In einer Zeit, in der sich die Technologielandschaft ständig verändert, ist es wichtig, einen umfassenden Überblick über die aktuellen Herausforderungen in der Bedrohungslandschaft zu haben.
Welche Veränderungen haben sich in den vergangenen Jahren im Bereich der Cybersicherheit, insbesondere im Zusammenhang mit dem verstärkten Einsatz von KI und maschinellem Lernen (ML) gezeigt? Darüber haben wir mit Andy Schneider, Field CISO EMEA für Lacework gesprochen. Außerdem gingen wir der drängenden Frage zum Fachkräftemangel nach und wie CISOs dieser Situation erfolgreich begegnen können.
Wie hat sich die Bedrohungslandschaft in Bezug auf Cybersecurity in den letzten Jahren entwickelt, und welchen neuen Herausforderungen stehen Organisationen heute gegenüber?
Andy Schneider: In den letzten Jahren hat sich die Bedrohungslandschaft im Bereich der Cybersicherheit deutlich verändert und verschärft. Die Digitalisierung der Gesellschaft, die insbesondere durch die Corona-Krise vorangetrieben worden ist, hat Angriffsflächen für Cyberkriminelle vergrößert und neue Angriffsmöglichkeiten geschaffen. So ist weiterhin eine Zunahme von Ransomware-Angriffen zu verzeichnen, bei denen Daten nicht nur blockiert, sondern auch gestohlen und veröffentlicht werden, um die Opfer zu erpressen. Diese Angriffe richten sich vor allem gegen Unternehmen, Behörden und kritische Infrastrukturen. Aber auch das Ausnutzen von Schwachstellen in Softwareprodukten hat an Häufigkeit und Schwere zugenommen. Ein Beispiel ist die Schwachstelle in Log4j, die viele frei verfügbare Softwarekomponenten betraf und zu einer weltweiten Sicherheitskrise führte. Des Weiteren nutzen staatliche Akteure Cybersicherheit für Desinformationskampagnen oder setzen Cyberangriffe als Ergänzung zur konventionellen Kriegsführung ein. Diese Entwicklungen stellen Organisationen vor eine Reihe neuer Herausforderungen. Denn die dynamische und komplexe Bedrohungslage erfordert nicht nur eine kontinuierliche Überwachung und Anpassung der Sicherheitsstrategie, sondern auch die Integration der Sicherheit in alle Aspekte der IT-Infrastruktur, von der Hardware über das Betriebssystem bis hin zur Anwendungsebene. Um den Herausforderungen adäquat begegnen zu können, muss eine ganzheitliche Sicherheitsarchitektur geschaffen werden. Bemerkenswert hierbei ist der Shift von einer vollständigen Erkennung oder Abwehr hin zum Prinzip der Resilienzverbesserung. Das bedeutet: Die Organisationen sind sich bewusst, dass jederzeit ein Angriff erfolgen kann und wird. In diesem Fall soll eine Wiederherstellung so schnell wie möglich erfolgen, um den Schaden so gering wie möglich zu halten. Zudem sollten Unternehmen das Sicherheitsbewusstsein bei allen Mitarbeitenden, Partnern und Kunden fördern, um das Risiko von menschlichen Fehlern oder Insider-Angriffen zu reduzieren.
Blickt man allein auf die letzten Monate zurück, zeichnet sich ein unverkennbares Bild ab: Viele Organisationen investieren verstärkt in Technologien wie Künstliche Intelligenz und maschinelles Lernen. Welche konkreten Sicherheitsrisiken ergeben sich für Unternehmen und welche neuen Angriffspfade für Cyberkriminelle aus der Verfügbarkeit von generativer KI?
Andy Schneider: Die rasante Entwicklung von Künstlicher Intelligenz eröffnet neben den unverkennbaren positiven Effekten Cyberkriminellen auch die Möglichkeit, Menschen oder Systeme noch einfacher zu täuschen und zu schädigen. Denn mithilfe von generativer KI können sie gefälschte E-Mails, Nachrichten, Bilder, Videos oder Audiodateien in Sekundenschnelle erstellen. Diese Fakes können sie dann verwenden, um Schadsoftware herunterzuladen, betrügerische Transaktionen durchzuführen, Falschinformationen zu verbreiten oder Identitätsdiebstahl zu begehen. Ein weiteres Sicherheitsrisiko besteht darin, dass Cyberkriminelle generative KI einsetzen, um bestehende Malware zu modifizieren oder neue Malware zu erzeugen, die schwerer zu erkennen und zu bekämpfen ist. Dies kann zu schwerwiegenden Angriffen und Schäden an Daten, Geräten oder Netzwerken führen. Die Auswirkungen von Desinformationskampagnen können dabei noch gravierender und kaum messbar sein. Für Organisationen bedeutet das, dass der Erkennung solcher KI-gestützter Angriffe noch mehr Bedeutung beigemessen werden muss, dass es einer starken Sensibilisierung im Bereich der Nutzung und Erkennung von KI bedarf und dass auch auf der defensiven Seite mit maschinellem Lernen und KI-Technologien aufgerüstet werden muss.
Angesichts der wachsenden Cyber-Bedrohungen stellt sich die Frage: Wie kann dem Fachkräftemangel im Bereich der Cybersicherheit begegnet werden?
Andy Schneider: Laut einer Studie des Bitkom fehlen in Deutschland rund 86.000 Fachkräfte im Bereich der IT-Sicherheit. Das ist eine besorgniserregende Summe! Um dem Mangel zu begegnen, reicht es nicht aus, nur an einer Stelle anzusetzen, sondern es sind verschiedene Maßnahmen auf unterschiedlichen Ebenen notwendig. Das McKinsey Global Institute brachte zuletzt eine Studie heraus, dass Künstliche Intelligenz und innovative Methoden wie Crowdsourcing dazu beitragen können, Fachkräfte zu entlasten und so die Produktivität und die Qualität der Cybersicherheitsarbeit zu steigern. Das große Potenzial liegt in der Automatisierung bestehender Prozesse und in der Nutzung von Technologien, die es Sicherheitsteams ermöglichen, mit weniger Mitteln mehr zu erreichen.
Können Sie konkrete Maßnahmen nennen, die sich für CISOs ableiten lassen?
Andy Schneider: Um dem Fachkräftemangel zu begegnen, können CISOs verschiedene Initiativen ergreifen. Auf der Ebene der Ausbildung lassen sich Maßnahmen umsetzen, die die gezielte Förderung von Karrieren im Bereich der Cybersicherheit unterstützen. So können sie beispielsweise mit Bildungseinrichtungen zusammenarbeiten, um Studierende für den Beruf zu interessieren, oder interne Schulungsprogramme anbieten, um das Wissen und die Fähigkeiten ihrer Mitarbeitenden zu erweitern. Auch auf der Ebene der Arbeitsbedingungen können CISOs versuchen, bestehende Mitarbeitende mit attraktiven Gehältern, flexiblen Arbeitszeiten oder einer positiven Arbeitskultur zu halten. Eine weitere Möglichkeit ist die Nutzung von Programmen wie den EU-Schulungsprogrammen für Cybersicherheit, die finanzielle Unterstützung für Weiterbildung oder Austauschprojekte bieten und die Vernetzung mit anderen Sicherheitsexperten ermöglichen. Generell ist leider immer wieder zu beobachten, dass Unternehmen auch von Berufsanfängern sehr hohe Anforderungen wie Zertifizierungen erwarten. Dadurch geht zu viel Potenzial an zukünftigen Fachkräften verloren. Meiner Meinung nach sind auch die CISOs selbst gefordert, viel aktiver in sozialen Netzwerken zu agieren und so die Arbeit der Sicherheitsexperten in ein positives Licht zu rücken.
Sie hatten es vorhin schon einmal kurz erwähnt: Wenn man über die Optimierung der Cybersicherheit spricht, kommt man an einer ganzheitlichen Sicherheitsarchitektur nicht vorbei. Welchen Nutzen kann so ein Ansatz bieten?
Andy Schneider: Angesichts der stetig zunehmenden Angriffe, der technologischen Veränderungen und auch der angespannten geopolitischen Lage hat es sich bewährt, die Sicherheitsherausforderungen nicht im Kleinen zu lösen, sondern “herauszuzoomen” und mit dem Blick aus der Vogelperspektive das “Big Picture” zu analysieren. Mit dem Schritt in die Cloud entstehen neue Bedrohungen, zu deren Abwehr neue Technologien erforderlich sind. Diese neuen Technologien gilt es in die gesamte Sicherheitsarchitektur zu integrieren und veraltete oder ineffiziente Technologien entsprechend zu entfernen. Dabei ist es wichtig, dass die Sicherheitsarchitektur immer wieder neu bewertet und angepasst wird. Die Corona-Pandemie hat uns gelehrt, dass dieser Prozess nicht nur einmal im Jahr, sondern am besten kontinuierlich stattfinden sollte, um auch überraschenden Veränderungen schnell begegnen zu können.
Zu guter Letzt: Compliance und Datenschutzgesetze wie die DSGVO haben die Anforderungen an die Datensicherheit erhöht. Welche Maßnahmen und Strategien sollten Unternehmen ergreifen, um den regulatorischen Anforderungen gerecht zu werden und gleichzeitig ihre Cybersicherheit zu gewährleisten?
Andy Schneider: Das A und O ist die Implementierung von technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus der personenbezogenen Daten. Dazu gehören unter anderem die Verschlüsselung, die Pseudonymisierung, die Zugangskontrolle, die Sicherungskopie, die Aktualisierung und die Löschung der Daten. Hilfreich bei der Umsetzung ist die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) für alle Verarbeitungstätigkeiten, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen aufweisen. Nicht zuletzt müssen der Sensibilisierung und Schulung der Mitarbeitenden, Partnern und Kunden genügend Aufmerksamkeit geschenkt werden. Dies beinhaltet auch die Vermittlung von Best Practices, wie zum Beispiel die Verwendung starker Passwörter, die Aktivierung von Zwei-Faktor-Authentifizierung, die Vorsicht vor Phishing-E-Mails oder die Meldung von Sicherheitsvorfällen. Cybersicherheit und Datenschutz gehen hier bei vielen Themen Hand in Hand. Hat das Unternehmen einen eigenen CISO und auch einen eigenen Datenschutzbeauftragten, kann ein regelmäßiges Mittagessen oder gelegentlicher gemeinsamer Kaffee viele Synergien schaffen.