Quo vadis cyber risks? it-sa Expo&Congress: Special Keynote von Peter Hacker zu Risiken und geopolitischen Herausforderungen

Die zehnte Special Keynote der it-sa Expo&Congress am 24. Oktober 2024 verspricht erneut spannende Insights und einen Ausblick in die Zukunft der Cybersicherheit.

Risiken und Strategien zur Bewältigung rücken in den Fokus, wenn Special Keynote Speaker Peter Hacker spricht.

Der Experte, Unternehmer und Autor Peter Hacker befasst sich global mit den Themen digitaler Wandel, Cyberkriminalität und Cybersicherheit. Sein Fachwissen ist bei Unternehmen, internationalen und regionalen Organisationen, Regulierungsbehörden und Ratingagenturen gefragt. Peter Hacker ist Gründer und geschäftsführender Direktor von Distinction.global, einem unabhängigen, global operierenden Think Tank für Cybersicherheit und Risikotransfer in der Schweiz.

Im Interview spricht Hacker über Punkte, die er in seiner exklusiven Keynote ausführlich beleuchtet: Die Wahrnehmung von Cyberrisiken auf Top-Management-Ebene, wachsende geopolitische Herausforderungen, die Bedeutung Künstlicher Intelligenz und Resilienz als entscheidender Faktor, um Cyber-Attacken standzuhalten.

Seit wann beschäftigen Sie sich mit Cybersecurity und gab es dafür einen bestimmten Auslöser?

Neue Technologien und die Digitalisierung faszinieren mich seit vielen Jahren. Für das Programmieren und Entwicklung Coding habe ich schon früh eine Passion entwickelt. Dabei blieb auch ein Flair für die dunkle Seite der Technologie nicht aus. Schnell wurde mir klar, wie eng der Zusammenhang zwischen technischen Möglichkeiten und Sicherheit ist. Cybersecurity passt für mich daher einfach perfekt. Kunden mit meinem Team auf die sich rasch verändernde Risikolandschaft vorzubereiten, neue Technologien auszuklügeln, dabei Chancen nutzen und Risiken adressieren – als international tätiger IT-Sicherheitsexperte trage ich meinen Teil der Verantwortung, die wir alle für eine sichere digitale Zukunft haben.

Sie sind als gefragter Experte weltweit unterwegs und kriegen die Wahrnehmung von Cyberrisiken auf höchster Management-Ebene ganz unmittelbar mit. Mit welchen Fragen kommen Top-Manager auf Sie zu?

Für viele Vorstände oder Geschäftsleitungsmitglieder, mit denen ich spreche, stehen Cyberrisiken mittlerweile ganz oben auf dem Risikoradar. Hier spielt sicher auch eine Rolle, dass Vorstände – vor allem in den USA – bereits aufgrund materieller Schäden durch Cyberangriffe gefeuert und dafür auch rechtlich haftbar gemacht wurden. Dadurch erlebe ich eine gewisse Sorge, dem Thema ausreichend Aufmerksamkeit zu widmen. Zudem nimmt endlich, wenn auch nur allmählich, die Einsicht zu: Ein Investment in Cybersicherheit schützt immaterielle Güter wie geistiges Eigentum oder die Markenreputation. Ursächlich dafür sind sicher auch die zunehmende Frequenz und Komplexität von Cyberangriffen auf kritische Infrastruktur oder Bereiche der Grundversorgung sowie deren finanziellen, rechtlichen und sicherheitstechnischen Konsequenzen. Nach und nach wird IT-Sicherheit auf Board-Level also nicht mehr nur als ‚Operational Expense‘ wahrgenommen. Doch obwohl die Angst, auf dem falschen Fuß erwischt zu werden, wächst, wird zu wenig investiert. Hinzu kommt: Es fehlt einfach an genügend qualifizierten Ressourcen. Geopolitische Spannungen beeinflussen den internationalen Handel und die Zulieferketten derzeit in bisher ungeahnten Dimensionen.

Sie sprechen die zunehmend instabile geopolitische Situation an. Welche Aspekte der globalen Sicherheitslandschaft stehen dabei besonders im Fokus?

Zwischen den Supermächten werden die Spannungen weiter zunehmen. Die Komplexität der Cyberangriffe ist global gestiegen, was ein weiteres Wettrüsten wahrscheinlich macht. Die US-Wahlen werden auch im Cyberraum zu einer weiteren Zuspitzung von möglichen neuen Angriffsvektoren und -zielen führen. Regionale Konflikte wie Russland-Ukraine und Israel-Gaza haben neue Angriffstrends und Hacktivismus befeuert, wobei gesellschaftliche, wirtschaftliche und politische Ziele im Fokus stehen. Wir müssen uns weiterhin mit Social Engineering, Ransomware, Business Email Compromise (BEC), Webseiten-Verunstaltungen und komplexen Angriffen mittels Wiper Malware auseinandersetzen. Zudem verstärken neue KI-getriebene Angriffsmethoden die Herausforderungen, oft unterstützt durch staatliche Kräfte.

Wie gut sind Unternehmen in der DACH-Region in Sachen Cybersecurity Ihrer Einschätzung nach aufgestellt?

In Deutschland, Österreich und der Schweiz arbeite ich oft mit Industrie-, Technologie-, Pharma- und Finanzunternehmen zusammen. Ihre IT bzw. Operational Technology bleibt ein bevorzugtes Ziel von Cyberkriminellen. Industrieanlagen sind heute wesentlich leichter angreifbar als früher, als IT und OT getrennt waren. Die Verknüpfung mit IIoT (Industrial Internet of Things) steigert das Risiko erfolgreicher Angriffe auf die OT, da wir nun gleichzeitig Organisationsdaten (Logistik und Spedition) mit technischen Daten aus computergestützten Fertigungsystemen (Produktion) verknüpfen. Es fehlt hier zu oft an dringendst benötigten Investitionen und Upgrades. Mich alarmiert die Häufigkeit von Social Engineering-Angriffen auf Sektoren wie Energie, Gas, Öl, Maschinenbau, Automobil, Banken, Versicherungen, Pharma und Technologie. Massive Vorfälle sind nur eine Frage der Zeit.

Was können wir von anderen Ländern lernen?

Wir befinden uns im digitalen Wettrüsten. Hacker greifen weltweit kritische Infrastruktur an, auch in der DACH-Region. Investitionen in den Schutz dieser Infrastruktur sollten Priorität haben. Meine dringende Empfehlung: Sicherheitskonzepte überdenken, Systeme aktuell halten, Teams regelmäßig schulen, schnellstmöglich entlasten (Iimitierte-Ressourcen führen zwangsläufig zu Burnout) und besser entlohnen. Vor allem müssen wir uns aber immer wieder klar machen: Meist steht der Mensch im Zentrum des Angriffs. Awareness für Cybersicherheit ist deshalb das A und O. Mindestens genauso wichtig ist das Thema Cyber-Resilienz, also Response und Recovery. Wichtiger denn je ist es heute, die Handlungsfähigkeit auch im Falle eines Angriffs aufrechtzuerhalten, also aktiv zu reagieren. Auf Vorstands- oder Geschäftsleitungsebene braucht es noch mehr Einsicht, dass Cybersecurity nicht nur eine Kostenfrage ist, sondern dem Unternehmenswert dient. Das setzt voraus, dass auf Top-Management-Ebene verstanden wird, was auf dem Spiel steht, u.a. welche Haftungsrisiken (inklusive Vorstandhaftung) im Raum stehen und insbesondere welche Handlungsoptionen innerhalb 12- 72 Stunden – die sogenannte „Actionable Intelligence“.

Manager sollten Cybersecurity also als positiven Faktor für den Unternehmenserfolg betrachten?

Genau. Jede einzelne Investition in Cybersicherheit zu verstehen als Investition in den Schutz von immateriellen Gütern und nicht als Kostenfaktor, das ist die zentrale Frage für mehr IT-Sicherheit. Wir brauchen hier einen Kulturwandel. Ein einschneidender Angriff auf das globale Finanzsystem, ein Kernkraftwerk oder die Energieinfrastruktur ist ein Horrorszenario – leider aber nicht auszuschließen. Das potenzielle Cyberrisiko verändert sich konstant und wird immer systemischer. Fehlende Patches, überlastete Ressourcen, veraltete Software und das rasante Tempo der Digitalisierung bilden dabei die Grundlage. Hinzu kommen massive, schnell wachsende und teilweise sehr komplexe physische und digitale Abhängigkeiten und Software-Lieferketten-Bedrohungen. Diese Entwicklungen bringen exponentiell wachsende Herausforderungen für die IT-Security-Community mit sich. Da braucht es an oberster Stelle eine klare Haltung, die IT Security als positiven Beitrag zum Unternehmenserfolg definiert.

Welche Hindernisse sehen Sie, wenn es darum geht, Cybersecurity Konzepte nachhaltig umzusetzen?

Kriminelle brauchen immer weniger Können und finanzielle Mittel. Zudem benötigen sie keine umfangreiche Organisation mehr – Cybercrime-as-a-Service führt dazu, dass viele Akteure unabhängig agieren. Gleichzeitig wächst der Kosten-, Organisations- und Arbeitsdruck auf die Security Teams exponentiell. Wir stehen ja noch am Anfang der digitalen Ära. Der Einsatz von KI wird auch die Bedrohungssituation weiter verschärfen – und schon heute haben wir nicht ausreichend Ressourcen und häufig zu geringe Mittel. In meinen Augen ist es Zeit, dass sich die Bedeutung der Cybersicherheit nicht nur auch auf der Geschäftsleitungsebene etabliert, IT Security muss auch personell repräsentiert sein! Leider sehe ich bei unseren globalen Mandaten zu oft, dass zuerst materielle Schäden und Haftungsverpflichtungen entstehen müssen, bis sich Board-Mitglieder über die enorme Bedeutung von Cybersecurity auf das Tagesgeschäft bewusst werden.

Um das Thema KI ist ein regelrechter Hype entstanden, die Diskussion über Chancen und Risiken wird eine große Rolle auf der it-sa Expo&Congress spielen. Wie ordnen Sie das Potenzial von KI für Cybersecurity und den Schlagabtausch zwischen Angreifern und Verteidigern ein?

Diese Frage betrachte ich gerne aus drei Perspektiven.

Dank KI erkennen wir grundsätzlich Angriffsmuster schneller und erhalten wichtige Hinweise auf Malware-Mutationen. KI-Technologien verkürzen die Reaktionszeiten und verbessern Verteidigungsstrategien durch Echtzeitauswertung von Bedrohungsdaten. Unmengen an Informationen und Zusammenhängen können zukünftig sofort und noch besser ausgewertet und auf verdächtige Muster geprüft werden.

Die Erfahrung zeigt, dass bei einem Ransomware Angriff die sogenannte Last Known Good Configuration Recovery Option oft nicht genügt. Als Folge finden immer neue Angriffe statt. Schon heute bringt hier die Verwendung von KI-Technologien bei Data Clean Rooms zwar kostspielige, jedoch enorme Vorteile. Es handelt sich dabei um sichere, geschützte Umgebungen, in denen personenbezogene Daten über KI-Technologien bereinigt und verarbeitet werden. So können sie für vielfältige Datenanalysen genutzt werden.

Doch auch Angreifer profitieren. Ein direkter Ansatz fokussiert sich beispielsweise darauf, Malware und Angriffsvektoren auf KI basierte Virenscanner zu programmieren. Das Ziel des Angreifers ist eigentlich banal und doch höchst effizient: Konkrete Verhalten und Ereignisse feststellen, die der Scanner bewusst absucht. Solche Aktivitäten führen entsprechend zu einem Profil, um wiederum das KI-Model entsprechend zu optimieren. Dabei lassen sich Muster in Bezug auf Taktik, Technik und Verhalten erstellen, die es erlauben, existierende KI-Modelle nachzubauen, und diese entsprechend mit gefälschten Daten zu täuschen.

Wir forschen seit einiger Zeit an KI-Technologien, um unseren Kunden in der sich laufend verändernden Risikolandschaft zu sekundieren. Klar ist dabei: Auch mit KI wird es weiterhin ein Katz-und-Maus-Spiel mit den Angreifern bleiben. Wir sind deshalb gut beraten, den Möglichkeiten durch KI-Technologien die gleiche Priorität beizumessen wie ihren Risiken.

Sie beschäftigen sich intensiv mit Cyber-Versicherungen. Wie wichtig ist dieser Baustein Ihrer Einschätzung nach zur Absicherung?

Wir arbeiten mit Versicherern und Unternehmen zum Thema Cyberversicherung zusammen. Diese Deckungen sind dann sinnvoll, wenn sie auf das Risikoprofil abgestimmt und real getestet werden. Allerdings: Schäden aus Angriffen auf kritische Infrastruktur oder staatliche Stellen sind kaum versicherbar.

Grundsätzlich bin ich der Meinung, dass staatliche Cyberangriffe jeglicher Art eine systemische Komponente beinhalten. Folglich sind sie nicht alleine durch die Privatwirtschaft versicherbar. Denn wenn staatliche Angriffe systemisch durchschlagen, ist das Delta zwischen ökonomischen Schäden und der Versicherungskapazität unüberbrückbar. Ich sehe für solche Cyberrisiken nur den Weg zwischen einer Partnerschaft der Assekuranz und der öffentlichen Hand. Dazu gab es bereits einige Bemühungen in Singapur oder aktuelle Projekte in den USA und dem Vereinigten Königreich.

Wie entwickelt sich der Markt für Cyberversicherungen?

Global betrachtet sprechen wir in diesem Jahr von einem Prämienvolumen von knapp 16 Milliarden US-Dollar. Dabei konzentrieren sich 85 Prozent auf Nordamerika und Europa. Mehr als zwei Drittel wiederum entfallen hierbei auf die USA und Kanada. Drittel davon Wachstumsmärkte sind Südamerika, Asia-Pacific und der Mittlere Osten inklusive Indien. Wir gehen davon aus, dass sich das Prämienvolumen bis 2030 aufgrund der Digitalisierung verdoppeln wird. In der DACH-Region besteht ein sehr grosses Nachholpotential für KMUs, es bedarf jedoch gleichzeitig ein starkes Investment in die Umsetzung von IT-Sicherheitsstrategien und Risikomanagement.

Als Special Keynote Speaker der it-sa Expo&Congress betreten Sie am 24. Oktober in Nürnberg die Bühne. Sie fragen „Quo vadis cyber risks?“ – worauf dürfen sich die Messeteilnehmer freuen?

Natürlich werfe ich einen Blick auf den Status Quo und vertiefe meine Analyse zu den hier bereits angesprochenen Punkten wie Cyberrisiken, KI und Geopolitik. Viel wichtiger aber ist mir die Entwicklung, die sich bereits am Horizont abzeichnet:

Digitalisierung und damit verbunden Cyberrisiken sind irreversibel. Noch nie war unser Vernetzungsgrad höher, noch nie die IT-Abhängigkeiten herausfordernder und gleichzeitig das Potential unserer Branche größer als heute. In Zukunft entwickeln sich Technologien, Codes, Malware und Viren in bisher unvorstellbarem Ausmaß zu strategischen, ökonomischen und geopolitischen Assets – aber auch Herausforderungen. Die Bedeutung von Cybersecurity wird damit exponentiell wachsen.

Unsere Zukunft wird unberechenbarer und weniger vorhersehbar. Die Frage ist: Wohin führen diese Entwicklungen und was bedeuten sie für Staaten, Unternehmen und die Gesellschaft?