Herr Kuhlee, wie hat sich die Cybersicherheitslage für Unternehmen bislang im Jahr 2022 verändert? Hat sich das Risiko durch den russischen Angriff auf die Ukraine erhöht?

Durch den Ukraine-Krieg hat sich das Lagebild zwar verschärft, aber nicht verändert. Die Ransomware-Attacken werden in dem Zusammenhang nun allerdings häufiger auch als Zerstörungsmittel eingesetzt, die Angreifer verschlüsseln also die Systeme und geben die Daten im Anschluss nicht mehr frei. Man darf den Blick jetzt aber nicht nur nach Russland richten, denn auch aus anderen Ländern kommen nach wie vor Cyberangriffe. Unternehmen müssen das Thema daher generell ernst nehmen.

Welche Branchen standen denn zuletzt besonders im Fokus von Hackern?

Die Angreifer greifen letztlich immer das schwächste Glied an. Sie gehen vor wie jemand, der mit einem großen Netz im Ozean „fischt“ – da weiß man auch erst, wen man erwischt hat, wenn man das Netz an Bord zieht. Kurz gesagt: Der Sektor ist den meisten Hackern mit monetären Absichten eigentlich egal. Anders sieht es natürlich mit Blick auf den „Cyberkrieg“ aus: Hier werden ausgesuchte Ziele angegriffen. Derzeit sehen wir das entsprechend gehäuft im Zusammenhang mit dem Ukraine-Krieg.

In welchem Maße sehen sich hiesige Unternehmen mittlerweile auch neuen Angriffstechnologien wie Deepfakes oder Voice Cloning ausgesetzt? Mit Letzterem können Hacker beispielsweise über ein Computerprogramm die Stimme eines Vorgesetzten imitieren und Angestellte so zu folgenschweren Handlungen verleiten.

Wir sehen solche Fälle, aber wir sehen sie nicht vermehrt. Hackern reicht oftmals noch eine einfache Phishing-Mail, um in die Netzwerke zu gelangen, so dass sie diese aufwendigeren Methoden gar nicht brauchen. Je besser Unternehmen in Sachen Cybersicherheit aufgestellt sind, umso häufiger müssen Angreifer natürlich auf die ausgefeilteren Technologien zurückgreifen. Am Ende hängt es also von den individuellen Schutzmaßnahmen des Unternehmens ab und davon, wie hartnäckig der Angreifer ist und wie stark er es auf ein ganz bestimmtes Opfer abgesehen hat.

85 % aller Angriffe beginnen mit dem„Faktor Mensch“. Wie bewerten Sie die heutigen Ansätze von Unternehmen, ihre Mitarbeiter für das Risiko zu sensibilisieren?

Es kann nie genug Awareness-Trainings geben, das Thema muss immer wieder in die Köpfe derjenigen gelangen, die mit Computersystemen und sensiblen Daten arbeiten. Es muss aber auch klar sein, dass der Mensch allein nicht imstande ist, alles abzuwehren. Das Thema muss in einer Art Dreiklang betrachtet werden: Es geht um den Menschen, die Governance und um die Technologie. Mit Blick auf die Technologie brauche ich zum Beispiel den Antivirenschutz, eine Firewall, ein Angriffserkennungs- und -abwehrsystem. Bei der Governance geht es um Vorgaben zur Prozessdurchführung, also etwa darum, dass Überweisungen ab einer bestimmten Höhe nicht mehr allein durchgeführt werden dürfen, sondern nur noch nach dem Vier-Augen-Prinzip.

Durch die Inflation stehen Unternehmen seit einiger Zeit unter enormem Kostendruck. Ändert sich dadurch etwas an der Budgetplanung für die IT-Sicherheit?

Das sehen wir derzeit nicht. Nach aktuellem Stand planen 7 von 10 Betrieben in den nächsten zwölf Monaten verstärkte Investitionen in Cybersicherheitsmaßnahmen. Ich denke, der Ukraine-Krieg hat die Dinge hier noch mal beschleunigt. Aber wie gesagt: Die Bedrohungslage hat sich dadurch nicht verändert – das Risiko war schon vorher sehr hoch.

Für Führungskräfte steigt durch die verschärfte Cybersicherheitsregulierung auch das Haftungsrisiko. Sollte das Thema generell auf der C-Ebene verankert werden?

IT-Sicherheit ist auf jeden Fall Chefsache. Den IT-Leiter kann man vielleicht für die Umsetzung der Cyberabwehr verantwortlich machen, nicht aber für die Planung und die Strategie. In Dax-Konzernen und gerade auch im Energie- und Bankensektor ist das schon angekommen – das Bewusstsein ist dort auch aufgrund gesetzlicher Vorschriften sehr groß. Im Mittelstand nehmen viele das Thema noch nicht ernst genug.

Der Druck auf Unternehmen, mehr für ihre Cyber-Resilienz zu tun, müsste ja eigentlich nicht nur vom Gesetzgeber, sondern auch von der Investorenseite kommen.

Das ist auch so. Im Rahmen von Unternehmenskäufen wird das Thema zunehmend mit in die Gleichung aufgenommen. Im Tagesbetrieb nehmen Unternehmen Cybersecurity leider oft eher noch als Kostenfaktor wahr, mit dem Geschäftsziele nicht unmittelbar erreicht werden können. Wenn dann aber ein Angriff signifikante Schäden erzeugt, ist das Jammern groß – auf allen Seiten.

Das Interview führte