"Und jetzt wackelt alles." – Warum die SySS 2025 dennoch optimistisch bleibt

Die aktuelle Lage der IT-Sicherheit: Gefahren und Maßnahmen

Pentest Blog: Der BSI-Lagebericht 2024 schließt mit dem Fazit „Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend“. Wo siehst Du aktuell die größten Gefahren für die IT-Sicherheit?

Sebastian Schreiber: Nach wie vor haben wir ja seit etwa fünf, sechs Jahren den Trend mit der Krypto-Ransomware. Das bedeutet, dass Täter in Unternehmen eindringen, sich da persistieren, lateral bewegen, ihre Rechte ausweiten und dann hinterher alles verschlüsseln, was sie zu fassen kriegen. Das ist ein Trend, der anhält, und der wird uns auch noch in den nächsten zwei, drei Jahren begleiten.
Ansonsten haben wir Besonderheiten: Wir haben eine labiler werdende politische Lage – vor 10, 15 Jahren lebten wir in einer ganz anderen Welt, da haben wir mehr Optimismus gehabt und die entsprechenden Staaten und Bündnisse waren stabiler. Und jetzt wackelt das alles. Wir haben den Krieg gegen die Ukraine unmittelbar in Europa. Dann sehen wir auch, dass die USA, seitdem Donald Trump wiedergewählt wurde, mit sehr, sehr viel Kraft eigene Wege gehen und eine Entkoppelung der USA von Europa stattfindet. Und wir haben nach wie vor die Abhängigkeit von amerikanischer IT – stärker als je zuvor aufgrund der Cloud-Thematik.
Zudem haben wir aber auch eine geopolitische Abhängigkeit von China, sowohl als verlängerte Werkbank als auch als Absatzmarkt und als Hersteller von Mobilfunktechnologien – Stichwort "Huawei". Das heißt, die Welt ist aus den Fugen geraten, es verändert sich ganz viel. Ich könnte weiterberichten über Desinformation, die zunehmend auch professionell erfolgt, möglicherweise auch mit Unterstützung von Künstlicher Intelligenz. Das heißt, wir sind in einer sehr schwer zu prognostizierenden Umwelt und für mich als Geschäftsführer der SySS GmbH heißt das, dass wir ganz stark die Ohren offenhalten, dass wir sehr vorsichtig vorgehen, aber dennoch sehr optimistisch in die nächsten fünf Jahre schauen.

Pentest Blog: Optimismus ist ein gutes Stichwort. Im Vorwort des BSI-Berichts schlägt Claudia Plattner aber auch eine positive Note an. Obwohl Angreifende „besser und schneller“ werden, seien wir ihnen „nicht schutzlos ausgeliefert“. Der Bericht zeige laut Plattner auch, dass Maßnahmen gegen Angriffe ebenfalls besser werden und ihre Wirkung zeigen. Was tut die SySS dafür, den Angreifenden einen Schritt vorauszubleiben?

Sebastian Schreiber: Also zunächst einmal beruht unsere Hauptdienstleistung ja darin, dass wir Penetrationstests machen, d. h. also, wir greifen die Systeme unserer Kunden an, finden Schwachstellen, schreiben einen Bericht und versetzen den Kunden so in die Lage, die Schwachstellen zu beheben. Und wenn der Angreifer dann einen Monat später angreift, dann steht er vor verschlossenen Türen. Der andere Punkt ist, dass unsere Kunden ja lernende Organisationen betreiben, d. h., sie beheben die Schwachstelle nicht nur singulär, sondern sie sorgen auch dafür, dass eine Schwachstelle, die auf der gleichen Systematik fußt, nie wieder vorkommt. Wir helfen unseren Kunden, ihre Systeme abzusichern, und stellen sicher, dass die Unternehmen, die der Angreifer hackt und verschlüsselt, keine SySS-Kunden sind.

Pentest Blog: Welche weiteren Maßnahmen gegen IT-Angriffe können Unternehmen und öffentliche Einrichtungen ergreifen, um sich besser zu schützen? 

Sebastian Schreiber: Nun, über allem schwebt die Qualität von IT-Systemen, die müssen eben entsprechend gepflegt und optimalerweise auch isoliert werden. Man muss sicherstellen, dass die entsprechenden Personen, Server oder auch Agents nur auf die Systeme zugreifen können, auf die sie auch zugreifen sollen. Natürlich ist es wichtig, dass wir überall Multi-Faktor-Authentifizierung einsetzen, denn Phishing ist nach wie vor erfolgreich und dagegen kann eben Multi-Faktor-Authentifizierung eine große Hürde darstellen.

Pentest Blog: Und wie sieht es mit den privaten Nutzer:innen aus? Was können diese tun, um Angriffen vorzubeugen?

Sebastian Schreiber: Da ist Bildung eine ganz wichtige Angelegenheit. Man muss sich darauf einlassen, wie IT funktioniert und versuchen zu verstehen, was man denn da macht. Denn der Privatnutzer muss, um z. B. Onlinebanking durchzuführen, auch verstehen, dass das Drücken einer Taste auf dem iPhone eben auch die Abgabe einer Willenserklärung ist. Und diese Willenserklärung kann dann weitreichende Folgen haben, wie z. B. die Authentifikation eines zweiten Handys, mit dem man dann auch aufs Konto oder auf die Konten zugreifen kann. Und dann ist plötzlich das Konto leer und das Geld kriegt man nicht mehr zurück. Das kann durchaus auch ein Leben erschüttern. Man stelle sich vor, jemand hat zwanzig Jahre lang gespart und von einem Tag auf den anderen ist alles weg.

Rückblick und Ausblick: CrowdStrike und Künstliche Intelligenz

Pentest Blog: Ein Ereignis, das im Juli 2024 Unternehmen auf der ganzen Welt beeinträchtigte, waren die IT-Ausfälle, die durch einen Fehler im Sicherheitsupdate von CrowdStrike Falcon verursacht wurden. Was war das Problem?

Sebastian Schreiber: Da wurde eine Software ausgerollt, die sehr, sehr wichtig war, die mit tiefgehenden Berechtigungen gelaufen ist. Diese Software wurde ausgerollt auf tausende von Computern – auf tausende von kritischen Computern –, ohne dass sie vorher getestet wurde. Das hat nichts mit Hacking zu tun, das hat nichts mit Cybersicherheit zu tun, außer, dass es sich hier zufällig um ein Cybersicherheitstool handelt. So etwas könnte aber auch vorkommen mit einem Update von meinem iPhone, dass da eine iOS-Version ausgerollt wird, die einfach nicht mehr bootet. Und dann ist mein iPhone kaputt. Und wenn Apple das nicht ordentlich testet, sind eben alle iPhones kaputt und das wäre eine echte Katastrophe – ein Milliardenschaden weltweit, kaum mehr zu beheben.

Pentest Blog: Wie hätte so ein Vorfall verhindert werden können?

Sebastian Schreiber: Die Lehre, die man daraus zieht, ist, dass man unter allen Umständen Software, die man ausrollt, testet und dass man sie optimalerweise auch stückweise ausrollt. Das heißt, erst kommt die Testphase, wenn die bestanden ist, dann rollt man das mal auf hundert Clients aus und wenn‘s da keine großen Beschwerden gibt, dann kommt die nächste Menge von 1 000, 10 000, 100 000 und dann vielleicht eine Million von Updates. Dann ist so ein Vorfall ausgeschlossen – die haben einfach sehr, sehr schlampig gearbeitet.

Pentest Blog: Mit DeepSeek kam vor ein paar Wochen ein neues KI-Sprachmodell auf den Markt, vor ein paar Tagen fand der KI-Gipfel in Paris statt – das Thema Künstliche Intelligenz wird überall diskutiert, sowohl mit Besorgnis als auch mit Neugier und Enthusiasmus. Wie beobachtest Du die Entwicklungen rund um KI?

Sebastian Schreiber: Ich glaube, dass KI in der Tat sehr viel verändern wird in der Arbeitswelt. Die spannende Frage ist „Was?“ und die andere spannende Frage ist „Wann?“. Und da kann ich klar sagen, es wird sich sehr, sehr, sehr viel verändern, weil möglicherweise in absehbarer Zukunft die KI viel intelligenter und viel schlauer ist als ein Mensch. Dann werden viele Arbeiten von der KI getan werden. Wir wissen aber noch nicht, wann das der Fall sein wird.

Pentest Blog: Und welche Auswirkungen hat die KI auf die IT-Sicherheit?

Sebastian Schreiber: Im Bereich Cybersicherheit bin ich überzeugt davon, dass der Einsatz von Künstlicher Intelligenz dem Täter mehr hilft als dem Verteidiger. Wir haben alle gesehen, dass man sowohl bei ChatGPT als auch bei DeepSeek oftmals sehr, sehr gute Antworten bekommt. Aber oftmals halluzinieren die KIs auch, d. h. man kriegt kompletten Unfug. Insofern kann ich mir nicht vorstellen, dass jemand von ChatGPT oder DeepSeek – als Beispiel – die Windows Registry härten lässt oder die Codebasis von einer neuen Applikation verbessern lässt. Da würden diese Halluzinationen einen unvorhersehbaren, unberechenbaren Schaden bedeuten. Wenn ein Angreifer aber hundert Unternehmen angreifen lässt und bei einem Unternehmen halluziniert die DeepSeek eben und macht sinnlose oder gefährliche Dinge, dann ist es für den Angreifer nicht bedeutend. Das heißt, dass die Asymmetrie zwischen dem Verteidiger und dem Angreifer, die wir ohnehin haben, stärker wird. Mit Asymmetrie meine ich, dass ein Verteidiger optimalerweise eine perfekte Verteidigung aufbauen muss. Der Angreifer – auch unsere Penetrationstester – hat es da einfacher. Zum Beispiel im Rahmen von Red Teaming-Tests reicht es, eine einzige Schwachstelle zu finden – die können also ganz, ganz viele Schwachstellen übersehen. Haben sie eine gefunden, sind sie drin und haben ihr Red Teaming erfolgreich durchgeführt. Während der Verteidiger also quasi alle Lücken schließen muss, reicht es dem Angreifer, wenn nur ein Promille seiner Angriffsversuche durchkommt.

Die SySS 2025

Pentest Blog: Welche Themen rund um IT-Sicherheit werden 2025 für die SySS wichtig sein?

Sebastian Schreiber: Der Sektor rund um die Penetrationstests wird sich noch weiter professionalisieren. Da gibt’s mehrere besondere Tests, die an Bedeutung gewinnen werden. Unter anderem im Finanzdienstleistungsumfeld – die Threat-Led Penetrationtests (TLPTs) –, die füllen bereits jetzt unsere Auftragsbücher, sind also ganz spannende Dienstleistungen.
Ansonsten Penetrationstests gegen Hardware aller Art: Gebäudeautomatisierung, Robotik, Industrieautomatisierung – das sind Dinge, die uns sehr viel Freude machen, gerade auch im medizinischen Sektor gibt‘s da sehr viel Geräte, die zu testen sind, wo wir sehr gerne dran sind. Ansonsten haben wir einige Kunden, die massenweise Penetrationstests wünschen, die eine perfekte Projektsteuerung benötigen und auch ein projektübergreifendes Reporting benötigen. Auch das sind Dinge, die uns Freude machen. Was uns auch Freude macht, sind die compliancebasierten Penetrationstests, da muss man den Fokus ein bisschen anders setzen und es ist ein großer Ansporn von uns, auch diese Penetrationstests so zu gestalten, dass das Bestmögliche für den Kunden rauskommt.

Pentest Blog: Was sind Deine Ziele für die SySS im Jahr 2025?

Sebastian Schreiber: Meine Ziele sind ein gesundes Wachstum, sind zufriedene Kunden, zufriedene Mitarbeiter. Und wir möchten nach wie vor unsere Position als größtes, ältestes und bestes Pentesting-Unternehmen in Deutschland weiter verteidigen und da arbeitet mein Team –  und selbstverständlich ich auch – Tag und Nacht dran, um das Bestmögliche rauszuholen.

Pentest Blog: Vielen Dank für das Gespräch und viel Erfolg und Freude bei der Umsetzung der Ziele!