4 Fragen an Merlin Stottmeister von Bechtle
Beim Treffen der eco Kompetenzgruppe Sicherheit diskutierten Expertinnen und Experten über Cyberresilienz, neue regulatorische Anforderungen und die Auswirkungen einer zunehmend professionellen Cyberkriminalität. Im Nachgang der Veranstaltung haben wir mit Merlin Stottmeister, Consultant IT-Security bei Bechtle, über aktuelle Bedrohungen, die Rolle von KI auf Angreiferseite und konkrete Schritte zu mehr digitaler Widerstandsfähigkeit gesprochen.
1. Cyberresilienz ist derzeit in vielen Unternehmen ein zentrales Thema. Was verstehen Sie konkret darunter und warum greift klassische IT-Sicherheit heute zu kurz?
Bei klassischer IT-Sicherheit liegt der Fokus häufig darauf, Angriffe zu verhindern. Die Erfahrungen der vergangenen Jahre zeigen jedoch, dass Cyberkriminelle immer wieder Wege finden, bestehende Schutzmaßnahmen zu umgehen. Selbst Unternehmen mit umfangreichen Sicherheitsvorkehrungen werden Opfer von Datendiebstahl.
IT-Sicherheit ist dabei ein Stück weit ein unfaires Spiel: Unternehmen müssen möglichst alle Angriffsflächen absichern, während Angreifern oft eine einzige Schwachstelle genügt.
Cyberresilienz geht deshalb einen Schritt weiter. Es geht nicht nur darum, Angriffe abzuwehren, sondern auch erfolgreiche Angriffe frühzeitig zu erkennen, ihre Auswirkungen zu begrenzen und sich schnell davon zu erholen.
Ein kompromittiertes Benutzerkonto darf beispielsweise nicht dazu führen, dass Terabyte an Unternehmensdaten unbemerkt abfließen. Stattdessen müssen ungewöhnliche Aktivitäten erkannt und automatisch Gegenmaßnahmen eingeleitet werden – etwa durch eine temporäre Sperrung oder eine erneute Multi-Faktor-Authentifizierung.
Denn werden Angriffe nicht rechtzeitig erkannt, können die Folgen existenzbedrohend sein. In Deutschland haben Cyberangriffe bereits Unternehmen in die Insolvenz geführt.
2. Angriffe werden schneller, professioneller und zunehmend KI-gestützt. Welche Entwicklungen bereiten Unternehmen aktuell die größten Schwierigkeiten?
Cyberkriminalität funktioniert heute in vielen Bereichen wie ein professionelles Unternehmen. Es gibt spezialisierte Akteure für gestohlene Zugangsdaten, Schadsoftware, Geldwäsche, Support oder die eigentliche Durchführung von Angriffen. Im Darknet werden Zugangsdaten und Werkzeuge gehandelt, die andere Kriminelle anschließend nutzen können.
Hinzu kommt der zunehmende Einsatz von Künstlicher Intelligenz. KI ermöglicht auch weniger erfahrenen Angreifern, komplexe Angriffsmethoden einzusetzen. Gleichzeitig steigert sie die Geschwindigkeit und Effizienz professioneller Gruppen.
Laut CrowdStrike ist die durchschnittliche Zeit, die Angreifer benötigen, um sich nach einer ersten Kompromittierung im Unternehmensnetzwerk weiter auszubreiten, in den vergangenen Jahren um 70 Prozent auf nur noch 29 Minuten gesunken.
Unternehmen müssen deshalb deutlich schneller reagieren als früher. Es reicht nicht mehr aus, einmal täglich Dashboards zu prüfen. Viele Schutz- und Reaktionsmaßnahmen müssen heute automatisiert erfolgen.
Eine weitere Herausforderung sind Supply-Chain-Angriffe. Dabei greifen Kriminelle nicht direkt das eigentliche Zielunternehmen an, sondern Dienstleister, Lieferanten oder andere Geschäftspartner. Dadurch hängt das eigene Sicherheitsniveau zunehmend auch vom schwächsten Glied der Lieferkette ab.
3. NIS2, Cyber Resilience Act und weitere Vorgaben erhöhen den Handlungsdruck. Was verändert sich dadurch konkret im Unternehmensalltag und wo sehen Sie besondere Herausforderungen für den Mittelstand?
NIS2 und der Cyber Resilience Act sorgen dafür, dass Cybersicherheit in Unternehmen wieder stärker in den Fokus rückt. Geschäftsführer haften persönlich, Meldepflichten werden ausgeweitet und Sicherheitsmaßnahmen müssen nachvollziehbar dokumentiert werden.
Gerade für mittelständische Unternehmen ist das eine große Herausforderung – nicht wegen mangelnden Problembewusstseins, sondern aufgrund begrenzter personeller und finanzieller Ressourcen. Häufig fehlen spezialisierte Teams, die regulatorische Anforderungen systematisch umsetzen können.
Gleichzeitig ist der Mittelstand oft Teil kritischer Lieferketten und damit von regulatorischen Vorgaben betroffen, ohne sich dessen immer bewusst zu sein.
Die eigentliche Herausforderung besteht deshalb darin, Compliance nicht als Selbstzweck zu betrachten, sondern regulatorische Anforderungen mit echten Sicherheitsverbesserungen zu verbinden.
4. Was sollten Unternehmen jetzt als Erstes angehen, um im Ernstfall handlungsfähig zu bleiben und ihre Cyberresilienz nachhaltig zu stärken?
Der erste Schritt ist Transparenz. Unternehmen sollten ihre größten Risiken kennen und ihre Cyberresilienz strukturiert bewerten. Nicht, um zusätzliche Bürokratie zu schaffen, sondern um Maßnahmen gezielt priorisieren zu können.
Dazu gehört auch eine zeitgemäße Sensibilisierung der Mitarbeitenden. Statt standardisierter Pflichtschulungen sollten aktuelle Bedrohungen wie Infostealer-Malware, Deepfakes oder Identitätsmissbrauch im Mittelpunkt stehen.
Ebenso wichtig ist die kontinuierliche Überwachung von Nutzer- und Servicekonten. Auffälliges Verhalten sollte automatisiert erkannt und bewertet werden. Auch Darknet-Monitoring kann helfen, gestohlene Zugangsdaten frühzeitig zu entdecken.
Ein häufig unterschätzter Faktor sind zudem Logdaten. Sie liefern im Ernstfall die Grundlage, um Angriffe nachzuvollziehen und deren Auswirkungen zu bewerten. Fehlen diese Informationen oder wurden sie manipuliert, wird die Aufklärung erheblich erschwert.
Nicht zuletzt sollten Unternehmen über getestete Notfallpläne sowie eine belastbare Backup-Strategie mit Offline-Backups verfügen. Entscheidend ist dabei nicht nur die Existenz solcher Maßnahmen, sondern ihre regelmäßige Überprüfung im Praxiseinsatz.
