Carolin Desirée Töpfer: Das müssen Geschäftsführer über IT-Security lernen
Das hier ist die 32. Ausgabe von Chefs von Devs, dem Golem.de-Newsletter für CTO, Technical Directors und IT-Profis. Alle zwei Wochen erscheint eine neue Ausgabe. Chefs von Devs kann hier kostenlos abonniert werden .
Die Hotelkette Motel One , die spanische Fluglinie Air Europe , der Gen-Analyse-Anbieter 23andMe und sogar die Nato : Sie alle wurden zuletzt Opfer von Hackerangriffen.
Im Nachhinein geht es oft um die Aufarbeitung eines Ausnahmezustandes, wie auch hier im Newsletter, als ich mit der Verantwortlichen des von Ransomware getroffenen Landkreises Anhalt-Bitterfeld oder der Deutschen Windtechnik AG gesprochen habe.
In dieser Ausgabe von Chefs von Devs soll es um Prävention gehen, damit es gar nicht erst so weit kommt. Deshalb habe ich mit IT-Security-Expertin Carolin Derisée Töpfer darüber gesprochen, wie man das richtige Bewusstsein im Unternehmen schafft.
div class="n2g_form">Mit ihrem Start-up Cyttraction möchte sie die "Bringschuld von Risiko-Trainings umkehren", sagt Töpfer. Angestellte sollen sich nicht durch langweilige Security-Schulungen quälen müssen - denn die Verantwortung für mehr Sicherheitsbewusstsein sieht sie an anderer Stelle: Beim Chef. (Deshalb bietet sie selbst auch Schulungen für Geschäftsführerinnen und Geschäftsführer an.)
Interview mit Carolin Desirée Töpfer
Das hier ist die 32. Ausgabe von Chefs von Devs, dem Golem.de-Newsletter für CTO, Technical Directors und IT-Profis. Alle zwei Wochen erscheint eine neue Ausgabe. Chefs von Devs kann hier kostenlos abonniert werden .
Golem.de: Als ChatGPT veröffentlicht wurde, war eine der ersten Meldungen, dass Scriptkiddies damit Malware schreiben. Wie beeinflussen die neuen Sprachmodelle und Tools die Cybersecurity-Lage?
Carolin Desirée Töpfer: Meiner Beobachtung nach, zumindest nach der aktuellen Medienberichterstattung, haben die Scriptkiddies die interessanten Cases für KI noch gar nicht gefunden. Auf der anderen Seite ist die Frage: Wie nutzt ihr KI im Unternehmen selbst? Es gibt auch über ChatGPT hinaus viele Tools, wo wir auch nicht genau wissen, wo Daten hingehen.
Und das trifft auf eine niedrige Awareness. Wir kennen das von Social Media: Manche beschweren sich über Datenschutz, teilen aber freiwillig auf Facebook ihre Daten. Und jetzt haben wir halt Leute, die nutzen einen Coding-Buddy oder pflegen ganze Firmenpräsentationen in KI-Tools ein.
Die Technologie ist jetzt schon da, die wird nicht nur von Scriptkiddies genutzt. Ich warte noch auf die ersten Fälle, wann es über Phishing und Spear-Phishing hinausgeht. Gleichzeitig wird von allen Seiten versucht, die Forschung und Entwicklung von KI für die Verteidigung von IT-Infrastrukturen voranzubringen.
Golem.de: Wo spielt der menschliche Faktor eine größere Rolle als die verwendete Technologie?
Töpfer: Auf allen Ebenen. Das geht über Awareness, was die Cybersecurity-Szene wie gesagt vergleichsweise spät erkannt hat und was auch in anderen Risikomanagementbereichen immer wichtiger wird. Deshalb sage ich auch, dass man mit dem Risikomanagement nur fertig wird, wenn man es komplett holistisch und datenbasiert angeht. Ich würde auch jedem KMU raten, zu prüfen, wo sich Dinge aggregieren lassen.
Dann geht es auch über die Sales-Komponente. Es gibt gute Unternehmen im Cybersecurity-Bereich und es gibt welche, die Dinge versprechen, die sie nicht halten können. Das ist für mich auch eine menschliche Komponente. Und dann haben wir auf der Führungsebene das Eingestehen, wo man sich Hilfe suchen muss.
Deshalb glaube ich auch, dass mehr Unternehmen von Cyberangriffen betroffen sind, als die TÜV-Studie herausgefunden hat . Man hört in seinem Netzwerk ständig Geschichten - da sind wir wahrscheinlich locker über 20 Prozent. Da wäre einfach ein guter Ansatz, noch viel öfter und breiter drüber zu sprechen.
Golem.de: Wie schafft man in seinem Unternehmen eine bessere Grundlage für mehr IT-Sicherheit?
Töpfer: Awareness wurde im Cybersecurity-Bereich, aber auch in anderen Risikomanagement-Bereichen lange vernachlässigt. Seit ein paar Jahren versucht man nun, wie mit der Fliegenklatsche alles totzuschlagen, und setzt die Leute vor 60- bis 90-minütige Kurse - im schlimmsten Fall mit Animationen, die wenig mit dem Arbeitsalltag zu tun haben.
Dabei wir wissen schon aus der Schulzeit, dass es schwierig ist, wenn man Leute zum Lernen zwingen muss, und dass Gelerntes bei intrinsischer Motivation oder einem Grundinteresse an einem Thema besser hängenbleibt. Man muss die Bringschuld umkehren. Die Leute müssen freiwillig kommen.
Denn es ist möglich, Lernen interessanter zu gestalten. Trainingsanbieter sind sehr darauf fokussiert, alle regulatorischen Informationen bereitzustellen, aber schlecht darin, zu tracken, was wirklich im Kopf hängengeblieben ist.
Wir sehen zunehmende Budgets, bei denen Millionen für Cybersecurity-Trainings ausgegeben werden. Wir sehen aber immer noch die Statistiken, dass rund 90 Prozent der erfolgreichen Hackerangriffe durch eine simple Phishing-Mail entstanden sind. Das geht irgendwie nicht zusammen.
Golem.de: Fehlt es am richtigen Problembewusstsein?
Töpfer: Erfahrungsgemäß entsteht das Bewusstsein erst dann, wenn die Probleme einem schon ins Gesicht gesprungen sind - oder aufs Konto. Es gibt keine Security-Schulung für Geschäftsführer. Mit dem Businessplan geht man vielleicht noch zum Steuerberater, aber man lässt sich nirgendwo bescheinigen, dass man in der Lage ist, ein digitales Unternehmen zu managen.
Dabei hätten Geschäftsführer die tolle Möglichkeit zu sagen: Ich habe absolut keinen Plan, also suche ich mir passende Leute. Dafür muss ich aber ein Bewusstsein haben. Ich muss mir eingestehen können, dass ich nicht alles weiß und dass ich Hilfe brauche.
Ich habe schon viele War Storys gesehen, wo die Mitarbeiter aufgrund der Firmenkultur gedacht haben, sie müssten das jetzt alleine fixen. Ich habe einen Hackerangriff und muss mir ein Buch besorgen und das Problem alleine lösen - das funktioniert nicht.
Golem.de: Letztendlich tragen nicht einzelne Angestellte, sondern die Chefs die Verantwortung. Wie können sie mit dieser Verantwortung besser umgehen?
Töpfer: Was mehr Geschäftsführer lernen sollten, ist dieses Suchen von vertrauenswürdigen, kompetenten Partnern. Und auch, dass man diesen IT-Dienstleistern auf den Zahn fühlt. Gerade viele Mittelständler fühlen sich wie Bittsteller, weil die Suche schwierig ist. Für jeden neuen Fernseher recherchieren die Leute ohne Ende, aber bei IT-Dienstleistern ist das nicht unbedingt der Fall. Da lässt man sich dann irgendwas andrehen.
Mittelständler sind für alle Arten von dahergelaufenen Dienstleistern die einfacheren Ziele. Bei Konzernen oder einer Behörde sind alleine durch die Requirements viele nicht mehr dabei. Das heißt nicht, dass unbedingt immer die großen Firmen die besseren Leute haben. Aber bei Mittelständlern ist das Risiko viel größer, durch einen ernsten Vorfall komplett aus dem Markt gekickt zu werden, wenn sie ihr Risikomanagement nicht ordentlich abdecken.
Golem.de: Was muss man beachten, wenn man den richtigen Partner sucht?
Töpfer: Ein zuverlässiges Unternehmen wird immer jemanden schicken, der erst mal fragt: Wo stehst du gerade? Was sind deine Businessziele für dieses und nächstes Jahr und wo willst du hin? Weil es einen Unterschied macht, ob ich ein eher statisches Unternehmen habe, das seit Jahren etabliert ist, aber nicht wachsen möchte, oder eines, das skalieren will.
Dann ist auch wichtig, dass ein Partner auch mal sagt: Leute, lasst dieses ganze Customizen sein. Wenn das Softwareprodukt zu 80 Prozent passt und wir als Partner als Anbieter mit unserem Team Security abdecken können, fangt bitte nicht an, so lange daran herumzuschrauben, bis es neue Sicherheitslücken kriegt.
Es muss einen Austausch auf Augenhöhe geben. Klar, man kann den Leuten nur vor den Kopf gucken. Aber man kann zum Beispiel einen Assessment-Fragebogen bereithaben und dort schon ein paar gemeine Fragen mit reinnehmen und sieht dann eben, wie ein Anbieter reagiert.
Golem.de: Was würdest du CTOs, CIOs und anderen IT-Verantwortlichen zum Schluss noch mitgeben, wenn sie versuchen wollen, sich bei der Security personell besser aufzustellen?
Töpfer: Die eigene IT-Infrastruktur anzugucken und für Segmentierung und aktives Berechtigungsmanagement zu sorgen. Es gibt immer eine Möglichkeit, Aufgaben granularer zu verteilen und so mehr Sicherheit reinzukriegen. Das ist auch gut, wenn Leute mal spontan kündigen oder in Rente gehen, weil man dann nämlich jemandem eine kleine Aufgabe weitergeben kann - und nicht einen riesigen Batzen an Abhängigkeiten.
Dann sollte man einen Schritt zurückgehen und sich ganz bewusst das eigene Team angucken. Wenn man selber schon so über 50 ist und das ganze Team wie man selbst aussieht, ist die Wahrscheinlichkeit sehr hoch, dass alle gleichzeitig in Rente gehen. Dann muss man sich zeitig neue Leute reinholen und die bestehenden befähigen und motivieren, ihr Wissen weiterzugeben.
An dem Punkt werden Recruiting- und Diversity-Themen durchaus relevant für die Security. Sprache ist auch ein großes Thema: In Deutschland gibt es noch Firmen, die nur nach deutschsprachigen Entwicklern oder Cybersecurity-Experten suchen. Englischkurse sind da günstiger.
So verändert KI die Cybersicherheit
Das hier ist die 32. Ausgabe von Chefs von Devs, dem Golem.de-Newsletter für CTO, Technical Directors und IT-Profis. Alle zwei Wochen erscheint eine neue Ausgabe. Chefs von Devs kann hier kostenlos abonniert werden .
Dass Scriptkiddies Tools wie ChatGPT nutzen, um Malware zu schreiben, habe ich mir nicht ausgedacht. Tatsächlich war das eine der frühesten Meldungen über ChatGPT auf der Startseite von Golem.de . Auch für das Formulieren von Phishing-Mails haben sich Sprachgeneratoren als nützlich herausgestellt.
So wie viele von euch KI als ein Werkzeug für mehr Produktivität sehen, tun das eben auch Cyberkriminelle. Europol warnte im März 2023 vor dem Missbrauch von ChatGPT für Angriffe, die vor allem auf den Faktor Mensch abzielen. Kein Wunder: Während die klischeehafte Spam-Mail schnell als solche auffällt, kann nicht einmal OpenAI selbst seine generierten Texte erkennen .
Gerade im Social Engineering könnte ChatGPT also eine (zumindest für Kriminelle) profitable Zukunft haben. Wie künstliche Intelligenz die Cybersicherheit verändert, ist deshalb auch immer wieder Thema für unsere Redaktion .
div class="n2g_form">Und natürlich hält nicht nur Golem.de, sondern auch meine Gesprächspartnerin Carolin Desirée Töpfer euch über die neuesten Entwicklungen auf dem Laufenden - zum Beispiel in ihrem Cybersecurity-Newsletter(öffnet im neuen Fenster) .