CYBERSECURITY
Prof. Dr. Marco Gercke: “Zunehmende Gefahr durch hybride Attacken”
Der Direktor des Cybercrime Research Institute in Köln hat bei NEU DENKEN Risiken und Strategien bei Cyber-Attacken erklärt. Zunächst mussten die Konferenzteilnehmer aber einen Stresstest bestehen.
Welche Entwicklungen in der Cyberkriminalität halten Sie derzeit für am bedenklichsten?
Für Regierungen und Staaten ist die zunehmende Gefahr durch hybride Attacken besonders kritisch – also die gezielte Kombination von Cyberangriffen mit Desinformation, Sabotage oder geopolitischem Druck. Solche Angriffe unterlaufen klassische Sicherheitsmechanismen und zielen auf politische Destabilisierung. Bei Unternehmen beobachten wir eine deutliche Zunahme der Qualität der Angriffe. Angreifer agieren immer professioneller, nutzen gezielte Schwachstellenanalysen, maßgeschneiderte Phishing-Kampagnen und komplexe Ökosysteme von Erpressungssoftware. Das stellt besondere Herausforderungen an die Entscheidungsträger. Für Privatpersonen ist die schiere Masse an Angriffen die vermutlich größte Bedrohung: Automatisierte Phishing-, Betrugs- und Identitätsdiebstahlversuche erreichen Millionen Menschen täglich – oft mit geringem Schutzbewusstsein und hoher Erfolgsquote.
Konzerne, Mittelstand, öffentliche Hand: Wo finden Cyberkriminelle derzeit ihre Opfer?
Bei Großunternehmen und großen mittelständischen Unternehmen hat sich das Niveau der Cyberabwehr in den vergangenen Jahren deutlich verbessert – die Unterschiede in der Qualität der Schutzmaßnahmen sind oft geringer geworden. Dennoch bleiben diese Unternehmen im Fokus gezielter, oft sehr professionell geplanter Angriffe, weil dort hohe Werte und strategisch relevante Daten vermutet werden. Technisch sind viele dieser Unternehmen bereits gut aufgestellt, jedoch bestehen Optimierungspotenziale insbesondere in Entscheidungsprozessen, Risikobewertung und Reaktionsfähigkeit. Bei kleineren mittelständischen Unternehmen sowie Teilen der öffentlichen Verwaltung haben Angreifer hingegen häufig noch vergleichsweise leichtes Spiel. Dort gelingt es Tätern oft mit geringerem Aufwand, Sicherheitslücken auszunutzen – sei es durch fehlende Ressourcen, mangelndes Bewusstsein oder veraltete Systeme.
Spielt die rasche Weiterentwicklung der KI vor allem den Angreifern in die Hände?
Aktuell profitieren Angreifer schneller und unmittelbarer von KI-Tools, bei Social Engineering, Deepfakes oder automatisierten Angriffen. Langfristig liegt der Schlüssel jedoch darin, dass Verteidiger lernen, die KI ebenso gezielt und strategisch einzusetzen. Es gibt bereits eine Reihe von Ansätzen. Die Herausforderung für Unternehmen liegt darin, dass „KI“ aktuell nicht selten als Schlagwort genutzt wird, ohne dass die KI-basierten Funktionen wirklich Mehrwert bieten.
Das gängige Vorgehen im Fall einer erfolgreichen Attacke lautet: Lösegeld zahlen, den Fall diskret abhandeln?
Durchaus, insbesondere in der Wirtschaft wird oft diskret gezahlt, um Reputationsschäden und Betriebsunterbrechungen zu vermeiden. Das ist nachvollziehbar, aber problematisch, da es das Geschäftsmodell der Angreifer langfristig stärkt. Es gibt hier durchaus auch juristische und regulatorische Fallstricke. Ferner ist zu berücksichtigen, dass sich mit einem Lösegeld nicht notwendigerweise alle Probleme abwenden lassen.
Welche Fortschritte sehen Sie durch die derzeitige Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2)?
NIS2 ist ein wichtiger Schritt, weil die Richtlinie Sicherheitsstandards für deutlich mehr Unternehmen EU-weit anhebt und klare Verantwortlichkeiten schafft. In der Praxis fehlt es jedoch vielerorts noch an Ressourcen, Know-how und der konsequenten Durchsetzung auf nationaler Ebene. In Deutschland mangelt es darüber hinaus weiterhin an einer Umsetzung der EU-Vorgaben in nationales Recht.
Die Bedrohungslage einerseits, die rechtlichen Vorschriften andererseits – herrscht Goldgräberstimmung in der Informatikbranche, vergleichbar mit der Umsetzung der EU-Datenschutz-Grundverordnung vor sieben Jahren?
Ja, zweifellos. Die durch die EU angestoßene Regulierung von Cybersecurity etwa durch die NIS2-Richtlinie und von KI durch den EU-AI-Act wird voraussichtlich mit dem Datenschutz vergleichbare Strukturen schaffen. Das wird gerade zu Beginn für erhöhten Aufwand sorgen – langfristig bietet das aber eine Chance.
Unser Angriff beginnt jetzt!
Eindrücke von der Cyber Incident Simulation beim Wirtschaftsforum.
„We are anonymous. Our attacks start now“ – unser Angriff beginnt jetzt, kündigt ein Video an, das plötzlich auf der Videoleinwand aufploppt. Natürlich handelt es sich um keine reale Cyberattacke. Aber die Gäste des Wirtschaftsforums stellen sich jetzt vor, zum erweiterten Vorstand des fiktiven Unternehmens Hardtmann zu gehören, börsennotiert und führend im Bereich Fräsmaschinen, und entscheiden zu müssen, wie sie auf den Angriff reagieren.
Erste Abstimmung: Wie ernst nehmen Sie das Video? Bislang gibt es nur etwas mehr Traffic als normal in den Systemen. Abwarten? Den Krisenstab einberufen? Das Problem: Echte Gefahren müssen aus der Menge sonstiger Drohungen herausgefiltert werden. Weitere Abstimmung, inzwischen haben die Hacker Daten auf dem Firmenserver verschlüsselt. Wie hoch könnte der Schaden werden? Heikle Frage, gerade wenn der Geschäftsführer persönlich haftet. Und dann kommt eine E-Mail vom Aufsichtsrat mit einem Rettungsplan im Anhang, auch ein Anruf des Vorsitzenden wird eingespielt. Den Plan öffnen oder erst mal abwarten?
Die Fragen an die Gäste werden immer heikler: Die Polizei alarmieren, die Versicherung, die Kunden? Lösegeld zahlen? Und woher so schnell die geforderten Bitcoins nehmen? Kein Wunder, dass beim Abhalten einer Cyber Incident Simulation in der Führungsetage eines Konzerns oder einer politischen Schaltzentrale so mancher Manager und Politiker am liebsten unter dem Tisch abtauchen würde. Bei den Reaktionen der Gäste von NEU DENKEN zeigt sich die Unsicherheit im Galgenhumor, aber auch darin, dass sich bei den Abstimmungen immer weniger Teilnehmer eine Antwort zutrauen. Dabei kommt es noch schlimmer in dieser von realen Fällen inspirierten Simulation: Ein Leck in der Sicherheitsstruktur wird entdeckt, die Hacker saugen Daten ab.
Lehren für die Gäste: Sie befinden sich in einer Lose-Lose-Situation. Es gibt schlichtweg keine gute Lösung – und gerade das fordert einen ganz neuen Ansatz von Leadership. Zumal die Unsicherheit nach einer Attacke in der Regel lange anhält. Die Simulation zeigt zudem: Viele Dinge, die in der Theorie eigentlich klar waren, funktionieren in der Praxis nicht – oder haben Folgen, die vorher nicht bedacht waren. Gerade deswegen ist es wichtig, ähnlich wie Piloten ein physisch ausgedrucktes Notfallprotokoll zur Hand zu haben, das auch dann befolgt werden kann, wenn sich gerade kein kühler Kopf bewahren lässt und die komplette EDV versagt.
Gut, dass die Gäste nach der Kaffeepause einen Umschlag mit Notfallkarten auf ihren Stühlen vorfinden, die sie für die Vorbereitung im eigenen Betrieb einsetzen können. Es sind die Komponenten eines Protokolls, das individualisiert werden sollte und dann griffbereit in der Schublade liegt – hoffentlich ohne zum Einsatz kommen zu müssen.
