Informationssicherheits-Management: Frank Fengel über effektive Maßnahmen gegen Cyberbedrohungen

Die Bedrohungslage wächst kontinuierlich in rasantem Tempo. Die Professionalisierung der Angreifer und deren Nutzung moderner Technologien und Werkzeuge entwickeln sich schneller als die Schutzmaßnahmen auf der anderen Seite.

Die Welt der Cybersecurity entwickelt sich stetig weiter, und täglich entstehen neue Herausforderungen und Bedrohungen. Angesichts der wachsenden Komplexität der Technologien und der Professionalisierung von Angreifern wird Cybersecurity immer wichtiger. Protektis ist seit Jahren ein Vorreiter in der Beratung und Implementierung von Sicherheitslösungen. Wir hatten die Gelegenheit, mit Frank Fengel, Geschäftsführer von Protektis und Experte für IT-Sicherheit, über diese Themen zu sprechen.

Protektis setzt sich dafür ein, Unternehmen und Behörden pragmatisch und effizient bei der Verbesserung ihrer Cybersecurity-Praktiken zu unterstützen. Das Unternehmen bietet umfassende Dienstleistungen an, darunter die Einrichtung von Informationssicherheits-Managementsystemen (ISMS), Notfallmanagement, die Bewältigung von Sicherheitsvorfällen, Penetrationstests und Security Awareness Trainings.

In diesem aufschlussreichen Interview tauchen wir in die aktuelle Bedrohungslage im Bereich Cybersecurity ein und beleuchten die raschen Entwicklungen und neuen Angriffsmethoden, die sowohl große Konzerne als auch mittelständische Unternehmen betreffen. Wir diskutieren die Bedeutung eines ISMS und wie es hilft, die Informationssicherheit systematisch zu managen. Außerdem werfen wir einen Blick auf die Rolle der künstlichen Intelligenz, sowohl als Bedrohung als auch als Verteidigungswerkzeug in der Cybersecurity.

Wie war Ihr Weg in die Cybersecurity?

Gestartet habe ich ganz klassisch als Administrator in der IT. Dabei habe ich Netzwerke und Serverinfrastrukturen eingerichtet, Firewalls konfiguriert und Datensicherungslösungen konfiguriert – also die Basics von der Pike auf gelernt.

Später, während meiner Funktion als Team- und Technikleiter, habe ich meinen fachlichen Fokus auf IT-Security und auf Sicherheitsaudits gelegt. Damals sprach in Deutschland noch keiner von Cybersecurity. 

Ergänzend dazu habe ich mich anschließend auf Informationssicherheit spezialisiert, die Ausbildung als ISO 27001 Lead Auditor in Projekten angewandt und vor allem in der ISMS-Beratung mein Steckenpferd gefunden.

Seit 2017 bin ich Geschäftsführer von Protektis. Wir unterstützen Unternehmen und Behörden dabei, sich pragmatisch in allen Bereichen der Cybersecurity zu verbessern, darunter ISMS-Einrichtung, Notfallmanagement, Sicherheitsvorfälle und Penetrationstests sowie Security Awareness.

Wie bewerten Sie die aktuelle Bedrohungslage in der Cybersecurity und welche Entwicklungen erwarten Sie in den kommenden Jahren?

An dieser Stelle verweise ich gerne auf die Publikationen des Lageberichts zur IT-Sicherheit in Deutschland, der jährlich vom BSI herausgegeben wird. Jedes Jahr wird darauf hingewiesen, dass die Bedrohungslage kritisch ist. In den letzten beiden Jahren wurde jeweils die Formulierung „sie ist so hoch wie nie zuvor“ gewählt.

Diese Einschätzung teile ich. Die Bedrohungslage wächst kontinuierlich in rasantem Tempo. Die Professionalisierung der Angreifer und deren Nutzung moderner Technologien und Werkzeuge entwickeln sich schneller als die Schutzmaßnahmen auf der anderen Seite. Gerade im Mittelstand und bei kleineren Behörden wie Kommunen stellt dies, mangels Fachpersonal und finanzieller Möglichkeiten, ein drastisches Risiko dar.

Dieses Tempo ist auch in der Praxis deutlich spürbar. Während vor einigen Jahren Angriffsvarianten wie Spear Phishing Jahre brauchten, bevor sie im Mittelstand flächendeckend eingesetzt wurden, gibt es heute noch kaum einen Versatz. Bereits 2023 konnten wir bei einem Kunden mit 50 Beschäftigten einen Deep Fake/Voice Phishing Angriff feststellen, bei dem Stimme und Erscheinung des Geschäftsführers gefälscht wurden. Dies ist also nicht (mehr) nur bei Konzernen eine reale Bedrohung.

Angesichts der schnellen Entwicklungen in der Bedrohungslandschaft, wie können wir Ihrer Meinung nach effektiv Schritt halten?

Der Kern der Lösung ist ein ISMS, also ein Informationssicherheits-Managementsystem. Dabei geht es nicht darum, sich unbedingt nach einem Standard wie ISO 27001 zertifizieren zu lassen und schon gar nicht darum, eine Software dafür zu kaufen. Stattdessen sollte im Vordergrund stehen, das Thema Informationssicherheit tatsächlich zu managen. 

Das beginnt damit, dass Rollen und Verantwortlichkeiten klar definiert werden, Ressourcen zur Verfügung gestellt werden und festgestellt wird, welche Anforderungen aus Gesetzen oder Verträgen es zu erfüllen gilt.

Auf dieser Basis müssen Prozesse geschaffen, Maßnahmen getroffen und Werkzeuge ausgewählt werden, die für die jeweilige Organisation geeignet, wirksam und angemessen sind, das entsprechende Ziel zu erreichen. Inhaltlich muss man sich hierbei mit Themen wie Business Continuity Management, Security Awareness Management, Incident Response Management und Risikomanagement beschäftigen und unter anderem klare Vorgaben für die Konfiguration von IT-Systemen, Anforderungen an Prozesse für die Vergabe von Zugängen und Rechten, sowie Kriterien für die Auswahl geeigneter Werkzeuge und Dienstleister festlegen.

Wenn ein solches Managementsystem einmal etabliert ist, gibt es klare Prozesse, um neue Bedrohungen zu erkennen, einzuordnen, zu bewerten und Maßnahmen zur Bewältigung loszutreten.

Künstliche Intelligenz spielt bereits heute eine große Rolle in der Cybersecurity. Es ist wichtig, dass wir neue Technologien nicht nur den Angreifern überlassen, sondern diese auch zur Verteidigung nutzen.

Welche Verantwortung trägt die Unternehmensführung bei der Gestaltung und Implementierung von Cybersecurity-Maßnahmen?

Die Unternehmensführung (und das gilt auch für Behörden) trägt immer die Gesamtverantwortung. Selbstverständlich können fachliche Aufgaben, sowie Verantwortlichkeiten delegiert werden, doch die Gesamtverantwortung verbleibt beim Top Management.

Das gilt auch für Haftungsrisiken. Auch wenn ich hiermit jetzt vielen Branchenkollegen die Goldgräberstimmung etwas madig mache: In Deutschland haften Geschäftsführer, Vorstände und Behördenleiter für Pflichtverletzungen bereits jetzt (April 2024). Das kommt nicht erst mit NIS2, der EU-Richtlinie, die von der Bundesrepublik erst noch in nationales Recht gefasst werden muss.

Können Sie ausgeklügelte Beispiele für Social Engineering-Angriffe nennen und aufzeigen, was wir daraus lernen können?

Zwei Beispiele, die einerseits aufgrund ihrer ausgeklügelten Vorgehensweisen, andererseits aufgrund der hohen verlorenen Geldbeträge medienwirksam aufgearbeitet wurden, sind der Social Engineering Angriff 2016 auf den Automobilzulieferer Leoni, bei dem 40 Millionen Euro erbeutet wurden, sowie die gefälschte Videokonferenz in Hongkong 2024, bei der der Schaden umgerechnet rund 23 Millionen Euro betrug.

Während viele Unternehmen und Behörden noch immer dabei sind, ihre Beschäftigten zu sensibilisieren, Angriffe wie 2016 zu erkennen, greifen Angreifer mit neuen Methoden an, fälschen nicht mehr nur E-Mail-Adressen und Domains, sondern Stimmen und Bildmaterial.

Da wir solche Angriffe inzwischen auch im deutschen Mittelstand festgestellt haben, ist es wichtig in Awareness-Trainings deutlich schneller als früher auf moderne Angriffsvarianten einzugehen und die Beschäftigten damit zu konfrontieren. Unternehmen und Behörden müssen in der Lage sein, zeitnah geplant und anlassbezogen Inhalte zu vermitteln.

Welche Rolle spielt Ihrer Meinung nach künstliche Intelligenz in der Cybersecurity?

Künstliche Intelligenz spielt bereits heute eine große Rolle in der Cybersecurity. Die offensichtlichste Rolle spielt KI dabei als Werkzeug für Angreifer. Mittels KI-Technologien lässt sich mit wenig Aufwand Audio- und Videomaterial fälschen und auch klassische Social Engineering Angriffe erreichen mittels Large Language Models wie Chat GPT ein neues Niveau. Es ist für einen Angreifer heute ein Kinderspiel, einen Text für einen E-Mail-Angriff in einer Fremdsprache von einer solchen KI schreiben zu lassen, die in Rechtschreibung und Grammatik fehlerfrei ist und bei der Wortwahl und Sprache realistisch klingen.

Die zweite große Gefahr, die künstliche Intelligenz in der Cybersecurity darstellt, ist der unsachgemäße Umgang mit KI-Systemen. Anwender sind nicht ausreichend geschult und verstehen die Technologien nicht richtig, können jedoch im Internet bereits heute auf unzählige KI-Systeme zugreifen, um Präsentationen zu erstellen, Texte zu generieren oder Bildmaterial zu kreieren. Hier benötigt es unbedingt Sensibilisierung, sowie klare Vorgaben durch Richtlinien.

Künstliche Intelligenz kann in der Cybersecurity jedoch auch eine Rolle auf Seiten der Verteidiger spielen. KI-Systeme können Anomalien im Netzwerkverkehr oder in Log-Dateien erkennen, können von anderen KI-Systemen erzeugte Inhalte erkennen und ein hilfreiches Werkzeug zum Schutz vor Angreifern darstellen. Es ist wichtig, dass wir neue Technologien nicht nur den Angreifern überlassen, sondern diese auch zur Verteidigung nutzen.

Mit der zunehmenden Digitalisierung und Vernetzung steigen auch die Cyber-Sicherheitsrisiken. Welche spezifischen Risiken sehen Sie dadurch entstehen?

Bedrohungen wie Schadsoftware, Social Engineering, gerade mittels moderner Methoden wie Voice Phishing oder Deep Fakes und Angriffe mittels QR-Codes, nehmen branchenübergreifend zu. Industriespionage, gezielte Hackerangriffe oder Cyber-Terrorismus können je nach Unternehmen oder Behörde aber eine mindestens ebenso große Bedrohung darstellen.

Für jedes vernetzte System und jeden digitalisierten Prozess gilt es festzustellen, welche Bedrohungen darauf wirken und wie diese einzuschätzen sind. Hat eine Bedrohung eine bestimmte Eintrittswahrscheinlichkeit und ist von bestimmten Auswirkungen bei Eintritt auszugehen, spricht man von einem Risiko. Dieses ist für jedes Unternehmen und jede Behörde individuell zu bewerten.

Erreicht ein Risiko voraussichtlich ein nicht hinnehmbares Niveau, müssen Maßnahmen zur Risikobehandlung getroffen werden.

Auf den IT-Teams lastet jede Menge Druck, sowohl was die Verteidigung angeht als auch die Security Awareness Trainings. Was wären aus Ihrer Sicht mögliche Maßnahmen, mit denen man die IT-Teams entlasten kann?

Die Grundlage zur Entlastung der IT-Teams stellen strukturierte Prozesse und Abläufe dar. Sowohl für den Regelbetrieb als auch für die Bearbeitung von Vorfällen und die Behandlung von Störungen und Notfällen braucht es klare Strukturen und definierte Handlungspläne.

Weiterhin sollten den Verantwortlichen die richtigen Werkzeuge zur Verfügung gestellt werden, um mit möglichst optimiertem Aufwand handlungsfähig zu sein. Alles, was durch Technologien automatisiert oder unterstützt werden kann, reduziert den manuellen Aufwand.

Nicht zuletzt müssen die IT-Teams jedoch mit ausreichend Personal besetzt und fachlich qualifiziert werden. Jede Organisation sollte wissen, wie abhängig sie von ihrer IT ist. Häufig wird den IT-Verantwortlichen noch nicht der Stellenwert eingeräumt, den sie aufgrund ihres Beitrags zum Erfolg der Organisation eigentlich verdienen sollten.

Die wichtigsten Takeaways aus dem Interview mit Protektis

Das Gespräch mit Frank Fengel von Protektis verdeutlicht die wachsende Komplexität der Cybersecurity-Bedrohungen. Die Bedrohungslage wächst kontinuierlich, da Angreifer immer professioneller werden und moderne Technologien nutzen. Besonders kleinere Unternehmen und Behörden sind gefährdet, wie ein 2023 entdeckter Deep Fake/Voice Phishing Angriff auf ein mittelständisches Unternehmen zeigt. Ein Informationssicherheits-Managementsystem (ISMS) ist essentiell, um mit diesen Entwicklungen Schritt zu halten. Ein etabliertes ISMS hilft, neue Bedrohungen zu erkennen, zu bewerten und zu bewältigen. Die Unternehmensführung trägt die Gesamtverantwortung für Cybersecurity-Maßnahmen und haftet bereits jetzt für Pflichtverletzungen.

Künstliche Intelligenz spielt eine wachsende Rolle in der Cybersecurity, sowohl als Werkzeug für Angreifer als auch zur Verteidigung. Es ist entscheidend, KI-Technologien zur Verteidigung zu nutzen, um mit den Angreifern Schritt zu halten. Die zunehmende Digitalisierung erhöht die Cyber-Sicherheitsrisiken. Bedrohungen wie Malware, Social Engineering und gezielte Hackerangriffe nehmen zu. Unternehmen müssen individuell bewerten, welche Bedrohungen auf sie wirken und entsprechende Maßnahmen zur Risikobehandlung treffen. Strukturierte Prozesse, klare Handlungspläne und geeignete Werkzeuge sind essenziell, ebenso wie ausreichend qualifiziertes Personal. Dieses Interview zeigt, wie wichtig eine umfassende Cybersecurity-Strategie ist, um den wachsenden Herausforderungen in einer digitalisierten Welt gerecht zu werden.

Bereits 2023 konnten wir bei einem Kunden mit 50 Beschäftigten einen Deep Fake/Voice Phishing Angriff feststellen, bei dem Stimme und Erscheinung des Geschäftsführers gefälscht wurden. Dies ist also nicht (mehr) nur bei Konzernen eine reale Bedrohung.

Entdecken Sie in unserem Human Risk Review-Report wertvolle Perspektiven und Strategien von führenden Sicherheitsexperten und -expertinnen zur Reduzierung menschlicher Risiken.

Human Risk Review 2024

Report lesen

Exklusive Phishing-Daten, Expertenmeinungen und Strategien, mit denen Sie sicher durch die Cyber-Bedrohungslage kommen.