Die IT-Sicherheitslage 2023

Pentest Blog: Laut dem BSI-Lagebericht 2022 ist die Gefährdungslage im Cyberraum "so hoch wie nie". Diese Schlagzeile stand so auch schon über den Jahren zuvor. Gehen Sie davon aus, dass dieser Trend anhält?

Sebastian Schreiber: Meine Antwort ist hier ein klares "Ja". Seit es den Lagebericht gibt, ist jedes neue Jahr das mit der schärfsten Gefährdungslage. Diese Verschärfung wird weiter zunehmen, und zwar aus zwei Gründen: Erstens sind Angriffe mit Krypto-Ransomware für Angreifende sehr attraktiv. Es lohnt sich, zu hacken, weil man Hacking-Erfolge leicht monetarisieren kann. Zweitens setzen wir immer stärker auf Digitalisierung, d. h. wir verlassen uns immer mehr auf Computer, Server, die Cloud etc. Diese beiden Säulen sorgen dafür, dass die Bedrohungslage immer weiter ansteigen wird.

Pentest Blog: Was 2022 allerdings neu war: Zum ersten Mal in der deutschen Geschichte ist in Folge eines Cyberangriffs von einer betroffenen Kommune, in diesem Fall vom Landkreis Bitterfeld-Anhalt, der Katastrophenfall ausgerufen worden. Wird das digitale Leben also immer unsicherer?

Sebastian Schreiber: Ja. In Deutschland haben wir die Situation, dass wir sowohl in der Digitalisierung als auch bei der IT-Sicherheit weit hinterherhinken. Wir sollten dringend im Gleichschritt die Digitalisierung vorantreiben und die Härtung der Systeme sowie die Qualität sämtlicher IT-Komponenten und -produkte verbessern.

Pentest Blog: Ransomware-Angriffe, also Cyberangriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gelten laut dem BSI aktuell als größte Bedrohung im Cyberbereich. Was empfehlen Sie, um sich vor dieser Angriffsart zu schützen?

Sebastian Schreiber: Zunächst ist dafür Sorge zu tragen, dass die Eintrittswahrscheinlichkeit von Schadensfällen sinkt. Dazu muss man die Schwachstellen in den eigenen Systemen kennen und beheben. Um herauszufinden, wo ein Unternehmen angreifbar ist, ist ein Penetrationstest das geeignete Instrument und auch im Jahr 2023 unverzichtbar. Trotzdem bleibt ein Restrisiko, hundertprozentige Sicherheit kann es nicht geben. Man muss sich also parallel auch auf etwaige Incidents vorbereiten. Es muss sichergestellt werden, dass der erwartete Schaden im Falle eines Incident möglichst gering ist. Hier bietet unsere Abteilung Digitale Forensik und Incident Response von Incident Readiness-Workshops bis zu Rahmenverträgen mit 24-Stunden-Rufbereitschaft ein großes Spektrum an Unterstützungsmög­lichkeiten an.

Pentest Blog: Neben Ransomware stehen seit Beginn des Kriegs gegen die Ukraine insbesondere auch Angriffe auf Kritische Infrastrukturen im Fokus. Das BSI stellt "eine erhöhte Bedrohungslage für Deutschland im Kontext des Krieges in der Ukraine fest, die auf eine ohnehin schon angespannte Gesamtbedrohungslage trifft". Aufgrund der bestehenden Abhängigkeiten von Energieimporten bei Strom, Gas und Mineralöl stelle der Sektor Energie aktuell ein besonders attraktives Angriffsziel für Cyberattacken dar. Als Konsequenz schreibt das IT-Sicherheitsgesetz 2.0 ab 2023 für zahlreiche Betreiber Kritischer Infrastrukturen verpflichtend vor, Systeme zur Angriffserkennung nach Stand der Technik zu betreiben. Wird eine solche Vorschrift Ihrer Ansicht nach Abhilfe schaffen?

Sebastian Schreiber: Grundsätzlich ist das natürlich sinnvoll. Ein Unternehmen soll merken, wenn es gehackt wird, um dann entsprechend reagieren zu können. Der Gedanke, dass Detektion etwas bringt, funktioniert allerdings nur unter der Prämisse, dass es sich um eine Gefährdung mit einer langsamen Ausbreitung handelt, bei der man gegensteuern kann. Bei Gefahren, die sich explosionsartig oder zumindest sehr schnell ereignen, hilft Detektion nicht viel. Und Hackerangriffe sind oft sehr, sehr schnell. Ein falscher Klick und die Systeme werden verschlüsselt. Bis der Notdienst da ist, ist dann oftmals alles bereits verschlüsselt.

Das heißt nicht, dass Angriffserkennung sinnlos ist. Detektion ist eine gute Sache. Ich glaube aber Folgendes: Muss ein Unternehmen das Budget, das es bisher für Prävention und Reaktion ausgegeben hat, neu verteilen und nun auch in Detektion investieren, wird seine Sicherheit schlechter. Detektion kann Prävention und Reaktion ergänzen, aber sicher nicht ersetzen.

Pentest Blog: Wir haben nun über Unternehmen und öffentliche Infrastrukturen gesprochen, kommen wir auch noch zu den Privatanwender:innen. Über den Jahreswechsel haben uns u. a. Trojaner (Stichwort "Godfather")- bzw. Social Engineering-Angriffe auf Onlinebanking-Applikationen bzw. -Kund:innen beschäftigt. Was geben Sie uns zum sicheren Bezahlen online mit auf den Weg?

Sebastian Schreiber: Banken, so beobachte ich seit über 20 Jahren, sind im Bereich Sicherheit eigentlich vorne dran. Das liegt daran, dass sie ohnehin immer schon unter Beschuss sind. In Banken liegt das Geld und entsprechend schlagen Täter:innen dort bevorzugt zu. Bei Angriffen auf Banken bzw. deren Kund:innen müssen die Täter:innen nicht etwas anderes in Geld umwandeln, sondern sie kommen direkt an das Geld. Entsprechend haben die Banken in puncto Sicherheit in den letzten 20 Jahren sehr viel gelernt. Zum einen waren Onlinebanking-Dienste die ersten, die Multi-Faktor-Authentifizierung (MFA) eingesetzt haben. Lange bevor Unternehmen MFA für Logins verlangt haben, mussten Transaktionen beim Onlinebanking per MFA bestätigt werden. Seit 2019 gibt es die PSD2-Richtlinie der Europäischen Union. PSD2, Payment Service Directive 2, zwingt die Banken zum Einsatz von MFA, die Geldinstitute haben diesbzgl. also keine Wahl mehr. PSD2 sollte Onlinebanking sehr viel sicherer machen. Dies ist aber nicht gelungen. Ein Grund dafür ist, dass man bei den Authentifikationsmedien die Möglichkeit hat, andere Medien hinzuzufügen – und so wird schließlich die MFA umgangen. Täter:innen nutzen dies, um die Kund:innen von Banken und Sparkassen um ihr Geld zu bringen.

Pentest Blog: Ebenfalls um den Jahreswechsel hat uns eine neue Form von Künstlicher Intelligenz, nämlich ChatGPT, in Staunen versetzt. Welche Möglichkeiten und Grenzen sehen Sie hier?

Sebastian Schreiber: Während ich über ein Jahrzehnt beobachtet habe, dass im Bereich AI so gut wie gar nichts vorwärtsging, oder, wenn ja, nur unter singulären Aspekten, merke ich jetzt, dass es nun anders ist. In der Vergangenheit war es so, dass Sprachassistenten – egal, ob Cortana, Alexa, Siri oder andere – teilweise außergewöhnlich dumm geantwortet haben. Jetzt mit ChatGPT3 habe ich das Gefühl, mich mit einem intelligenten Wesen auseinanderzusetzen und universelle Antworten zu erhalten. Ich kann mathematische Rätsel lösen lassen, ich kann mir Gedichte in einem bestimmten Versmaß schreiben lassen usw. usf. – und zwar in Windeseile. Auch bei Aufgaben, die eigentlich dem Menschen vorbehalten waren, wie etwa die Interpretation von Gedichten, ist ChatGPT extrem gut. Ich glaube also, dass der 30. November 2022, der Tag der Veröffentlichung von ChatGPT, der Beginn einer neuen Zeitrechnung ist. Viele Aufgaben, die bisher Menschen erledigen, werden – möglicherweise schon sehr bald, in wenigen Jahren – von Computern übernommen werden.

Pentest Blog: Und wie sieht es mit den Grenzen aus?

Sebastian Schreiber: Grenzen sehe ich wenige. Ich sehe hier im Gegenteil tatsächlich eine neue Zeitrechnung, die die bisherigen Regeln extrem ändern wird. Die Ideen Alan Turings und bspw. die Simulation neuronaler Netze, Deep Learning u. Ä. gibt es schon länger, aber bisher hat nichts in der Weise von ChatGPT funktioniert. Nun erwacht die KI und wird alles verändern, womit wir es bisher zu tun hatten.

Pentest Blog: Provokant gefragt: In welchem Jahr ihrer Geschichte werden Sie die SySS schließen müssen, wenn die KI alle Mitarbeitenden überflüssig macht?

Sebastian Schreiber: Die Künstliche Intelligenz wird zunächst die geeigneten Bereiche erobern. Dinge, die einfach gehen: Terminvereinbarungen, Kommunikation per E-Mail u. Ä. Es gibt Gründe, dass ChatGPT3 in Microsoft Office integriert werden soll. Dort hat das richtig Sinn und wir werden enorme Vorteile haben. Normale Mitarbeitende werden z. B. schneller arbeiten, viel mehr E-Mails in derselben Zeit schreiben können als ohne KI, weil die KI sämtliche Kontexte des Austauschs kennt und Texte passend vorstrukturieren kann. Der Beruf des Penetrationstesters dagegen ist einer, der als letztes aussterben wird, denke ich. Für den Bereich Cybersicherheit bin ich davon überzeugt, dass wir in den nächsten zehn Jahren noch davon profitieren werden, dass ein immer größerer Fokus auf IT gelegt wird. Für die nächsten zehn Jahre sehe ich rosige Voraussetzungen – wie es dann weitergeht, wissen die Götter.

Pentest Blog: 2023 wird die SySS 25 Jahre alt. Gibt es die eine große Entwicklungslinie, die Sie seither beobachten konnten? Was waren die nachhaltigsten Trends in diesen 25 Jahren?

Sebastian Schreiber: Eigentlich sind wir uns in den 25 Jahren sehr treu geblieben. Die Idee, dass festangestellte Expert:innen hochkarätige Penetrationstests machen, dass wir unseren Kund:innen immer gut zuhören, die Idee, dass wir viel wagen, viele Experimente machen und auch viel forschen: Das ist der rote Faden, der sich seit der Gründung 1998 durch die SySS-Geschichte zieht. Mit dem Wachstum ging einher, dass wir für die unterschiedlichen Arten Penetrationstest eigene Fachteams und darüber hinaus auch noch neue Geschäftsbereiche gegründet haben. Während zu Beginn alle Mitarbeitenden im Consulting Allround-Consultants waren, haben wir jetzt auch viele Spezialist:innen, die sich bspw. primär mit OT-Hacking oder dem Hacken von mobilen Endgeräten beschäftigen.

Pentest Blog: Mit Blick auf die zurückliegenden zweieinhalb Jahrzehnte: Was war eine zentrale Erkenntnis oder Erfahrung, mit der Sie bei der Gründung des Unternehmens überhaupt nicht gerechnet hatten?

Sebastian Schreiber: Ganz überraschende Erkenntnisse hatte ich nicht. Wenn etwas passierte, womit ich 1998 noch nicht rechnen und es entsprechend nicht einplanen konnte, kam das dennoch nicht von einem Tag auf den anderen, sondern es hat sich im Voraus abgezeichnet. Zum Beispiel war für mich beim Bau unseres ersten Bürogebäudes klar, dass die Räumlichkeiten für immer ausreichen werden. Später stellte sich aber heraus, dass diese Annahme falsch war. Aber das war eine stetige Entwicklung und keine spontane Überraschung. Allgemein denke ich, dass es bei einem Ein-Produkt-Unternehmen nichts gibt, was man als Gründer und Geschäftsführer nicht bedacht haben kann.

Pentest Blog: Wie sieht es aber mit Eingriffen von außen aus? Zum Beispiel Änderungen in der Rechtsprechung?

Sebastian Schreiber: Der Hacker-Paragraph? In der Tat, § 202 a-c StGB hat die Dienstleistung des Pentestings ein wenig in Frage gestellt. Das war durchaus ein bisschen erschütternd. Einschneidend war auch der „I love you“-Virus im Jahr 2000. Ein weiteres Erdbeben erzeugten natürlich auch die Enthüllungen von Edward Snowden. Der größte Game Changer war bislang aber ganz klar Krypto-Ransomware.

Pentest Blog: Richten wir abschließend noch den Blick in die Zukunft: Welche Erwartungen haben Sie für Ihr Unternehmen?

Sebastian Schreiber: Die neue Richtlinie zur Netz- und Informationssicherheit, NIS 2, wird auch kleine und mittelständische Unternehmen zwingen, sich mit Cybersicherheit auseinanderzusetzen. Für uns wird das evtl. eine Ausweitung des Kundenspektrums bedeuten. Kunden mit 60 bis 90 Mitarbeitenden beauftragen derzeit eher selten Penetrationstests – das könnte sich nun ändern. Aber das ist nur ein Beispiel. Wir werden sicher viele Veränderungen erleben.

Pentest Blog: Und welche ganz persönlichen Wünsche haben Sie für die SySS?

Sebastian Schreiber: Ich wünsche mir, dass wir mit unseren Mitarbeitenden und unseren Kunden weiterhin Werte schaffen, Gefahren verhindern und die Welt ein bisschen sicherer machen können.

Pentest Blog: Herzlichen Dank, lieber Herr Schreiber, für das Gespräch und alles Gute für die nächsten 10, besser 25 Jahre.