIS2-Einführung verzögert, weil sich die Politik in Bezug auf das Umsetzungsgesetz bisher nicht einig wurde. Dennoch gilt NIS2 im EU-Kontext bereits jetzt. Auch Unternehmen, die ausschließlich national arbeiten, sollten sich bewusst sein, dass es keine Übergangsfrist geben wird, sobald das Umsetzungsgesetz hierzulande verabschiedet wurde.
Sie bieten mit Trend Vision One eine Cybersicherheitsplattform für Unternehmen an. In wenigen Worten: Was kann die Plattform?
Die Plattform wurde entwickelt, um Unternehmen viele Herausforderungen abzunehmen. Als zentraler Ort, in dem alle Informationen zusammenlaufen und verarbeitet werden sorgt sie dafür, dass Aufgaben vorsortiert und priorisiert werden. Konkrete Handlungsempfehlungen unterstützen die IT-Security-Verantwortlichen dabei, identifizierte Herausforderungen rasch zu lösen. Kernstück der Plattform ist das so genannte Cyber Risk Exposure Management. Dabei erfasst die Plattform die Lage der Cybersicherheit im Unternehmen und gleicht diese mit dem Wissen um Cyberakteure und ihre Vorgehensweisen (Threat Intelligence) ab. So können Risiken für die Unternehmensumgebung erkannt, in ihrer Gefährlichkeit eingeschätzt, und wenn möglich auch direkt beseitigt werden. Die Plattform enthält auch Kommunikationsempfehlungen für die Chefetage, bis hin zu einer App, mit der Unternehmensleitungen und Sicherheitsverantwortliche den Status ihrer Cybersecurity in Echtzeit nachvollziehen können.
Wie unterscheidet sich Ihre Plattform Trend Vision One von klassischen Security-Lösungen?
Unabhängig davon, ob wir von Schutzmaßnahmen wie Firewalls oder nachgelagerten Verteidigungsthemen wie Detection und Response sprechen, kann der Mehrwert für die Sicherheit erst dann bestimmt werden, wenn die Lösung bei einem Vorfall die richtige Hilfestellung liefert. Risikomanagementlösungen hingegen agieren im Vorfeld und betrachten Verwundbarkeiten und die daraus entstehenden Herausforderungen. Kommt es zu einem Angriff, liefert das aber nur noch wenig Mehrwert. Unsere Plattform vereint die jeweiligen Vorteile dieser beiden Lösungsbereiche in einer einzigen Konsole mit nahtlosem Übergang. Beispielsweise mag ein Risiko für ein Unternehmen tragbar sein, bis Anzeichen einer Kompromittierung die Gefahrenlage erhöhen und damit eine Neupriorisierung erfordern. Dann gibt die Plattform zudem Hilfestellung zur Risikominderung. Mit der neuen Funktion „Attack Path Prediction“ können wir außerdem anhand der gegenwärtigen Sicherheitsmaßnahmen den potenziellen Weg eines Angreifers durch das System aufzeigen. So können Verantwortliche leicht erkennen, warum möglicherweise eine eher harmlos erscheinende Konfigurationsmaßnahme eine hohe Priorität zur Behebung von Risiken hat.
Welche Rolle spielt Künstliche Intelligenz bei der Erkennung und Abwehr von Bedrohungen in Ihrer Lösung?
Künstliche Intelligenz entfaltet ihren Mehrwert am besten dort, wo sie große Mengen an Daten miteinander korrelieren und daraus sinnvolle Zusammenhänge erschließen kann. Sie wird in unseren Lösungen an verschiedenen Stellen und mit unterschiedlicher Ausprägung eingesetzt. Die vielleicht spannendste Anwendung ist aktuell „Trend Cybertron“, eine spezialisierte Cybersecurity-KI. Sie ist eine der Hauptkomponenten für das oben angesprochene Risikomanagement und unsere Attack Path Prediction. Trend Cybertron ist übrigens auch als OpenSource-Variante für Interessierte verfügbar, zum Beispiel auf Hugging Face.
Welche Rolle spielt denn die KI auf Angreiferseite mittlerweile?
Kriminelle stellen sich die Frage, wie ihr Leben durch KI einfacher gemacht werden kann. Entsprechend sehen wir vor allem eine Nutzung, um aktuell erfolgreiche Angriffe noch zu verbessern. Da wird KI zum Beispiel eingesetzt, um Phishing zielgerichteter zu machen, Malware und Exploits (für Schwachstellen) schneller zu schreiben, oder aus gestohlenen Daten sinnvolle Zusammenhänge zu erschließen. Sie bleiben damit aktuell weit unter den theoretischen Möglichkeiten, die ihnen die Technik bietet. Anders sieht das bei staatlich organisierten Angreifern aus. Hier spielt KI vor allem in der Spionage eine große Rolle: KI-Agenten werden beispielsweise auf Opfersystemen eingesetzt, um eine Vorauswahl zu stehlender Daten zu treffen. Auch DeepFakes werden vorwiegend mit politischer Motivation oder von politischen Akteuren verwendet, wenngleich die Grenzen zur Kriminalität mehr und mehr verschwimmen.
Wie wird sich das Thema Cybersecurity aus Ihrer Sicht weiterentwickeln?
Kurzfristig, also innerhalb der nächsten ein bis zwei Jahre, müssen Unternehmen davon ausgehen, dass sich der Wirkungsgrad von Mitarbeiterschulungen drastisch reduziert und immer mehr Angriffe an der „Hürde Mensch“ vorbeikommen werden. Mittelfristig ist zu erwarten, dass KI in der Lage sein wird, Sicherheitslücken automatisiert zu finden und passende Exploits zu entwickeln. Allgemein wird die Verteidigung dabei meist noch schneller sein als der Angriff. Allerdings dürfte die Zeit zwischen der Verfügbarkeit eines Patches und einem potenziellen Angriff mehr und mehr schrumpfen. Insgesamt ist also davon auszugehen, dass sowohl die Anzahl der Angriffe als auch die Qualität deutlich zunehmen werden und man auf der anderen Seite immer weniger Zeit für Gegenmaßnahmen haben wird.
Andererseits wird KI in Sicherheitslösungen die Unternehmen deutlich entlasten, weil Prozesse vereinfacht und Daten schneller verarbeitet werden können. Wie der Gesetzgeber auch schon mit NIS2 andeutet, wird das Management von Cyberrisiken das zentrale Thema der Zukunft sein. Die bestehenden Risiken soweit es geht zu eliminieren oder zumindest zu minimieren, wird dabei die täglichen Aufgaben bestimmen. Ist dafür einmal ein funktionierendes System eingerichtet, kann das aber auch Freiräume schaffen, um die IT-Sicherheit zukunftsgerichteter zu denken und die Einbindung in die allgemeinen Geschäftsprozesse zu optimieren.
Quelle: Trend Micro