Cybersicherheit: So leicht knacken Hacker Unternehmen - Sicherheitsexperte warnt

Das Gespräch führte Thorsten Giersch.

Lösegelderpressung, Datendiebstahl, Industrie­s­pionage: Cyberkriminelle bedrohen längst auch kleinere Unternehmen. Wissen die inzwischen um die Gefahr?

• Michael Veit: Ja, die Einschläge kommen inzwischen sehr nahe. Belegt durch Studien wissen nun die Allermeisten, dass in den vergangenen zwölf Monaten auf mehr als achtzig Prozent der deutschen Unternehmen jeweils ein Cyberangriff verübt wurde. Zwei Drittel der Betriebe haben Angst, dass Cyberangriffe ihre Existenz bedrohen könnten.

Zehn Prozent aller Unternehmen wissen aber nicht, dass sie zum Opfer eines Cyberangriffs geworden sind.

• Michael Veit:  Gerade das Thema Erkennung haben viele Betriebe immer noch nicht umgesetzt. Die setzen auf die Sicherheitskonzepte der vergangenen zwanzig Jahre. Aber die Angreifer bewegen sich heute auf Schleichfahrt durchs Unternehmensnetzwerk, und traditionelle Lösungen erkennen diese Attacken oftmals nicht rechtzeitig.

Wobei moderne Abwehrtechnologie das eine ist. Man braucht auch die Menschen, die diese ­Technologie bedienen.

• Michael Veit:  Das ist für die meisten Unternehmen tatsächlich die größte Hürde. Es fehlt schlichtweg das fachkundige Personal, das Angreifer frühzeitig erkennen, analysieren und auch stoppen kann – 24 Stunden am Tag. Diese Sicherheit lässt sich auch auslagern. Wir schützen zum Beispiel mit eigenem Personal mehr als 28.000 Kunden weltweit mit einem sogenannten Managed Detection and Response Service. Unsere Spezialisten überwachen Sensoren der Kunden und stoppen den Angriff. Häufig buchen sehr kleine oder mittelgroße Unternehmen solche Dienste wie unsere, um sich eigenes Personal zu sparen.

Klappt das auch mit dem System, das das Unternehmen bereits hat?

• Michael Veit:  Ja, das ist eine Besonderheit unseres Teams. Wir stellen Unternehmen die Spezialisten zur Verfügung und die arbeiten mit den Systemen, die schon im Einsatz sind. Dazu zählen Sicherheitslösungen wie Endpoint-Schutz, Firewall, Cloud-Security oder E-Mail-Security. Aber auch Lösungen aus anderen Bereichen wie Backup, Groupware, Microsoft 365 oder Identity&Access Management. Egal ob die Lösung von Sophos oder von einem anderen Hersteller ist, unsere Spezialisten nutzen die Signale, die Telemetrie all dieser Sicherheitslösungen. Wir sind praktisch herstellerunabhängig und bieten das, was in den Unternehmen besonders knapp ist – das fachkundige Personal, das die Sicherheitslösungen betreibt.

Derzeit kümmern sich Tausende Unternehmen, die Datenschutzgrundverordnung DSGVO und die EU-Cybersicherheitsrichtlinie Nis-2 umzusetzen. Was beinhaltet das im Alltag?

• Michael Veit:  Wenn ich den Verdacht habe, dass personenbezogene Daten meines Unternehmens oder meiner Kunden in der Hand eines Angreifers sind, ist das ein Datenschutzverstoß. In dem Moment habe ich Berichtspflichten. Wenn das Unternehmen dank guter Systeme nachweisen kann, dass keine Daten abgeflossen sind, kann es um eine Meldung herumkommen. Wenn es nur einen Virenschutz und eine Firewall hat und nicht das Gegenteil beweisen kann, muss es prophylaktisch einen möglichen Verstoß melden. Dasselbe gilt auch für NIS-2: Man hat weniger Probleme mit Compliance, weil die Angreifer einfach in den frühen Phasen eines Angriffs gestört werden.

Welche Rolle spielt künstliche Intelligenz?

• Michael Veit:  Die setzen sowohl Angreifer als auch Verteidiger ein. Die Angreifer verwenden KI vor allem, um Sicherheitsmaßnahmen zu umgehen. Mit ChatGPT kann auch ein russischer Hacker E-Mails auf Deutsch schreiben lassen, die aussehen, als kämen sie vom Betriebsrat und kündigten ein neues Mitarbeiterprogramm an. Die Details stehen im Anhang, weil der Empfänger dieses vermeintliche Betriebsratsdokument öffnen soll. Und dann bekommen die Hacker Zugang zum System des Unternehmens. Man kann KI auch nutzen, um Schadsoftware zu schreiben, die ein Virenscanner nicht erkennt.

Was sonst noch?

• Michael Veit:  KI kann Stimmen imitieren und mein Bild täuschend echt nachmachen. Wir haben uns in Videokonferenzzeiten an eine minimale Verzögerung des Gegenübers gewöhnt. Und die reicht schon, dass eine KI praktisch live ein Bild von mir und meiner Stimme erzeugen und einspielen kann. Ein Beispiel: Ich bin Buchhalter und mein Chef sagt mir in einer Videokonferenz: Wir kaufen jetzt eine neue Firma, überweise mal Geld und sag vor allem niemandem Bescheid. Solche Angriffe gab es bereits. Ich kann dem nicht mehr vertrauen. Diese Deepfakes sind eine komplett neue Dimension, die durch KI unterstützt auf uns zukommt.

Aber Sie nutzen KI ja auch zum Schutz, oder?

• Michael Veit:  Wir nutzen Telemetriedaten und verwenden Informationen von ganz vielen Stellen des Unternehmensnetzwerks, um Angreifer frühzeitig zu identifizieren. Anomalie-Erkennung läuft über sehr große Datenmengen. Die kann nur KI für uns sortieren.

Es gibt spezielle Versicherungen für den Fall, dass ein Betrieb Opfer eines Cyberangriffes wurde. Welche Bedingungen haben die?

• Michael Veit:  Eine Cyber-Risikoversicherung ist häufig Teil von einer allgemeinen Unternehmensversicherung. In Deutschland haben etwa drei Viertel aller Unternehmen entweder eine Cyber-Risikoversicherung oder diese Risiken in ihrer allgemeinen Unternehmensversicherung abgedeckt. Zu den Bedingungen gehört in der Regel, dass IT-Sicherheitsmaßnahmen nach dem Stand der Technik eingesetzt werden und auch, dass die aktiv von Menschen bedient werden. Es muss ein Security Operations Center dahinterstecken, also Spezialisten, die entsprechend reagieren. Das ist ein Weg, zu verhindern, dass man allzu viel zahlen muss für die Cyber-Risikoversicherungen.

Und die Geschäftsführenden können ruhiger schlafen?

• Michael Veit:  Die Haftungsfrage ist schon Motivator, Nis-2 auch umzusetzen. Geschäftsführer sind dafür verantwortlich, dass vom Unternehmen Schaden abgewendet wird. Dazu gehört, dass kein Cyberangriff den Geschäftsbetrieb lahmlegt – mit immensen Kosten. Theoretisch haftet der Geschäftsführer mit dem gesamten Privatvermögen, falls er diesen Schaden nicht verhindert. <<

der Oberschützer

Michael Veit arbeitet seit 2008 beim IT-Sicherheitsspezialisten Sophos. Er vertritt die Briten als Technology Evangelist nach außen. Veit studierte Wirtschaftsinformatik an der TU Darmstadt.

© Sophos