„Im Cyber-Umfeld gibt es kein Vertrauen.“

Zunächst einmal glaube ich, dass die Art und Weise, wie wir die neue Technologien regulieren, von entscheidender Bedeutung sein wird. Wir haben die Möglichkeit, aus Erfahrungen zu lernen – damit können wir Vorschriften und Richtlinien für Technologien wie generative künstliche Intelligenz (KI) entwickeln, die von Grund auf wirklich sicher sind.

KI hat ja einen zweischneidigen Charakter, sie kann sowohl für Angriffe wie Cyberkriminalität benutzt werden, als auch zur Verteidigung. Deswegen müssen wir sie proaktiv steuern. Indem wir tragfähige Richtlinien festlegen, die schon zukünftige Entwicklungen im Blick haben, können wir die mit diesen Technologien verbundenen Risiken mindern oder sie zumindest klar identifizieren, bevor sie zu weit verbreiteten Problemen werden.

Darüber hinaus denke ich, dass die Entwicklung gemeinsamer Governance-Strategien und -Richtlinien zur Folge haben wird, dass sich die Verantwortung für die Sicherheit vom Endverbraucher weg verlagert (das heißt von den Anwendern dieser Technologie) – wo sie quasi unbemerkt gelandet ist.

Unser Ziel muss sein, widerstandsfähigere Systeme zu schaffen und dafür zu sorgen, dass Sicherheitsstandards von Beginn an in die Technologie integriert sind. So können wir Verbraucher schützen, ohne dass jeder einzelne über spezielle Kenntnisse verfügen oder die eigenen Daten aufwendig schützen muss.

Außerdem haben wir noch zu wenige Fachleute in diesem Bereich und müssen unsere Cyber-Fähigkeiten ausbauen. Das steht ganz oben auf der Dringlichkeits-Liste. Das Thema Cybersicherheit entwickelt sich rasant und die Nachfrage nach qualifizierten Fachkräften übersteigt das Angebot. Ein kürzlich erschienener, sehr umfassender Bericht, der das Ausmaß des Problems sehr gut verdeutlicht, zeigt, dass der weltweite Fachkräftemangel dazu führen könnte, dass bis 2030 mehr als 85 Millionen Arbeitsplätze unbesetzt bleiben.

Weil diese Fachkräfte fehlen, sind Wirtschaft und Gesellschaft nicht gut geschützt. Organisationen fällt es schwerer, auf Cybervorfälle zu reagieren oder sich an neue Entwicklungen in der Landschaft wie generative KI anzupassen, ganz zu schweigen von ihrer grundsätzlichen Fähigkeit, robuste Sicherheitsvorkehrungen aufrechtzuerhalten. Wir müssen dringend in die Ausbildung investieren, um eine fähige Belegschaft aufzubauen, die mit neuen Cyber-Bedrohungen umgehen kann. Wir müssen darüber hinaus aber auch zu kreativeren Lösungen kommen, um das Interesse an der Branche zu wecken und Wege finden, Arbeitnehmer jenseits etablierter Zertifizierungssysteme auszubilden.

Die größte Sorge, die wir haben, ist die zunehmende Ungleichheit im Internet.

Es ist kein Geheimnis, dass die Cybersicherheitsbranche immer weiter wächst. Vor allem, da der Trend zum mobilen Arbeiten anhält sowie zum „Internet of Things“ (IoT) und wir immer mehr Geräte benutzen, die mit dem Internet verbunden sind. Die größte Sorge, die wir diesbezüglich haben, ist die zunehmende Ungleichheit: Wir sehen eine wachsende Kluft zwischen Organisationen, die gut auf Cyberangriffe vorbereitet sind, und denen, die dieser Herausforderung kaum gewachsen sind. Cyber-Resilienz bedeutet, einen Cyber-Angriff zu antizipieren, ihm standzuhalten, sich davon zu erholen und mit ihm zu leben.

Kleine und mittlere Unternehmen (KMU) sind besonders gefährdet: Wir sehen, dass die Zahl der KMU, die wenigstens eine minimale Cyber-Resilienz haben, seit 2022 um 31 Prozent zurückgegangen ist. Das verschärft die Ungleichheit zwischen großen und kleinen Organisationen.

Der Boom in der Cybersicherheitsbranche ist unterm Strich nur dann positiv, wenn wir kreative Lösungen finden, diese Ungleichheit zu verringern. Denn auch die KMU, die um ein Mindestmaß an Cyber-Resilienz ringen, sind Teil der Wertschöpfungsketten und damit des Ökosystems ihrer größeren „widerstandsfähigeren“ Partner. Die festgestellte Sicherheitslücke hat also einen nachgelagerten Effekt, den wir nicht ignorieren dürfen.

Etwa die Hälfte der befragten Experten ist sich einig, dass generative KI in den nächsten zwei Jahren den größten Einfluss auf die Cybersicherheit haben wird.

Dies war in diesem Jahr ein besonders interessantes Thema für die Experten, die wir für unseren Report befragt haben. Sie sehen das pessimistisch: Nicht einmal jeder zehnte glaubt, dass generative KI in den nächsten zwei Jahren den Verteidigern gegenüber den Angreifern einen Vorteil verschaffen wird.

Und etwa die Hälfte der befragten Experten ist sich einig, dass generative KI in den nächsten zwei Jahren den größten Einfluss auf die Cybersicherheit haben wird. Dies ist kurz- bis mittelfristig ein besonders drängendes Problem, das es zu bewältigen gilt, denn die Angreifer halten sich nicht an Vorschriften und Gesetze, nicht an die Rechtsaufsicht oder folgen den Vorgaben von Gremien, die über den ordnungsgemäßen Einsatz neuer Technologien beraten – daher sind ihre Möglichkeiten, mit neuen Angriffsmethoden zu experimentieren, wesentlich umfassender als die eines Verteidigers, der innerhalb der rechtlichen und ethischen Parameter seiner Organisation agiert.

Eines der interessantesten Szenarios, die wir uns genau anschauen, ist, wie Deep Fakes zur Manipulation von Wahlen oder auch privaten Unternehmen eingesetzt werden. Beispielsweise wurde im August 2023 ein Softwareunternehmen Opfer eines unglaublich fortschrittlichen und komplexen Social-Engineering-Angriffs, bei dem mithilfe von KI ein Deepfake-Audio eines Mitarbeiters erstellt wurde, 
also eine Tondatei mit einer Stimme, die so klingt wie jemand, der in dem Unternehmen arbeitet. Die Angreifer schickten den Mitarbeitern eine gefälschte SMS (ein Smishing-Angriff) und luden sie ein, sich zur betrieblichen Krankenversicherung anzumelden. Ein Mitarbeiter klickte auf den Link in der SMS und übermittelte seine Zugangsdaten. Unmittelbar danach erhielt er einen Anruf mit der Bitte, sich per Multifaktor-Authentifizierungscode (MFA) zu identifizieren.

Hier wäre die Geschichte möglicherweise in einer Pre-Deep-Fake-Landschaft zu Ende gewesen, da wir wohl alle darauf trainiert wurden, keine sensiblen Sicherheitsinformationen an Fremde weiterzugeben. Aber der Mitarbeiter glaubte, mit einem Kollegen zu sprechen, und gab  den Code an. So konnten die Angreifer in die Systeme der Organisation eindringen.

Ein Teil unserer Aufgabe besteht darin, Mitarbeitern und Führungskräften gleichermaßen verständlich zu machen, dass wir jetzt sowohl online als auch offline in einer Umgebung arbeiten, die kein Vertrauen kennt (zero trust). 

Solche Fälle haben wir vermehrt gehört, auch sehr hochrangige Führungskräfte wurden Opfer solcher Angriffe. Ein Teil unserer Aufgabe besteht darin, Mitarbeitern wie Führungskräften verständlich zu machen, dass wir jetzt in einer "Zero-Trust"-Umgebung arbeiten, sowohl online als auch offline. Wir nennen das bewusst Null-Vertrauen-Sicherheit: das bedeutet, dass man niemandem vertraut, der Zugangsdaten haben will, und wir solche Anfragen immer überprüfen.

Wir müssen uns mit der Tatsache auseinandersetzen, dass einige der Probleme, die bei der Cybersicherheit auf uns zukommen, sehr personalisierte Lösungen erfordern dürften. Sie müssen die technischen Lösungen ergänzen, damit wir über traditionelle Sicherheitslösungen hinausgelangen.

Täuschen Sie sich nicht, das ist tatsächlich ein großes Problem. Nochmal eine Zahl dazu: Allein im Vereinigten Königreich zeigen Untersuchungen, dass bereits jetzt 43 Prozent der britischen KMU nicht in der Lage waren, das notwendige Personal einzustellen. Dabei müssen wir zunächst einmal den Unterschied verstehen zwischen einem echten Mangel an qualifizierten Arbeitskräften in diesem Bereich und einem Defizit dabei, die vorhandenen Talente zu halten und effizient einzusetzen. 

Ich sehe eine von Reihe kreativen Möglichkeiten, damit umzugehen. Ich denke, der erste Schritt, der in einer Vielzahl von Organisationen bereits sehr erfolgreich umgesetzt wurde, besteht darin, Mitarbeiter mit fachfremdem Hintergrund weiterzubilden. Das spart auch Geld. Es ist in der Regel viel kostengünstiger, einen Mitarbeiter mit einem Verständnis für Cyberangriffe bei der Weiterqualifizierung zu unterstützen und ihn dann mit solchen Aufgaben zu betrauen, damit er praktische Erfahrungen sammeln kann, als eine neue Kraft von außen zu holen und völlig neu einzuarbeiten.  

Die Cyberbranche insgesamt hat ein Problem damit, Frauen anzuziehen und zu halten.

Ein weiteres Thema ist Mitarbeiterbindung, insbesondere bei Frauen im Cyber-Bereich. Die Branche tut sich schwer, Mitarbeiterinnen zu gewinnen und zu halten. Es gilt daher, Frauen zu ermutigen, in Positionen im Bereich Cybersicherheit einzusteigen und dort erfolgreich zu sein. Das erweitert den Talentpool und die Perspektiven. Das wiederum ist für innovative Problemlösungen von entscheidender Bedeutung.

Die gemeinnützige Stiftung Women4Cyber will mehr Frauen für diesen Bereich gewinnen. Sie ermutigt und unterstützt Frauen durch Mentoring, Networking und Karriereentwicklung. Wir brauchen mehr von solchem Engagement.um aus den Mustern und Trends auszubrechen, die uns in den letzten Jahrzehnten geplagt haben.

Wir müssen das Problem auf allen Ebenen angehen, mit Fokus auf drei Aspekten:

• Qualifizierung von Arbeitskräften mit fachfremdem Hintergrund
• Bindung und Förderung von Frauen – wie übrigens auch von Cyber-Fachkräften aus dem globalen Süden –, um den Talentpool weiter zu diversifizieren und Innovationen zu fördern.
• Nutzung öffentlich-privater Partnerschaften für Bildungs- und Ausbildungsprogramme, um einen stetigen Nachschub an qualifizierten Fachkräften sicherzustellen.

Man kann das eine nicht ohne das andere haben. Bei der Erstellung des diesjährigen Berichts haben wir viel darüber nachgedacht, welche systemischen Schlüsselindikatoren für Cyber-Resilienz es gibt und was sie zur Widerstandsfähigkeit beitragen – sowohl auf der Ebene einzelner Unternehmen wie auch ganzer Branchen und sogar Volkswirtschaften .

Zu diesen Schlüsselindikatoren gehören Aspekte wie die Zusammenarbeit innerhalb von Branchen, die Klarheit und Wirksamkeit von Vorschriften, die Reife und Verfügbarkeit des Marktes für Cyber-Versicherungen – aber genauso das Ausmaß, in dem Unternehmen überhaupt die Cyber-Risiken verstehen, die von ihren eigenen Lieferketten beziehungsweise ihren Partnern ausgehen.

Ohne Bewusstsein für das gesamte Ökosystem kann es keine Cyber-Resilienz geben.

In diesem Jahr waren wir besonders beeindruckt von der Feststellung, dass 41 Prozent der Unternehmen, die bereits erheblich unter des Folgen eines Cyberangriffs gelitten hatten, angaben, dieser sei über einen Dritten erfolgt – und dennoch geben viele unserer Befragten an, wenig über die Cybersicherheit ihrer Partner in den eigenen Lieferketten zu wissen. Das ist so, als würden Sie viel in ein schickes Schloss für Ihre Haustür investieren, den Schlüssel aber an jeden weitergeben, der ihn haben will, unabhängig davon, wie gut Sie ihn kennen. Meiner Meinung nach kann es ohne Bewusstsein für das gesamte Ökosystem keine Cyber-Resilienz geben.

Lassen Sie mich drei Beispiele für Kategorien nennen, in denen Zusammenarbeit durch öffentlich-private Maßnahmen Wege für Fortschritte schafft, die sonst unmöglich wären. Das erste ist das Konzept des Austauschs von „Bedrohungsinformation“, was wir derzeit über unseren Cybercrime-Atlas tun. Solche Plattformen, auf denen sich Regierungsbehörden und private Unternehmen in Echtzeit austauschen können, sind von entscheidender Bedeutung. Der Atlas kartiert kriminelle Handlungen, Netzwerke und Infrastruktur von Cyberkriminalität und zeigt Forschungsergebnisse in praxisnaher Form. Das trägt dazu bei, cyberkriminelle Aktivitäten zu stören. 

Zweitens, die Ausbildung. Die Qualifikationslücke kann natürlich kein Unternehmen und keine Regierung allein schließen. Öffentlich-private Partnerschaften können dazu beitragen, gemeinsam Schulungsprogramme für Cybersicherheit zu entwickeln. Programme wie die Cybersecurity-Talent-Initiative in den USA rekrutieren und schulen Experten für Cybersicherheit im öffentlichen und privaten Sektor.

Wir brauchen Zusammenarbeit über die Grenzen zwischen öffentlichem und privatem Sektor, über Branchen- und Ländergrenzen hinweg.

Und schließlich brauchen wir die eine Zusammenarbeit über die Grenzen zwischen öffentlichem und privatem Sektor, über Branchen- und Ländergrenzen hinweg, wenn wir gemeinsame Standards und Rahmen für Cybersicherheit entwickeln und redundante oder sogar widersprüchliche Vorschriften ausschließen wollen.

Es hat sich gezeigt, dass die Entwicklung gemeinsamer Standards und Rahmenbedingungen für Cybersicherheit die Sicherheitspraktiken branchenübergreifend effizienter macht und die Ergebnisse verbessert. Ein gutes Beispiel ist das NIST Cybersecurity Framework, das in Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor entwickelt wurde und heute ein allgegenwärtiges Werkzeug in der gesamten Branche ist.

Ich liebe diese Frage, weil ich denke, dass die Antwort in der Frage selbst liegt. Systemische Widerstandsfähigkeit in der Cybersicherheit kann tatsächlich nur durch eine wirklich gemeinsame und geteilte Verantwortung erreicht werden, die verschiedene Interessengruppen einschließt: Regierungen, Organisationen des privaten Sektors und jeden einzelnen Endnutzer. 

Während wir beispielsweise darauf angewiesen sind, dass Regierungen kohärente und umfassende Rahmenwerke für Regulierung schaffen, ist internationale Zusammenarbeit genauso die Voraussetzung für das Lernen voneinander, für die Weiterentwicklung und die Vermeidung widersprüchlicher Regelungen zwischen einzelnen Ländern.

Wenn es beispielsweise um Fortschritte im Kampf gegen Cyberkriminalität geht, müssen private Organisationen daran arbeiten, praktikable und skalierbare Methoden des Informationsaustauschs zu entwickeln, um die kollektive Verteidigung zu verbessern. Die Zusammenarbeit zwischen Regierungen und privaten Organisationen wiederum kann dazu beitragen, das wachsende Problem der Cyber-Ungleichheit anzugehen. Und die Zivilgesellschaft kann dazu beitragen, den Wissenstransfer zwischen großen cyber-resistenten Organisationen und kleineren Organisationen zu erleichtern. 

Systemische Widerstandsfähigkeit ist eindeutig eine kollektive Verantwortung. Das darf aber nicht darüber hinwegtäuschen, dass die größte Verpflichtung bei denjenigen liegt, die über den größten Einfluss und die meisten Ressourcen verfügen, um wirksame Maßnahmen zur Cybersicherheit umzusetzen und bei der Etablierung von Normen für den digitalen Raum mitzuhelfen. Ein enger Schulterschluss aller Beteiligten ist absolut unerlässlich, wenn wir signifikante Fortschritte auf dem Weg zu einer sichereren und widerstandsfähigeren digitalen Welt erzielen wollen.

Dieses Interview wurde geführt von Maike Tippmann, 07/2024.