DUP UNTERNEHMER-Magazin: Viele Mittelständler glauben noch immer, für Hacker zu klein, zu unbedeutend, zu uninteressant zu sein. Wie lange hält diese Illusion?
Andreas Gaetje: Überhaupt nicht lange. Denn das ist wirklich eine Illusion. Cyberkriminelle schauen zunächst nicht auf die Größe eines Unternehmens oder eine Branche. Sie prüfen zuerst, ob ein Angriff möglich ist. Wenn ja, wird angegriffen. Erst im zweiten Schritt wird interessant, wie viel Geld sich etwa bei einer Ransomware-Erpressung erzielen lässt.
Da heißt, es kann jedes Unternehmen treffen?
Gaetje: Genau so ist es. Manche Branchen sind attraktiver als andere. Maschinenbauunternehmen etwa gelten oft als profitabel. Pharma- und Healthcare-Firmen verfügen über sensible Daten. Logistik- oder Digitaldienstleister wiederum sind interessant, wenn Angreifer gezielt Prozesse lahmlegen wollen.
Wo würde ein Angreifer bei einem typischen Mittelständler zuerst ansetzen?
Gaetje: Es gibt zwei klassische Wege. Erstens: die Technik. Offene Schnittstellen, ungepatchte Systeme, falsch konfigurierte Zugänge – vieles lässt sich automatisiert scannen. Zweitens: der Mensch. Die gute alte E-Mail, ergänzt um Social Engineering über Plattformen wie LinkedIn, ist ein weiteres Einfallstor.
Viele Phishing-Mails wirken plump. Fallen Menschen darauf wirklich noch herein?
Gaetje: Ich würde Sie auch kriegen, wenn ich möchte. Der Grund ist dabei selten Naivität. Viel häufiger sind Hektik, Zeitdruck und die Flut digitaler Kommunikation ausschlaggebend. Neue Einladungen, Freigaben, Umfragen, ständig wechselnde Benachrichtigungen – das alles erschwert die Unterscheidung zwischen echten und gefälschten E-Mails. Im Eifer des Gefechts passiert es schneller, als man denkt, dass man in Phishing-Mails klickt.
Ist der Mitarbeitende also die größte Schwachstelle?
Gaetje: Ich bin kein Freund von Schuldzuweisungen. Natürlich spielen Nutzer eine zentrale Rolle. Aber ich würde niemals einem Mitarbeitenden vorwerfen, dass er auf diese E-Mail geklickt hat. Fehler müssen einkalkuliert werden. Entscheidender ist für mich eine Sicherheitsarchitektur, die solche Fehler abfängt.
Was heißt das konkret?
Gaetje: Sie besteht aus mehreren Schutzschichten, ist also mehr als ein einzelnes Bollwerk. Moderne Systeme prüfen Mails, Dateianhänge, verdächtiges Verhalten auf Endgeräten und ausgehende Kommunikation parallel. Deshalb reicht es einfach nicht mehr aus zu sagen: Ich kaufe mir jetzt einen Virenscanner – und dann war’s das.
Viele Unternehmer sehen IT-Sicherheit dennoch vor allem als Kostenblock. Zu Unrecht?
Gaetje: Zu Unrecht. Denn spätestens wenn Kunden IT-Sicherheit voraussetzen, wird sie zu einem klaren Wettbewerbsfaktor. In Branchen wie Automotive oder Pharma ist das längst Realität. Wer dort mitmischen und liefern will, muss eben auch entsprechende Sicherheitsstandards erfüllen.
Steigen die Sicherheitskosten deshalb dauerhaft?
Gaetje: Ja. Während klassische IT-Budgets oft unter Druck stehen, steigt der Security-Anteil kontinuierlich. Aber das ist die Welt, in der wir leben. Digitalisierung, Vernetzung und KI schaffen große Chancen – aber eben nur mit passender Sicherheitsarchitektur.
Wie verändert Künstliche Intelligenz die Bedrohungslage?
Gaetje: Vor allem durch Tempo. Aktuelle Marktanalysen zeigen: Der durchschnittliche Angriff dauert teilweise nur noch wenige Minuten. CrowdStrike meldete zuletzt stark verkürzte „Breakout Times“, also die Zeit bis zur lateralen Bewegung im Netzwerk. Dafür ist jede Mittagspause zu lang. KI liefert den Angreifern schneller Ziele, Kontexte und Vorgehensweisen. Gleichzeitig entstehen mehr kleine, agile Hackergruppen, die auftauchen und wieder verschwinden. Das macht die Lage unberechenbarer.
Demokratisiert KI also die Cyberkriminalität?
Gaetje: Definitiv. Wer früher technisches Spezialwissen brauchte, kann sich heute vieles automatisiert vorbereiten lassen. Besonders bei rein disruptiven Angriffen – also dem Ziel, Unternehmen zu stören, statt Geld zu erpressen – sinken die Einstiegshürden deutlich.
Aber kann KI auch bei der Abwehr von Cyberattacken helfen?
Gaetje: Das tut sie schon seit Jahren. Klassische Mustererkennung in Spamfiltern oder Anomalieerkennung basiert längst auf Machine-Learning. Neu ist aber der Einsatz generativer KI im Security Operations Center. Damit meine ich Systeme, die Warnmeldungen vorsortieren, Informationen aus verschiedenen Quellen zusammenziehen und erste Maßnahmen vorbereiten. Etwa das Sperren einer Sitzung oder das Zurücksetzen eines Tokens. Ein weiterer Vorteil der KI: Sie arbeitet sieben Tage die Woche, 24 Stunden am Tag.
Wird der Mensch in dieser Konstellation also überflüssig?
Gaetje: Nein. „Human-in-the-Loop“ ist extrem wichtig. Eine KI soll schließlich keine Server abschalten oder weitreichende Entscheidungen allein treffen. Sie entlastet, beschleunigt, strukturiert – mehr nicht.
Sie sprechen im Zusammenhang mit Cybersicherheit häufig von Resilienz. Was bedeutet das?
Gaetje: Vor allem Realismus. Man muss als Unternehmen und Privatperson immer davon ausgehen, dass man nicht sicher ist. Absolute Sicherheit gibt es nicht. Resilienz bedeutet deshalb: Angriffe erkennen, sie eindämmen, reagieren, wiederherstellen. Also nicht nur Mauern bauen, sondern auch Notausgänge planen.
Was unterscheidet Unternehmen, die sich von einem Angriff erholen, von denen, die daran scheitern?
Gaetje: Ganz klar: Business-Continuity. Wer weiß, wie der Betrieb im Krisenfall weiterläuft, gewinnt Zeit und senkt Kosten. Dazu gehören klare Entscheidungswege, Kommunikationspläne für Kunden, Mitarbeitende und Lieferanten – und externe Spezialisten, die im Ernstfall sofort erreichbar sind.
Und falls so ein Ernstfall eintritt: Wie oft sollte ein entsprechender Notfallplan überprüft werden?
Gaetje: Mindestens einmal im Jahr. Besser noch: regelmäßig üben. Körber setzt dafür auf sogenannte Tabletop Exercises. Also simulierte Krisenszenarien. Dabei kommen immer wieder ganz spannende Erkenntnisse heraus.
Was sind Ihre drei wichtigsten Ratschläge für kleine und mittelständische Unternehmen, wenn es um Cybersicherheit geht?
Gaetje: Erstens: Risiken ehrlich analysieren. Zweitens: Systeme segmentieren, damit nicht gleich alles stillsteht. Drittens: „Security-Hygiene“ – also patchen, aktualisieren, Schwachstellen schließen. Und ich habe einen vierten Rat: Führungskräfte müssen das Thema ernst nehmen. Nicht jeder Geschäftsführer muss jedes Detail verstehen. Aber wer Cybersicherheit kleinredet, sendet ein fatales Signal.
Was ist Ihre wichtigste Regel für alle Mitarbeitenden?
Gaetje: Haben Sie kein blindes Vertrauen in Sachen, die von draußen kommen!
