Voraussichtlich werden dieses Jahr die Ausgaben für IT-Security in Deutschland die 10 Milliarden Euro Marke knacken. Aus gutem Grund wird viel investiert: Cyberangriffe sind eine der größten Bedrohungen für die deutsche Wirtschaft. Technologische Sprünge wie KI potenzieren das Risiko weiter. Wir sprechen mit Robert, CISO bei iteratec über das Zusammenspiel von Unternehmenskultur und IT-Security, KI sowie weitere Trends.
Du berätst viele Unternehmen zu ihrer IT-Security. Wo setzt du mit deinem Team häufig in Projekten an?
Heute muss niemand mehr hören, dass IT-Security wichtig ist. Das wissen alle. Die Frage ist nicht mehr, ob etwas getan werden muss, sondern was jede Person beitragen kann. Unsere Beratung beginnt daher oft bei der Unternehmenskultur selbst. Denn IT-Security ist längst nicht mehr nur ein Thema für ein spezialisiertes Security Team, sondern Aufgabe aller Mitarbeitenden eines Unternehmens. Die versteckte Hoffnung, dass es da ein Security Team gibt, das alles regelt, trägt angesichts immer personalisierter und komplexer werdenden Angriffsszenarien nicht mehr.
Damit klingt schon an, dass sich das Feld von IT-Security stark verändert hat. Kannst du das genauer erklären?
Noch vor einigen Jahren war IT-Security vor allem durch den Gedanken getrieben, den äußeren Perimeter der Unternehmen abzusichern. Das bedeutet, dass der Schwerpunkt darauf lag, die äußere Kante des Unternehmens abzusichern, beispielsweise mit Firewalls und VPN. Innerhalb des Unternehmens waren aber alle frei so zu agieren, wie gewohnt.
Schon allein mit dem Vormarsch der Cloud hat sich das gedreht. Die Firewall kann man sich heute wie einen löchrigen Käse vorstellen, da Unternehmen viel mehr Services und Schnittstellen anbieten, die Kunden erlauben auf Daten des Unternehmens zuzugreifen. Es gibt keinen effektiven Schutzwall mehr, mit dem sich Unternehmen abgrenzen können.
Im Bereich der Informationssicherheit lag der Fokus darauf, Vorschriften und Regeln zu definieren. Das ist wichtig, führte aber vor allem zu sprichwörtlich viel bedrucktem Papier. Der operative Wirkungsgrad gerade in der IT-Anwendungsentwicklung war überschaubar. Wer den entwickelten Code auf IT-Security prüfte, sah viele Schwachstellen und Lücken, die zu leicht ausgenutzt werden konnten.
Vielmehr muss auf Code-, Applikations- und Systemebene für mehr wirksame IT-Security gesorgt werden – und da kommen Themen wie AppSec, DevSecOps, Threat Modeling und Pentesting ins Spiel. Aber auch Monitoring sowie Security-Automatisierung sind ganz wesentliche Bausteine.
Nach vorne geschaut: Wie wird sich IT-Security weiter entwickeln?
Künstliche Intelligenz verändert alles. Neben den Risiken bietet KI enorme Chancen zur Verbesserung unserer Sicherheitsarchitekturen. Wir standen schon immer einem asymmetrischen Kampf gegenüber, in dem Angreifer:innen lediglich einen einzigen Fehler ausnutzen mussten, während wir als Verteidiger:innen alle Risiken und Schwachstellen kennen und managen müssen. Das Risiko wird mit KI nun potenziert. Cyber-Kriminelle können mit Tools viel besser Schwachstellen in Systemen entdecken sowie schädlichen Code entwickeln. Gleichzeitig müssen sie immer weniger versiert im Coding sein, um Unternehmen erfolgreich anzugreifen. Im Darknet haben sich daraus eigene Geschäftsmodelle und Services etabliert, so dass eine regelrechte Schattenwirtschaft entstanden ist. Es ist ein lukratives Geschäftsmodell, das genügend Menschen mit krimineller Energie anzieht.
Gleichzeitig kann KI auch helfen, uns zu schützen, indem sie große Datenmengen analysiert und Sicherheitsprozesse automatisiert. Wir arbeiten momentan an einem KI-gestützten Ansatz, um das Thema Vulnerability Management in IT-Entwicklungsprojekten besser zu verankern, mit dem Ziel Schwachstellen-Priorisierung und Maßnahmenempfehlungen im Entwicklungsprozess effizienter zu gestalten.
Spannend ist in diesem Zusammenhang auch der Ansatz einer datengetriebenen Security-Architektur, die durch den Einsatz von künstlicher Intelligenz (KI) und fortschrittlichen Monitoring-Werkzeugen die bisherigen Spielregeln verändern kann. Diese Systeme ermöglichen es schneller Anomalien zu erkennen, bevor sie zu echten Bedrohungen werden, auch gestützt durch bewusst platzierte Schwachstellen. So lassen sich perspektivisch Angreifende beim kleinsten Fehltritt entlarven. Damit verschiebt sich das Gleichgewicht: Statt das Angreifende nur eine Schwachstelle finden, um potentiell Schaden anrichten zu können, müssen sie immer vorsichtiger agieren. Verteidigern reicht eine valide Anomalie und Datenpunkt, um Cyber-Kriminelle frühzeitig zu entdecken und Gegenmaßnahmen einzuleiten. Diese Entwicklung verspricht, die Asymmetrie im Cyberkampf zu unseren Gunsten zu kippen und gibt der IT-Security die Möglichkeit, präventiv zu handeln, anstatt nur auf kontinuierlich neue Angriffsszenarien zu reagieren.
Ein weiterer wichtiger Aspekt ist der Schutz der KI-Systeme selbst. Wir werden KI immer mehr in unsere Systeme integrieren und müssen sicherstellen, dass diese Systeme nicht angegriffen oder manipuliert werden können. Das bedeutet, dass Unternehmen ihre eigenen Daten effektiv schützen müssen. Es kommt da auf jedes Unternehmen an, wie viel Ressourcen, Know-how und Budget sie investieren möchten, um sich zu schützen und ihrem eigenen Risiko-Appetit gerecht zu werden.
Mit KI werden auch Desinformationskampagnen und Deepfakes immer problematischer. Welche Rolle spielt IT-Sicherheit im Kampf um die Hoheit über die Wahrheit?
IT-Sicherheit dreht sich im Kern um Vertrauen sowie darum, die Authentizität, Integrität, Vertraulichkeit und Verfügbarkeit von Informationen zu wahren. Die Herausforderungen durch KI werfen die fundamentale Frage auf: Was ist wirklich wahr? Denn KI kann Stimmen, Texte und Bilder manipulieren, gar die gesamte Identität einer Person in Frage stellen. Die zentrale Aufgabe der IT-Sicherheit ist es nun, Systeme zu schaffen und zu stärken, die überprüfbar machen, ob eine Quelle vertrauenswürdig ist.
Das gesellschaftliche Risiko, das damit einhergeht, hat auch der Gesetzgeber erkannt und erlässt derzeit viele Richtlinien, sei es NIS2, DORA, EU Data Act oder der AI Act. Der AI Act ist ein Beispiel dafür, wie Regulierungen sicherstellen sollen, dass KI-Systeme nicht manipuliert werden, besonders wenn diese auf trainierten Modellen basieren, deren Verhalten schwer vorhersehbar ist. NIS2 fordert hingegen Unternehmen dazu auf, nachzuweisen, dass die eigenen Maßnahmen auch wirksam sind, um Schutzziele zu erreichen. Es reicht mit Blick auf Informationssicherheit also nicht mehr aus Vorgaben zu machen und Prozesse zu definieren, sondern es kommt vielmehr darauf zusätzlich auch die Wirksamkeit der Maßnahmen überprüfbar zu machen. Das ist ein ziemlicher Change für die Compliance-Seite.
Welche Rolle spielt dann noch der Mensch für eine sichere IT?
Die meisten Sicherheitslücken lassen sich auf menschliche Fehler zurückführen. Die Lösung dafür lautet gerade alle Mitarbeitenden zur sogenannten Human Firewall auszubilden, sodass also jede Person Angriffe abwehrt. Ein Beispiel: Ein Kollege meldete uns, dass sein LinkedIn-Profil geklont wurde. Das kann der Start eines individuellen Angriffs sein, wenn beispielsweise das geklonte Profil dessen Kontakte anschreibt und in der Nachricht Links mit Malware versteckt sind. Das Beispiel macht deutlich, dass alle wachsam sein müssen und Security Awareness ein wichtiger Baustein ist.
An dem Ansatz gibt es aber auch Kritik. Wenn sich niemand mehr traut etwas anzuklicken, schwindet zwar die Wahrscheinlichkeit das etwas passiert. Gleichzeitig hemmt das den Austausch und die Freude an der Arbeit.
In meiner idealen Welt muss es möglich sein, auf eine Phishing-Mail zu klicken, ohne dass das Unternehmen dabei einen ernsthaften Schaden nimmt. Dafür muss die IT ihre Systeme auch entsprechend aufgestellt haben. Ziel muss also sein, dass Menschen aufgeklärt sind, Fehler aber keine großen Auswirkungen haben! Stichwort: Cyberresilienz
Kannst du dafür ein Beispiel nennen?
Diebstahl von Zugangsdaten, insbesondere durch Phishing und Social-Engineering-Angriffe, stellt inzwischen eine erhebliche Bedrohung dar. Wenn du eine gefälschte Webseite für legitim hältst und dort deine Daten eingibst, erhalten Cyber-Kriminelle Zugriff auf die dahinter liegende IT. Eine Möglichkeit dem entgegenzuwirken ist zukünftig auf Passwörter zu verzichten, beispielsweise mit passkeys, einer passwortlosen Anmeldung. Dann greift der ganze Phishing-Angriff ins Leere. Diese Technologie ist noch nicht weit verbreitet, nimmt aber immer mehr an Fahrt auf.
Ein zweites gängiges Szenario ist, dass du dir beim Runterladen einer Datei Malware einfängst. Da stellt sich die Frage, wie gut dein Gerät abgesichert ist und wie einfach sich die Malware ungehindert verbreiten kann. Dafür braucht es unter anderem eine gute Überwachung.
Was sind wichtige Stellschrauben an denen Unternehmen besser werden können?
Wenn ich da organisatorisch drauf schaue, sehe ich in vielen Unternehmen noch großen Bedarf, ihre Security Risiken über alle Entscheider-Ebenen transparent zu machen. Häufig genug treten Risiken auf, die dann von Abteilung zu Abteilung umhergereicht werden, weil sie keiner haben möchte oder in Teilen inflationär akzeptiert werden. Dadurch wird das Risiko nicht beherrschbar. Darüber hinaus werden die Bereiche Informationssicherheit (InfoSec), IT-Security (SecOps) und Anwendungssicherheit (AppSec, DevSecOps) noch häufig getrennt betrachtet. Hier wäre es wichtig, Silos aufzubrechen und das zusammenzudenken.
Technisch betrachtet, sehe ich vor allem das Thema Wirksamkeit: Also wie stelle ich fest, dass meine ergriffenen Maßnahmen auch wirklich am Ende des Tages funktionieren? Dafür muss Security z.B. von Beginn an in der Softwareentwicklung berücksichtigt werden und die Systeme und Anwendungen immer wieder überprüft werden, sei es mit einem Threat Modeling, dedizierten Pentests oder auch RedTeaming. Skalierbare Maßnahmen, wie automatisierte Tests helfen hier ebenfalls.
Danke für deine Zeit und das spannende Interview!
Robert Felber - Robert war CISO und Head of Security Consulting bei der iteratec GmbH. Als langjähriger Sicherheitsexperte mit Wurzeln in der Softwareentwicklung half er Organisationen dabei, ihre agilen Entwicklungsprozesse sicher zu gestalten. Sein Schwerpunkt lag auf den Themen DevSecOps, Informationssicherheit und Continuous Security Testing.
Haben Sie Fragen oder benötigen Sie Unterstützung?
Mehr zu den Möglichkeiten von IT-Security für Ihr Unternehmen finden Sie auf unserer Webseite.
Sprechen Sie uns gerne an oder vereinbaren Sie einen Termin.