Innovation im Baukastensystem: Wie Cyber Security zum Motor des Fortschritts wird

Von Deep Fakes und Prompt Scanning über Phishing- und DDOS-Attacken bis hin zu Hackerangriffen auf unsere kritische Infrastruktur: Unternehmen aus allen Branchen stehen vor der Herausforderung, ihre Sicherheitsmaßnahmen an die modernsten Angriffsmethoden des internationalen Cyberverbrechens anzupassen. „Bei der rasanten Innovation der angewendeten Technologien reicht es nicht mehr, Cyber Security als reaktive Maßnahme zu verstehen“, sagt Christian Nern, Partner und Head of Cyber Security in Financial Services bei einer Wirtschaftsprüfungsgesellschaft. „IT-Sicherheit lässt sich künftig nur dann in einem adäquaten Maß gewährleisten, wenn sie zum zentralen Bestandteil der Innovationsstrategie moderner Unternehmen wird“, so Nern. Wie das gelingt, erklärt der Sicherheitsexperte im Interview.

Herr Nern, wie hat sich Cybersicherheit im Online- und KI-Zeitalter verändert – bzw. wie sollte sie sich weiterentwickeln?

Nern: „In gleichem Maße wie sich die Rolle der Technologie in Unternehmen jüngst weiterentwickelt hat, gilt dies auch für die Cybersicherheit: Technologie war einst das Rückgrat eines Unternehmens, eine tragende Säule der Gesamtkonstruktion. Daten hatten dabei die Funktion zu unterstützen – wie etwa die Fassade, wenn wir beim Bild eines Gebäudes bleiben wollen. Sie dienten der Kundenbetreuung, der Effizienzsteigerung und halfen, Entscheidungen zu treffen. Das hat sich heute grundlegend geändert: Technologie und Daten sind das Herzstück eines Unternehmens, die alles entscheidende Grundstruktur. Daten sind der Ausgangspunkt für Wertschöpfung und die Grundlage für neue Geschäftsmodelle. Genauso dynamisch muss sich daher die Cybersicherheit entwickeln: von einem rein reaktiven Instrument der Schadensbegrenzung und -vermeidung zu einem Innovationsmotor.“

Was bedeutet das konkret?

Nern: „Nur wer Cyber Security von Anfang an mitdenkt, kann das Potential dieser Komponente voll ausschöpfen. In der Vergangenheit waren IT-Sicherheitsmaßnahmen die Alarmanlage, durch die bei einem Einbruch die Polizei verständigt oder der Eindringling verschreckt wurde – doch das wird den Bedrohungsszenarien unserer Zeit nicht mehr gerecht: Ein Schaden von 267 Milliarden Euro ist der Wirtschaft allein 2024 durch Cyberkriminalität entstanden. Und zwar nur in Deutschland. Das ist ein Plus von 29 Prozent gegenüber dem Vorjahr. 80 Prozent der Unternehmen hierzulande waren von Datenklau, Spionage oder Sabotage betroffen.“

Mit so vielen Diebesbanden ist die Alarmanlage also schlicht überfordert?

Nern: „Die Anzahl der Kriminellen ist das eine, ihr professionelles Gerät das andere: Mithilfe hochmoderner Technologien wie Künstlicher Intelligenz überwinden Cyberkriminelle herkömmliche Sicherheitsmechanismen spielend. Durch Prompt Scanning und Prompt Injection werden Large Language Models (LLMs) manipuliert, Deep Fakes von Audio- und Videodateien lassen sich in vorher nicht dagewesener Qualität und kürzester Zeit generieren. Bevor die Alarmanlage anschlägt, ist der Einbrecher längst über alle Berge …“

Durch welche Komponenten wird das IT-Gebäude eines Unternehmens einbruchssicher?

Nern: „Das ist das Stichwort! Es handelt sich weniger um zusätzliche Komponenten – wie einen Zaun oder Überwachungskameras. Das Gebot der Stunde lautet „Security by Design“. Und dieses Prinzip verfolgt einen anderen Ansatz: Sicherheitsmechanismen werden von Anfang in den Entwicklungsprozess der gesamten IT-Umgebung eines Unternehmens integriert – und wachsen mit den einzelnen Bauteilen. Ein einfaches Beispiel: Videokonferenzen, die täglich millionenfach vor allem zwischen Unternehmensvertretern stattfinden. Verlangt das Sicherheitsdesign eines Unternehmens die Authentifizierung aller Teilnehmer per Gesichtserkennungssoftware im Browser, ist dem Betrug mittels Deep Fakes vorgebeugt. Auch Schnittstellen zwischen verschiedenen parallel verwendeten IT-Systemen und die Implementierung neuer Technologien sind in vielen Unternehmen die Achillesferse. Eine von vornherein dynamisch designte IT-Infrastruktur, welche die Schnittstellenvulnerabilität antizipiert, lässt diese Problematik gar nicht erst aufkommen. Auch automatisiertes Schwachstellenmanagement, Identitätsschutz und Security Monitoring gehört in diese Disziplin“

Wie müssen wir uns das in der Praxis vorstellen, wenn wir bei dem Bild von Cybersicherheit als Gebäude bleiben?

Nern: „Wenn die gesamte Unternehmens-IT ein Gebäude ist, besteht der Sicherheitsaspekt von Security by Design in der Beschaffenheit der einzelnen Bausteine: Wie bei Lego handelt es sich um ein einheitliches System, bei dem alle Komponenten nahtlos zusammenpassen. Egal welche Teile künftig hinzukommen – lange, kurze, breite, schmale, grüne, gelbe oder blaue – sie gehören alle zum selben Steckkasten, in dem (Sicherheits-) Lücken gar nicht erst entstehen und Security relevante Daten damit integriert, automatisiert verarbeitet werden können. Das Gegenbeispiel aus der aktuellen Praxis vieler Unternehmen ist die Kombination von Bauklötzen mit Duplo und Carrerabahn. Klar, dass diese Konstruktion erhöhte Spaltmaße aufweist.“

Das klingt, als sollten Unternehmen ihre gesamte IT von heute auf morgen komplett neu aufsetzen.

Nern: „Nein, in der von mir soeben skizzierten Variante stellt es den absoluten Idealtypus dar. Natürlich ist auch der Weg dorthin ein Prozess, der sich nicht über Nacht bewerkstelligen lässt. Aber besonders bei der Implementierung neuer Technologien wie KI lassen sich Sicherheitsaspekte von Beginn an mitdenken. Der jüngste CEO-Outlook von KPMG zeigt etwa: 64 Prozent der Firmenchefs weltweit geben an, unabhängig von den wirtschaftlichen Rahmenbedingungen in KI investieren zu wollen. Je mehr insbesondere selbstlernende Technologie jedoch ins Unternehmen kommt, desto größer ist das Risiko von Cyberattacken. Konsequent also, dass 73 Prozent der im Global Tech Report von KPMG befragten Unternehmen angeben, verstärkt in Cybersicherheit investieren zu wollen. Hier ist es nun von aller größter Bedeutung, das Design von Anfang an so zu wählen, dass der zuvor geschilderte Lego-Effekt entsteht: Sicherheit als Bestandteil der gesamten Konstruktion, nicht als nachträglicher Schutz wie „Pflasterkleben bei Verletzungen“. So wird Cybersicherheit zu einem strategischen Eckpfeiler, der Kontinuität und Effizienz gewährleistet, so die Wertschöpfung eines Unternehmens sichert und Prosperität für die Zukunft garantiert.“

Das alles soll Cybersicherheit leisten?

Nern: „Wenn wir KI als Garantie für Schnelligkeit, Effizienz und beispielsweise das Erschließen neuer Geschäftsmodelle betrachten – und die Sicherheit dieser Technologie wiederum als Voraussetzung für deren Funktionstüchtigkeit – dann ist genau das der Fall. Ich gehe sogar noch einen Schritt weiter: In einer dynamisch-innovativen IT-Umgebung, in der die Entwicklung der IT-Systeme und ihrer Sicherheitselemente Hand in Hand gehen, gibt es sogar Potential für mehr. Beispiel Elektronische Identität (eID): Diese wird in Zukunft für Authentifizierungsverfahren bei Behörden aber auch für Geschäfte mit privaten Unternehmen wie Banken eine immer größere Rolle spielen. Ähnlich wie heute die Cloud-Dienste sehr erfolgreicher US-Tech-Unternehmen könnten Finanzinstitute zum sicheren Datenspeicher für Elektronische Identitäten werden und so völlig neue Geschäftsfelder erschließen. Auch der Handel mit solchen elektronischen Identitätsdaten ist vorstellbar – natürlich im strengen Rahmen der gesetzlichen Vorgaben. Viel wichtiger als dieses Exempel aber sind jene Innovationen, die sich potenziell aus der Symbiose von IT und Cybersicherheit ergeben, die wir uns heute noch gar nicht vorstellen können.“

Damit nehmen sie die letzte Frage nach der Zukunft der Cyber Security vorweg. Aber wie setzen Unternehmen diese Zukunftsstrategie heute am besten um?

Nern: „Wofür ich plädiere, ist die strategische Verknüpfung von Cyber Security und Innovation. Dieses Projekt erfordert mehr als ein Umdenken in vielen Unternehmen – es geht um eine neue, eine zukunftsfähige Philosophie von IT. Sicherheitsmaßnahmen dürfen nicht länger als Hindernis oder reine administrative Vorgaben sein, sondern müssen im Gegenteil als einer der wichtigsten Fortschrittsmotoren verstanden werden. Jedes IT- oder Digitalisierungsprojekt muss dabei Cyber-Sicherheit als Kernelement berücksichtigen, jedes Sicherheitsprojekt muss daran gemessen werden, wie es der Digitalisierung nützt.“