Menschliches Risiko CTO

Die Zukunft der Cybersicherheit wird von Menschen bestimmt, nicht nur von der Technologie. Da sich die Bedrohungen weiterentwickeln, wird das menschliche Risiko – die Entscheidungen, Gewohnheiten und die Kultur innerhalb von Organisationen – die Widerstandsfähigkeit mehr denn je bestimmen.

In dieser Frage und Antwort geht Andy Fielder der Frage nach, wie Führungskräfte die Herausforderungen von morgen antizipieren und eine dauerhafte Sicherheitsmentalität aufbauen können.

Was sind Ihrer Meinung nach die größten Cyber-Bedrohungen, mit denen Unternehmen heute konfrontiert sind?

Die wichtigsten Bedrohungen haben sich nicht unbedingt geändert, aber sie sind ausgefeilter und schwerer abzuwehren. Ransomware ist nach wie vor ein großes Problem, aber es ist auffällig, wie professionell sie geworden ist. Diese Gruppen operieren jetzt wie seriöse SaaS-Unternehmen, mit eigenen technischen Teams, Support-Abteilungen und strukturierten Abläufen. Durch diesen Organisationsgrad ist es für mehr Menschen einfacher geworden, sich zu beteiligen, und der finanzielle Anreiz ist enorm. Einige Schätzungen gehen davon aus, dass die Einnahmen aus allen Arten von Cyberkriminalität mit der Größe der russischen Wirtschaft konkurrieren. Bei dieser Art von Rendite ist es keine Überraschung, dass das organisierte Verbrechen weiterhin stark in diesen Bereich investiert.

Der Diebstahl von Zugangsdaten ist eine weitere große Bedrohung. Die meisten Unternehmen verfügen über angemessene technische Kontrollen, um sich gegen gängige Angriffe zu schützen, so dass Angreifer es zunehmend auf die Anmeldedaten der Benutzer abgesehen haben. Indem sie nicht-geschäftliche Plattformen kompromittieren, auf denen Passwörter wiederverwendet werden, können sie Anmeldedaten sammeln und Bots einsetzen, um zu überprüfen, welche davon funktionieren. Diese Anmeldedaten werden oft gespeichert und später für gezielte Angriffe verwendet. Das ist ein methodischer Ansatz, der herkömmliche Verteidigungsmaßnahmen umgeht und sehr effektiv ist.

Der dritte Bereich, der Anlass zur Sorge gibt, ist die Kompromittierung von Lieferanten. Unternehmen können sich nicht mehr als isolierte Einheiten betrachten. Angreifer wissen, dass Zulieferer oft schwächere Sicherheitsvorkehrungen treffen, und sie nutzen diese Vertrauenslücke aus. Wir haben im Einzelhandel und in der Automobilindustrie Fälle erlebt, in denen Angreifer über einen Zulieferer und nicht über das Unternehmen eingedrungen sind. Sobald die Angreifer eingedrungen sind, wenden sie sich dem Hauptziel zu. Dies ist ein deutlicher Hinweis darauf, dass die Cybersicherheit über das Unternehmen hinaus auf sein gesamtes Ökosystem ausgedehnt werden muss.

Wie haben sich diese Bedrohungen in den letzten Jahren entwickelt – und was ist der Grund für diese Veränderung?

Die größte Veränderung ist die Professionalisierung der Internetkriminalität. Früher war es etwas, das die Leute aus Spaß gemacht haben – ein Teenager in seinem Schlafzimmer, der beweisen wollte, dass er einbrechen kann. Das passiert zwar immer noch, aber was sich wirklich verändert hat, ist der Aufstieg strukturierter, organisierter Operationen. Diese Gruppen funktionieren jetzt wie richtige Unternehmen, mit Teams, Infrastruktur und Zielen. Dieser Organisationsgrad hat die Angriffe skalierbarer, gezielter und weitaus gefährlicher gemacht.

Auch die Aktivitäten der Staaten haben erheblich zugenommen. Die Cyber-Kriegsführung ist zu einem anerkannten Instrument für wirtschaftliche und geopolitische Störungen geworden – eine Möglichkeit für Nationen, Einfluss zu nehmen oder Schaden anzurichten, ohne dass es zu einem physischen Konflikt kommt. Die Bedrohung, die dies darstellt, ist heute eine ganz andere. Sie ist strategisch, gut finanziert und zielt oft darauf ab, die nationale Infrastruktur oder große Unternehmen zu untergraben.

Gleichzeitig haben bessere technische Kontrollen die Angreifer dazu gezwungen, ihre Taktik zu ändern. Es ist schwieriger, Firewalls und Endpunkt-Schutzmechanismen zu durchbrechen, so dass sich der Fokus auf das menschliche Verhalten verlagert hat. Social Engineering ist zu einem der einfachsten und effektivsten Einfallstore geworden. Wenn es einem Angreifer gelingt, jemanden zur Herausgabe von Anmeldedaten zu verleiten oder genügend persönliche Informationen zu sammeln, um sich als derjenige auszugeben, kann er die technischen Sicherheitsvorkehrungen umgehen. Wenn sie erst einmal drin sind, sehen sie wie ein legitimer Benutzer aus und werden erst entdeckt, wenn verdächtige Aktivitäten beginnen. Diese Verlagerung von Systemen zu Menschen ist eine der bedeutendsten Entwicklungen, die wir erlebt haben.

Inwiefern mussten die Unternehmen angesichts dieser Veränderungen ihren Ansatz zur Cyberabwehr überdenken?

Die Lieferkette steht jetzt im Mittelpunkt. Unternehmen haben erkannt, dass sie nur so sicher sind wie die Anbieter und Partner, auf die sie sich verlassen. Das bedeutet, dass sie wissen müssen, wer diese Lieferanten sind, wie sie ihre eigene Sicherheit handhaben und sie zur Rechenschaft ziehen. Die Kompromittierung von Zulieferern ist heute einer der wahrscheinlichsten Einstiegspunkte für Angriffe, und dieser Wandel zwingt die Unternehmen dazu, ihre Verteidigungsstrategie über die eigenen Mauern hinaus zu erweitern.

Gleichzeitig hat ein Umdenken bei den technischen Kontrollen stattgefunden. Früher konnte man sich einigermaßen sicher fühlen, wenn man über solide Firewalls, ein gutes Security Operations Centre (SOC) und die richtigen Tools verfügte. Aber die Angreifer haben sich angepasst. Sie haben es auf Anmeldedaten abgesehen, was bedeutet, dass sie all diese Schutzmechanismen umgehen können. Die meisten Sicherheitsverletzungen sind heute auf menschliches Versagen zurückzuführen – jemand klickt auf den falschen Link, gibt die falschen Details weiter oder verwendet ein Passwort erneut.

Im Gegensatz zu technischen Kontrollen, die sich konsistent verhalten, sind Menschen unberechenbar. Wir alle haben unterschiedliche Risikobereitschaft und Gewohnheiten, und diese Variabilität ist schwer zu handhaben. Dies hat zu der Erkenntnis geführt, dass Cybersicherheit nicht mehr nur ein technisches Problem ist, sondern auch ein menschliches. Sicherheit ist nicht mehr ausschließlich die Aufgabe der IT-Abteilung, sondern die Aufgabe eines jeden. Diese Verlagerung von der Technik zum Menschen ist eine der wichtigsten Veränderungen, die wir erlebt haben.

Welche neuen Bedrohungen werden Ihrer Meinung nach in den nächsten 3-5 Jahren die größte Herausforderung darstellen?

KI verändert das Spiel bereits auf beiden Seiten. Defensiv können wir KI nutzen, um Muster zu erkennen, abnormes Verhalten zu entdecken und das Rauschen zu durchdringen, um echte Bedrohungen zu erkennen. Aber Kriminelle nutzen dieselbe Technologie, um ihre Angriffe überzeugender und effektiver zu gestalten.

Nehmen Sie Phishing. Früher war dies aufgrund schlechter Rechtschreibung und Grammatik leicht zu erkennen. Jetzt kann die KI Nachrichten erstellen, die völlig legitim aussehen, so dass es viel schwieriger ist, sie zu erkennen. Das wird nur noch raffinierter werden. Es wird immer wichtiger, dass die Menschen verstehen, wie diese Bedrohungen aussehen, damit sie nicht erwischt werden.

Wenn wir weiter in die Zukunft blicken (5 bis 15 Jahre), wird das Quantencomputing die Welt verändern. Es wird die Verschlüsselungsmethoden brechen, die derzeit Banken, Kryptowährungen und mehr schützen. Das ist eine beängstigende Aussicht, denn vieles von dem, worauf wir uns beim digitalen Vertrauen verlassen, könnte gefährdet sein. Auch wenn dies noch in weiter Ferne liegt, ist dies eine Bedrohung, der wir uns irgendwann stellen müssen.

Es entstehen PQC-Standards (Post-Quantum Cryptography), die zum Schutz in einer Quantenwelt beitragen werden. Unternehmen müssen damit beginnen, ihren Kryptographie-Fußabdruck zu verstehen und ihren Übergang zu PQC zu planen, um bereit zu sein.

Welche praktischen Schritte können Organisationen unternehmen, um sich gegen die sich entwickelnden Risiken abzusichern?

Der Schlüssel ist Resilienz – die Annahme, dass ein Vorfall eintreten wird und die entsprechende Vorbereitung. Das bedeutet, dass Sie über robuste Erkennungstools wie SIEM-Plattformen verfügen, die Protokolle über alle Systeme hinweg zusammenfassen und KI sowie menschliche Analysen nutzen, um Bedrohungen frühzeitig zu erkennen.

Es geht auch darum, Pläne für die Wiederherstellung im Notfall und die Reaktion auf Vorfälle zu testen, damit jeder seine Rolle kennt. Wie werden Sie betroffene Systeme isolieren? Wer kommuniziert mit den Beteiligten? Haben Sie forensische Spezialisten auf Abruf?

Ein gut vorbereitetes Unternehmen kann Angriffe schnell erkennen, eindämmen und wiederherstellen – und transparent kommunizieren. Das schafft Vertrauen, denn die Kunden verstehen, dass niemand gegen Cyberangriffe immun ist.

Ein weiteres wichtiges Prinzip ist die „Linksverschiebung“, d.h. die Einbettung von Sicherheit von Beginn des Produktdesigns oder der Systementwicklung an, anstatt sie später aufzuschrauben. Sicherheit durch Design ist viel effektiver.

Gibt es aktuelle oder bevorstehende Vorschriften, die den Umgang von Unternehmen mit Cybersecurity-Risiken neu gestalten könnten?

Ja, insbesondere aus der EU. Der Digital Operational Resilience Act (DORA) hat einen erheblichen Einfluss. Es legt großen Wert auf das Risikomanagement von Zulieferern, indem es Dritte zur Rechenschaft zieht und sicherstellt, dass Unternehmen ihre Sicherheit in der Lieferkette vollständig verstehen.

Der EU Cyber Resilience Act (CRA) konzentriert sich auf Software und IoT-Geräte und stellt sicher, dass digitale Produkte über ihren gesamten Lebenszyklus hinweg sicher sind. Bei Nichteinhaltung drohen hohe Strafen – 15 Millionen Euro oder 2,5 % des weltweiten Umsatzes. Dies wird voraussichtlich ab 2027 gelten, so dass SaaS-Anbieter jetzt mit der Vorbereitung beginnen müssen.

Inwiefern verändert künstliche Intelligenz die Landschaft des Risikomanagements?

KI verändert das Risikomanagement sowohl defensiv als auch offensiv.

Auf der defensiven Seite analysiert es die riesigen Datenmengen, die unsere Systeme erzeugen. Es erkennt Anomalien, hebt Risiken hervor und automatisiert die Triage, so dass sich die menschlichen Analysten auf die Eindämmung konzentrieren können.

Auf der offensiven Seite nutzen Kriminelle KI, um Systeme zu testen, Deepfakes zu erzeugen und ausgeklügelte Phishing-, Smishing- und Social-Engineering-Kampagnen durchzuführen. Deshalb ist Aufklärung so wichtig. Die Menschen müssen lernen, wie realistisch diese Bedrohungen sein können, sie müssen Simulationen ausprobieren und Quellen verifizieren, anstatt dem zu vertrauen, was sie online sehen. Sensibilisierung und Validierung sind entscheidend.

Könnte die Automatisierung jemals das menschliche Urteilsvermögen bei der Reaktion auf Cyber-Vorfälle vollständig ersetzen?

Nein. Die Automatisierung beschleunigt die Erkennung und liefert die richtigen Informationen, aber das menschliche Urteilsvermögen ist unerlässlich.

Jedes Unternehmen hat eine andere Risikobereitschaft und einen anderen Kontext. Was für eine Bank entscheidend ist, ist es für einen Einzelhändler vielleicht nicht. Automatisierung unterstützt die Entscheidungsfindung, aber sie kann nicht das nuancierte Verständnis des Menschen ersetzen.

Der beste Ansatz ist eine Kombination aus Automatisierung und menschlichem Verständnis – das eine kann das andere nicht ersetzen.

Wie können Unternehmen ihre Mitarbeiter besser in die Lage versetzen, die erste Verteidigungslinie zu bilden?

Es beginnt mit der Kultur. Die Sicherheit muss in der Verantwortung aller liegen, nicht nur in der eines bestimmten Teams. Wenn die Mitarbeiter das Gefühl haben, dass sie sich für den Schutz des Unternehmens und ihrer selbst einsetzen, verbessert sich die gesamte Sicherheitslage.

Aufklärung und die richtigen Werkzeuge sind wichtig, aber die Kultur bestimmt das Verhalten. Es ist weitaus effektiver, wenn Sie von Bestrafungen absehen und stattdessen gute Sicherheitsgewohnheiten belohnen. Sie wollen keine Kultur der Angst – Sie wollen gemeinsame Verantwortung und Bewusstsein.

Wenn die Mitarbeiter in die Lage versetzt werden, die Organisation zu schützen, können sie sich auch in ihrem persönlichen Leben schützen.

Cyber-Risiken stehen nicht still. Das sollten Sie auch nicht. Erfahren Sie mehr im MetaCompliance-Blog.