Als Senior Architect für Cybersecurity und Compliance ist Elmar Török bei der All for One Group, einem führenden internationalen IT-, Consulting- und Service Provider rund um SAP, tätig. Er arbeitet vor allem auf strategischer Ebene und ist für die Erkennung von Risiken in Kundenumgebungen und den Schutz der relevanten Assets zuständig sowie die IT-Sicherheit auf das notwendige Niveau, passend zu den Anforderungen der Organisation, zu bringen. Im Gespräch mit industrie.de erläutert Török, mit welchen Werkzeugen All for One seine Kunden gegen Cyberangriffe wappnet, welche Rolle dabei Künstliche Intelligenz spielt und warum er NIS-2 und die entsprechende Lieferketten-Absicherung als Chance für Unternehmen sieht.
Das Interview führte Axel Hahne, freier Journalist in Hamburg
Herr Török, einer aktuellen Bitkom-Studie zufolge waren 81 Prozent der Unternehmen im vergangenen Jahr von Cyberangriffen betroffen – neun Prozent mehr im Vergleich zum Vorjahr. Wie erklären Sie diesen Anstieg?
Dies liegt sicherlich zum einen an der fortschreitenden Digitalisierung – die einerseits dringend notwendig ist, um wettbewerbsfähig zu bleiben, andererseits aber auch mehr Angriffsflächen für Cyberkriminelle bietet. Gleichzeitig werden die Möglichkeiten für Cyberkriminalität immer vielfältiger und ausgefeilter. Durch den Einsatz von Künstlicher Intelligenz und Entwicklungen wie Ransomware-as-a-Service (RaaS) wird es für Hacker leichter, gezielte und auch effektive Attacken zu fahren – und das zudem recht kostengünstig. So ist es kaum verwunderlich, dass der Anteil an Ransomware unter den verschiedenen Cyberangriffsarten innerhalb der letzten drei Jahre von 12 Prozent auf 31 Prozent stieg. RaaS hat sich mittlerweile zu einer einträglichen Dienstleistung entwickelt. Bei herkömmlichen Ransomware-Angriffen infiltriert ein Angreifer ein Netzwerk, installiert eine Verschlüsselungssoftware und aktiviert diese nach einer bestimmten Zeit, um gewünschte Daten zu verschlüsseln. Dazu sind umfassende IT-Kenntnisse erforderlich. Ransomware-as-a-Service hingegen ermöglicht es auch technisch weniger versierten Kriminellen, solche Angriffe durchzuführen. Diese beauftragen einen „Dienstleister“, der über das nötige Know-how verfügt, und der Auftraggeber verwertet am Ende nur noch die erbeuteten Daten. Auf der anderen Seite setzen Bedrohungsakteure vermehrt auf Künstliche Intelligenz, um beispielsweise Phishing-Kampagnen oder die Programmierung von Malware effizienter zu gestalten. Das Wettrennen zwischen Cybersecurity-Experten und Cyberkriminellen, die mit KI herkömmliche Angriffsmethoden verfeinern und neue Strategien entwickeln, ist dadurch noch schneller geworden.
Zwei von drei Unternehmen sehen sich durch Cyberattacken in ihrer Existenz bedroht; gleichzeitig glaubt nur die Hälfte, gut auf Cyberangriffe vorbereitet zu sein. Wie passt das zusammen?
Tatsächlich können wir das in vielen anderen Bereichen ebenfalls beobachten – sei es bei Nachhaltigkeitsinitiativen oder auch bei Entwicklungen im Bereich der KI. Das Bewusstsein, dass dringender Handlungsbedarf besteht, ist durchaus vorhanden, nur an der Umsetzung hapert es, nicht zuletzt, weil das alles auch mit Investitionen verbunden ist oder die Ressourcen fehlen.
„Die Frage ist nicht ob, sondern wann.“
Unternehmen gehen oft davon aus, dass sie verschont bleiben werden – bisher ist es auch immer gut gegangen. Allerdings ist das Prinzip Hoffnung kein guter Businessplan und eine noch schlechtere Vorsorge. Schon seit Jahren gilt: „Die Frage ist nicht ob, sondern wann.“ Cybercrime trifft jedes Unternehmen, egal aus welcher Branche und in welcher Größe.
Was sind die Gründe für die Defizite bei den Abwehrmaßnahmen?
Es stimmt schon, dass es zu wenige IT-Security-Spezialisten gibt. Allerdings wird von vielen verfügbaren Fachleuten über die geringe Bereitschaft geklagt, marktgerechte Gehälter zu zahlen. Das Thema hat nach wie vor zu wenig Relevanz in der Geschäftsleitung, die die Budgets vergibt. Natürlich kann man auch die bestehende Belegschaft aus- und weiterbilden und ihnen mehr Zeit für die IT-Security-Aufgaben einräumen. Zusammen mit einem externen Partner, der mit ihnen das Thema Cybersicherheit strategisch angeht und mit seinem Expertenblick Schwachstellen aufdeckt, ist das eine praktikable Lösung. Zum anderen hinken viele Unternehmen im Hinblick auf den Einsatz von KI den Entwicklungen hinterher – ganz im Gegensatz zu den Cyberkriminellen. Moderne Tools wie ChatGPT kommen verstärkt zum Einsatz und verbessern die Effizienz von Phishing-Angriffen zunehmend. Das liegt auch daran, dass die Schutzfunktionen von KI gegen moralisch verwerfliche Anfragen in der Regel kein besonders großes Hindernis darstellen. So gelingt es Cyberkriminellen, sich automatisiert Format-Templates ausgeben zu lassen oder Texte stilistisch zu verbessern, um eine scheinbare Seriosität zu erzeugen.
„Cybersicherheit hat nach wie vor zu wenig Relevanz in der Geschäftsleitung.“
Dies alles geht häufig einher mit einer gewissen Security Fatigue. Viele agieren nach dem Motto: Die Angriffe sind ohnehin so ausgefeilt, dass ich es auch lassen kann. Und natürlich: Ein hundertprozentiger Schutz vor Cyberangriffen ist unmöglich. Irgendwann werden die Angreifer erfolgreich sein. Unternehmen sollten sich daher rechtzeitig auf den Ernstfall vorbereiten, indem sie ihre Resilienz steigern, wozu auch Backup-Pläne und Disaster Recovery gehören. Leider tun sich Unternehmen noch schwer, Sicherheit als integralen Bestandteil des Business-Prozesses zu sehen. Es fehlt ein reales Gefühl für die Verwundbarkeit der Organisation durch Ausfälle der IT – bis der Ernstfall eintritt.
Welche Rolle spielt hierbei Ihrer Meinung nach der Faktor Mensch?
Einen entscheidenden. Obwohl Security Awareness-Training in jedem Security-Compliance-Framework gefordert wird, geben sich die Unternehmen immer noch mit der Minimalversion – einmal im Jahr 20 Minuten webbasiertes Training und drei Fragen – zufrieden. Dabei sind die Mitarbeiter die erste Verteidigungslinie! Niemand muss ein IT-Sicherheitsprofi werden, es reicht, das Bauchgefühl für eine ungewöhnliche Mail oder einen merkwürdigen Anruf zu entwickeln. Das erfordert Aufwand und sinnvolle Planung, die zum Unternehmen passt, zahlt sich aber aus.
„Die Mitarbeiter sind die erste Verteidigungslinie.“
Welche Chancen ergeben sich durch NIS-2 und die Lieferkettenabsicherung für Unternehmen?
Die Sicherung der Supply Chain ist wesentlich für eine gute Wettbewerbsfähigkeit, daher ist es mehr als überfällig, dass NIS-2 das Augenmerk verstärkt auf diesen Bereich richtet. Es geht darum, das große Ganze in den Fokus zu rücken: Wenn ein einziger Zulieferer kompromittiert wird, kann das Geschäftsmodell einer ganzen Branche in Gefahr geraten – so gesehen beim unrühmlichen Solar-Winds-Hack vor ein paar Jahren. Falls ein Lieferant wegen einer erfolgreichen Ransomware-Attacke seine Geschäftstätigkeit für eine gewisse Zeit einstellen muss, hat das massive negative Auswirkungen auf alle Unternehmen und Institutionen, die von ihm abhängig sind. Dass sich NIS-2 so stark auf Lieferkettenabsicherung konzentriert, empfinde ich als Chance für Unternehmen.
Wie können sich Unternehmen auf NIS-2 vorbereiten und den notwendigen Cyberschutz herstellen?
Wenn Unternehmen keine eigenen Experten im Haus haben oder im Moment nicht die Ressourcen dafür aufbringen können, sollten sie Externe an Bord holen, um das Thema strategisch und von Grund auf anzugehen, den Status quo zu prüfen und entsprechende Maßnahmen auf den Weg zu bringen. Insellösungen und Aktionismus verbrennen nur Ressourcen. Es kommt darauf an, ein umfassendes Sicherheitsnetz zu implementieren, das kontinuierlich an neue Bedrohungen angepasst werden kann und Pläne bereithält, falls ein Unternehmen von einem Angriff betroffen ist. Denn Umsatzeinbußen durch Produktionsausfälle, Lösegeld- oder Strafzahlungen sind nur die eine Seite der Medaille. Der Vertrauensverlust bei den verschiedenen Stakeholdern ist ebenfalls ein Faktor, der die Existenz von Unternehmen gefährden kann.
Auf welche Weise hilft die Datenklassifizierung beim Datenschutz und wie wird diese sinnvoll vorgenommen?
Datenklassifizierung hilft Unternehmen, ihre kritischen Daten besonders zu schützen und ein Abfließen von vertraulichen Informationen zu unterbinden – etwa, wenn Mitarbeiter oder Mitarbeiterinnen das Unternehmen verlassen. Auch Identity and Access Management, also das Zuweisen und Entziehen von Rollen und Berechtigungen auf „Need-to-know“-Basis, hilft, Sicherheitsvorfälle durch Mitarbeitende zu vermeiden. Daten können in verschiedene Kategorien unterteilt werden, wie etwa „intern“, „vertraulich“, „streng vertraulich“ oder „öffentlich“ lauten. Bei der Klassifizierung werden strukturierte oder unstrukturierte Daten, die im Unternehmen vorliegen, analysiert und aufgrund des Dateityps und des Inhalts in die entsprechenden Kategorien eingeordnet. Eine Klassifizierungsrichtlinie legt fest, welche Daten in welche Kategorie fallen, definiert den Schutzbedarf für die verschiedenen Stufen und regelt, welche Mitarbeitenden welche Berechtigungen erhalten. Wichtig ist, dass die Klassifikation laufend überprüft und den Unternehmensumständen angepasst wird.
Wie unterstützt All for One seine Kunden bei der Cyberabwehr?
Wir bieten unseren Kunden ein umfassendes Sicherheitspaket namens „Cybersecurity kompakt“ an. Eine risikobasierte Gap-Analyse ermittelt, welche Sicherheitsmaßnahmen bereits implementiert wurden und welche noch erforderlich sind, um das individuelle Sicherheitsniveau des Kunden zu erreichen. Basierend darauf erstellen wir ein Strategiedokument mit priorisierten Handlungsempfehlungen, die schrittweise mit den verfügbaren Ressourcen umgesetzt werden können. So erhalten die Kunden eine Art „ISMS light“, das sie später zu einem vollwertigen Informationssicherheits-Managementsystem ausbauen können.
„Eine durchdachte Cybersecurity-Strategie schützt vor 99 Prozent aller Angriffsarten.“
Meine Erfahrung zeigt: Eine durchdachte Cybersecurity-Strategie mit Backup-Plänen, vernünftigen technischen Maßnahmen und regelmäßigen Awareness-Schulungen schützt vor gut 99 Prozent aller Angriffsarten. Wenn sich das Unternehmen dann noch Gedanken zu seinen Business-kritischen Prozessen und Assets gemacht hat, die Teil der Cyber-Resilience-Maßnahmen sind, verfügt es über ein sicheres Fundament – auch gegen neuartige Bedrohungen.
Welche Rolle spielt bei Ihren Lösungen Künstliche Intelligenz?
Nehmen wir das Beispiel Phishing-Mails: Wir nutzen KI für die Mustererkennung bei einzelnen Personen, um ungewöhnliche Aktivitäten automatisiert zu erkennen. Besonders risikobehaftete Zielgruppen, wie etwa Geschäftsführer, werden dabei separat und stärker geschützt. Darüber hinaus bieten wir Tools wie den Threat Explorer an, der es ermöglicht, Angriffe nachzuverfolgen und KI-gestützt zu analysieren. (ah)
