Mittelständische Unternehmen: „Cyberangriffe auf Kunden erleben wir jeden Tag“

Berliner Wirtschaft: Wie wird man Spezialist für Cybersecurity? 

Andreas Rohr: Es gibt viele Wege. Bei mir war es so, dass ich mich Anfang der Nullerjahre nach dem Studium in einem Rechenzentrum mit Netzwerken und Applikationsentwicklung beschäftigt habe. Auch damals gab es schon Angreifer. Dagegen gab es Antivirenprogramme und Anti-Spam, aber keine wirkliche Cybersicherheit im heutigen Sinne. Die Firewall war das Maximum an IT-Sicherheit. Diese Fährte hat mich dann über das Landeskriminalamt Niedersachsen zur Nato gebracht, wo ich mit nationalstaatlichen Angriffen zu tun hatte. Danach war ich beim Bundesverteidigungsministerium sowie bei RWE und Volkswagen in Managementpositionen.

Der Volkswagen-Konzern ist einer der Gesellschafter der DCSO, die Sie von Anfang an mit aufgebaut haben. Warum haben Sie das Unternehmen in Berlin gegründet?

Wir wollten die DCSO in einer hippen Stadt gründen, in der es einfacher ist, die richtigen Leute und echten Talente zu finden. Berlin hat den entsprechenden Lifestyle, ist moderner und passt besser zum Thema Cybersecurity als zum Beispiel Frankfurt. 

Wie schwer ist es für die DCSO, Cybersecurity-Fachkräfte zu finden?

Es ist nicht leicht. Es gibt heute zwar eine Reihe von Studiengängen, die sich mit Cybersecurity oder Forensik beschäftigen. Aber wir blicken gar nicht so sehr auf die Ausbildung. Wir haben auch Politik- und Sozialwissenschaftler oder Ingenieure. Entscheidend ist für uns die Erfahrung und der Eigenantrieb, sich in neue Gebiete einzuarbeiten. Es muss eine Affinität zu Security da sein und der Wille, Organisationen helfen zu wollen. Erfahrung ist willkommen, aber nicht unbedingt eine Voraussetzung.

Gesellschafter der DCSO sind neben Volkswagen auch BASF, Bayer und Allianz. Sind Sie als 
Dienstleister auf große Konzerne spezialisiert?

Diese vier Konzerne gehören auch heute noch zu unseren Kunden. Wir arbeiten heute auch für sehr viele mittelständische Firmen sowie für Dienstleister der öffentlichen Verwaltung. Vereinfacht kann man sagen: Je kleiner Unternehmen sind, desto schwerer fällt es ihnen, das richtige Personal für Cybersecurity zu finden.  
 

Kleinunternehmen können sich Dienstleister wie DCSO nicht leisten. Was raten Sie diesen Firmen?

Die Kunst ist dann eher, die Tools, die in den Systemen der großen Internetkonzerne wie Microsoft, Google oder Apple bereits implementiert sind, richtig anzuwenden, anstatt nach eigenen Lösungen oder anderer Software zu suchen. Das gilt auch für die Back-up-Lösungen. Das ist keine Werbung für deren Services, jedoch ist es für Angreifer ungleich schwieriger, Cloud-Lösungen der Internetkonzerne effizient anzugreifen und deren Security-Mechanismen zu überwinden. 

Wer kann sich Dienstleister wie DCSO leisten?

Wir können sehr gut wirken in Unternehmen mit 200 bis zu mehreren Tausend Mitarbeitern – das ist die Größenordnung, in die wir uns mit unseren Services hineinentwickelt haben. Für Firmen mit 50 Personen, also mit 50 Rechnern, sind wir zu teuer. Wir arbeiten aber auch für Systemhäuser, die unsere Dienstleistungen für mehrere Kunden bündeln, sodass sich die Kosten besser abdecken lassen. 

Wobei können Sie Mittelständlern helfen?

Das fängt mit der Beratung an. Was kann eine Firma selbst tun? Wie sieht das Risikoprofil aus? Wie lässt sich sicherstellen, dass innerhalb von drei Tagen gesetzlich vorgeschriebene Meldungen an Behörden erfolgen können? Dann gibt es die Phase, in der man sich damit beschäftigt, dass man doch nicht alles schützen kann. Wichtig ist es, sich mit den Back-up-Mechanismen für einen Wiederaufbau nach einem erfolgreichen Angriff zu beschäftigen – quasi als Rückversicherung. Back-ups sollten gegen Manipulation von Angreifern besonders geschützt sein. Zudem geht es darum, wie die IT möglichst frühzeitig erfolgreiche Angriffe identifiziert, alarmiert und Gegenmaßnahmen einleitet. 

Wahrscheinlich erfordert gerade Letzteres 
die Expertise von externen Spezialisten.

Ja, die Behandlung von erkannten Angriffen ist ein wichtiges Einsatzfeld für Dienstleister, weil Unternehmen diese Kapazitäten meist nicht permanent vorhalten können. Fast jedes Unternehmen hat eine Alarmanlage – zum Beispiel eine Firewall –, aber die nützt nichts, wenn kein Wachdienst da ist, der den Alarm begutachtet. Diesen 24/7-Dienst aufzubauen, ist für Unternehmen mit weniger als 5.000 Mitarbeitern schwierig und meist unwirtschaftlich bis unmöglich. Wir stellen oft Fehlalarme fest, im  Angriffsfall bringen wir aber schnell Teams aus acht bis zehn Spezialisten zum Einsatz. 

Über diese Szenarien sprechen Sie oft mit CEOs, die keine IT-Experten sind, sondern Betriebswirte oder Juristen. Werden die Risiken verstanden? 

Das ist ein wichtiger Punkt. Die Geschäftsführung hat eine Sorgfaltspflicht und muss sich um alle Risiken kümmern – auch um Cybersecurity. Aber den meisten ist der Umgang mit diesen Risiken nicht so in die Wiege gelegt wie finanzielle Risiken, Markt-oder Produktionsrisiken. Jeder Geschäftsführer einer Firma mit mehr als 50 Mitarbeitern oder zehn Millionen Euro Umsatz muss sich aber der persönlichen Haftungsrisiken bewusst sein, die sich aus der NIS2-Richtlinie der EU ergeben. Diese Richtlinie wird demnächst auch in deutsches Recht umgesetzt. 

Was raten Sie CEOs, die sicher sein wollen, nicht in die Haftung genommen zu werden?

Sie können Aufgaben delegieren, aber das Risiko nicht grundsätzlich abwälzen. Sie müssen nachweisen können, dass sie nicht fahrlässig handeln. Es geht vor allem darum, die Risiken in den Kerngeschäftsprozessen zu identifizieren und sicherzustellen, dass zum Beispiel nötige Sicherheitsupdates mit Priorität eingespielt werden, um Risiken von eigenen Systemen zu mitigieren. Man sollte nachweisen können, dass existenzielle Risiken nicht ignoriert wurden, Maßnahmen sollten also dokumentiert werden. Und das ist kein einmaliger Vorgang. Es geht darum, dass sich die Geschäftsführung regelmäßig strukturiert mit der Thematik beschäftigt.

Wie alltäglich sind für Sie Angriffe auf Kunden?

Cyberangriffe auf Kunden erleben wir jeden Tag. Im Durchschnitt müssen wir Kunden vielleicht fünf bis zehn Mal pro Woche über echte Angriffsfälle informieren. Unsere Systeme registrieren teilweise Millionen von Alarmmeldungen täglich. Das sind Transaktionen, mit denen Angreifer irgendetwas versuchen. Die Zahl sagt aber nichts über die Qualität der Angriffe aus. Wir müssen mithilfe unserer Systeme dann entscheiden, wo wir aktiv werden müssen. 

Inwieweit verändert KI die Sicherheitslage?

Wir müssen davon ausgehen, dass KI bereits jetzt zu einer Automatisierung und zu einer größeren Anzahl von Angriffsversuchen führt. Angreifer werden die Qualität der Phishing-Mails weiter verbessern, auch indem sie gestohlene Daten mithilfe der KI besser ausnutzen werden. 

Und auf der Verteidigungsseite …

… werden wir auch effizienter werden, zum Beispiel weil wir mithilfe der KI Alarmmeldungen schneller vorqualifizieren und analysieren können. Die Angreifer werden in wenigen Jahren vollautomatische oder autonom agierende Angriffsszenarien verwenden, und wir müssen mit den gleichen Mitteln und in ähnlicher Geschwindigkeit dagegenhalten. Das Problem ist, dass wir diese Szenarien jetzt vordenken und Fähigkeiten entwickeln müssen, sonst kommen wir mit den Abwehrstrategien zu spät. 

Was macht Ihnen Hoffnung auf mehr Sicherheit?

Ich kann mir vorstellen, dass der Cyber Resilience Act der EU die Sicherheit von Produkten erhöhen wird, weil Hersteller dazu gesetzlich verpflichtet werden. Werden Schwachstellen bekannt, müssen sie Sicherheitsupdates aufspielen – so wie Autohersteller zu Rückrufaktionen verpflichtet sind, wenn sie Kenntnis von Fehlfunktionen erlangen. Zudem glaube ich, dass KI-Mechanismen auf lange Sicht eher der Verteidigung in die Hände spielen werden, da auf Angreiferseite für Innovation im Angriff Verhaltensänderungen nötig sein werden, die bekanntermaßen am schwierigsten zu erzielen sind.