KI greift an. KI verteidigt. Wer gewinnt, entscheidest du. Noch.

KI greift an. KI verteidigt. Wer gewinnt, entscheidest du. Noch.

Ein Weckruf für alle, die noch glauben, Cybersicherheit sei Sache der IT-Abteilung

Ich erinnere mich an ein Gespräch mit einem Geschäftsführer mittelständischen Zuschnitts-Maschinenbau, solides Unternehmen, 200 Leute. Er sagte: „Wir haben eine Firewall, wir haben Antivirensoftware, wir machen das seit Jahren so. Was soll uns passieren?” Drei Wochen später lag sein gesamtes Netzwerk lahm. Ransomware. Der Einstieg: eine täuschend echte E-Mail an seine Assistentin, die aussah wie eine interne Nachricht von ihm selbst – inklusive seines typischen Grußformats, das die Angreifer von seiner öffentlichen LinkedIn Seite abgezogen hatten.

Das war kein Einzelfall. Es war auch keine Panne. Es war Methode.

Willkommen in der Cyber Reality – nicht als Schlagwort, sondern als gelebter Alltag. Einer, in dem die alten Spielregeln nicht mehr gelten und in dem die Frage, ob dein Unternehmen angegriffen wird, längst beantwortet ist. Die offene Frage ist nur noch: Wann? Und wie gut bist du vorbereitet?

Angriff mit Köpfchen – und mit Maschinen.

Lange Zeit hatte Cyberkriminalität etwas Handwerkliches. Phishing-Mails mit holprigem Deutsch, generische Schadprogramme, die jeder halbwegs aktuelle Virenscanner erkannte. Das ist Geschichte.

Heute sitzen auf der Angreiferseite keine einsamen Hacker mehr in dunklen Kellern. Es sind professionell organisierte Gruppen, manche staatsnahe, manche rein kommerziell motiviert, die KI-Werkzeuge einsetzen, um ihre Angriffe zu skalieren und zu verfeinern. Generative
Modelle schreiben Phishing-Nachrichten, die keine Rechtschreibfehler mehr enthalten, die den Tonfall der Zielperson imitieren, die auf aktuelle Ereignisse im Unternehmen eingehen. Sprachmodelle recherchieren Opferprofile automatisiert. Deepfake-Technologie erzeugt
Videos und Sprachnachrichten, die den CEO beim „Geldtransfer-Anruf” überzeugend simulieren.

Was früher Dutzende Stunden manueller Vorbereitung kostete, erledigt heute ein gut konfiguriertes Skript in Minuten. Die Angriffsoberfläche wächst. Die Angriffspräzision auch. Und die Verteidigung? Hinkt hinterher. Nicht weil es keine guten Werkzeuge gäbe,
sondern weil es zu wenige Menschen gibt, die sie verstehen und einsetzen können.

KI-Skills: Was damit wirklich gemeint ist.

Hier beginnt das eigentliche Problem. “KI-Kompetenz” klingt nach Buzzword – und wird oft auch so behandelt. Ein Prompt-Workshop hier, ein halber Tag „Einführung in ChatGPT”  dort, fertig. Das reicht nicht. Das reicht bei weitem nicht. Wer in einem Unternehmen mit KI-Systemen arbeitet – und das tut heute fast jeder, bewusst oder unbewusst – trägt eine Mitverantwortung für die Sicherheit dieser Systeme. Das erfordert mehr als Bedienkompetenz.

Es geht erstens darum zu verstehen, wie diese Systeme funktionieren. Nicht auf Doktoratsniveau, aber so, dass man ihre Grenzen kennt. Dass man weiß: Ein Sprachmodell erfindet manchmal Dinge. Es hat keine Ahnung, ob eine Information aktuell ist. Es gibt überzeugend klingende Antworten auf Fragen, auf die es eigentlich keine verlässliche Antwort kennt. Wer das nicht verinnerlicht hat, wird blind auf KI-Outputs vertrauen, und in einem Sicherheitskontext kann das fatal sein.

Es geht zweitens darum, Datensouveränität zu verstehen. Welche Daten darf ich in welches KI-System eingeben? Was passiert mit dem, was ich dort eintippe? Diese Fragen klingen banal – aber ich bin regelmäßig in Workshops, wo Mitarbeitende seelenruhig Kundendaten in
öffentliche KI-Dienste kopieren, weil sie die Antworten schlicht nicht kennen oder nie gefragt wurden.

Es geht drittens um die Fähigkeit, KI-Outputs kritisch zu bewerten. Das klingt selbstverständlich. Es ist es nicht. Wir neigen dazu, Systemen zu vertrauen, die selbstsicher klingen und schnell antworten. KI-Systeme tun beides, unabhängig davon, ob sie recht haben.

Und es geht viertens um ein Verständnis der rechtlichen Lage. Der EU AI Act ist kein akademisches Konstrukt, er ist geltendes Recht mit Konsequenzen. NIS2 betrifft inzwischen eine enorme Zahl von Unternehmen, die sich noch gar nicht als betroffen betrachten. Wer
hier ohne Grundwissen agiert, riskiert nicht nur Bußgelder, er riskiert das Vertrauen seiner Kunden.

Das schwächste Glied ist nicht der Server.

Hier muss ich etwas sagen, das viele IT-Verantwortliche nicht gerne hören: Die meisten erfolgreichen Cyberangriffe der letzten Jahre haben nicht die Technik überwunden. Sie haben Menschen überwunden. Nicht böswillige Menschen. Gutgläubige. Unter Zeitdruck stehende. Nicht ausreichend informierte. Die Assistentin, die auf den Link klickt, weil die E-Mail wie eine interne Anfrage aussieht. Der Entwickler, der ein kompromittiertes Open-Source-Paket einbindet, weil er keine Zeit hatte, es zu prüfen. Der Einkäufer, der Zugangsdaten an einen „IT-Support-Mitarbeiter” weitergibt, der am Telefon alles richtig macht.

Mit KI werden diese Szenarien raffinierter, überzeugender, schwerer erkennbar. Deepfake Anrufe, in denen die Stimme des Vorgesetzten täuschend echt klingt. Nachrichten, die exakt den Schreibstil einer Kollegin imitieren. Dokumente, die wie offizielle Unternehmensmitteilungen aussehen. Dagegen hilft keine neue Firewall. Dagegen hilft Kompetenz, Aufmerksamkeit und eine
Unternehmenskultur, in der es keine dummen Fragen gibt, sondern nur gefährliche Annahmen.

Die Verteidigungsseite: Was KI wirklich kann

Ich will kein Pessimismus verbreiten. KI ist nicht nur Bedrohung, sie ist auch eines der mächtigsten Werkzeuge, die wir auf der Verteidigungsseite haben. Aber man muss sie einsetzen wollen. Und können. Moderne Erkennungssysteme, die auf maschinellem Lernen basieren, analysieren Verhalten, nicht nur Signaturen. Sie merken, wenn ein Nutzeraccount plötzlich um 3 Uhr morgens Daten aus einer Datenbank zieht, die er in zwei Jahren nie angefasst hat. Sie erkennen Kommunikationsmuster, die auf eine laufende Exfiltration hindeuten, bevor ein Mensch überhaupt vom Vorfall weiß. Sie korrelieren Ereignisse über tausende Systeme hinweg in Echtzeit – eine Leistung, die kein SOC-Team manuell erbringen könnte. Das ist echter Fortschritt. Und er funktioniert, wenn die Menschen dahinter wissen, wie sie die Alarme zu bewerten haben, wie sie die Systeme konfigurieren, was ein False Positive ist und was echter Angriff. Ohne dieses Wissen produzieren die besten KI-Sicherheitssysteme nur Lärm, den niemand mehr hört. KI in der Cybersicherheit ist kein Selbstläufer. Sie ist ein Kraftverstärker für kompetente Teams. Und ein Haftungsrisiko für inkompetente.

Der Markt liefert nicht, was ihr braucht.

Es gibt eine unbequeme Wahrheit, die in Führungsetagen zu selten ausgesprochen wird: Den Fachkräftemarkt, auf den viele hoffen, gibt es so nicht. Nicht in dem Umfang, den die aktuelle Lage erfordert. IT-Sicherheitsexpertinnen und -experten mit echtem KI-Verständnis,
Erfahrung in der Incident Response und der Fähigkeit, Unternehmensführungen verständlich zu beraten – diese Profile sind knapp. Sehr knapp. Was das bedeutet: Wer wartet, bis der Markt das Problem löst, wartet zu lange. Die einzige realistische Antwort ist, in die eigene Belegschaft zu investieren. Nicht mit einmaligen Schulungen, sondern mit kontinuierlichen, rollenspezifischen Qualifizierungsprogrammen.
Der Buchhalter braucht andere KI-Skills als die Systemadministratorin. Die Führungskraft braucht andere als die Projektmanagerin. Wer alle mit demselben 8-Stunden-Kurs abspeist, hat das Problem nicht verstanden. Upskilling ist keine HR-Maßnahme. Es ist Sicherheitsinvestition. Und gemessen an den Kosten eines erfolgreichen Angriffs – Betriebsausfall, Reputationsschaden, Lösegeldforderungen, Wiederherstellungskosten – ist es die günstigste.

Sicherheit ist Chefsache. Ernsthaft diesmal.

Ich weiß, dieser Satz steht in jedem zweiten Cybersecurity-Artikel. Und ich weiß, dass er in der Praxis oft nichts bewirkt. Deshalb formuliere ich ihn anders: Wenn beim nächsten Angriff auf dein Unternehmen herauskommt, dass das Management nicht wusste, wie die eigene KI-Strategie aussieht dann ist das kein technisches Versagen. Das ist Führungsversagen. Und zunehmend auch ein juristisches Problem. NIS2 macht Vorstände und Geschäftsführungen persönlich verantwortlich für das Sicherheitsniveau ihrer Organisation. Das ist neu. Das ist ernst gemeint. Und das wird durchgesetzt werden. Eine Sicherheitskultur, die wirklich funktioniert, lebt nicht von Richtlinien, die niemand liest. Sie lebt davon, dass Führungskräfte selbst Bescheid wissen, Fragen stellen, Vorfälle nicht vertuschen und Sicherheitsbedenken nicht wegmoderieren, wenn sie den Zeitplan stören. Die beste technische Infrastruktur der Welt nützt nichts in einer Organisation, in der
Mitarbeitende Angst haben, einen verdächtigen Vorfall zu melden, weil sie Konsequenzen befürchten.

Was jetzt zu tun ist, konkret.

Kein Artikel ohne Handlungsempfehlungen, ich weiß. Aber ich mache es kurz und konkret:

Schau dir ehrlich an, wo dein Unternehmen heute steht. Nicht was auf dem Papier steht – was tatsächlich passiert. Werden KI-Tools genutzt? Mit welchem Wissen? Welche Daten fließen wohin? Diese Bestandsaufnahme ist unbequem, aber sie ist der einzige valide  Ausgangspunkt.

Investiere in rollenspezifische Qualifizierung – nicht in Einheitsware. Führungskräfte brauchen strategisches Risikobewusstsein. Technische Teams brauchen operative Tiefe. Alle anderen brauchen praxisnahe Szenarien, die zeigen, wie ein Angriff im Alltag aussieht, nicht abstrakte Theorie.

Überprüfe deine Lieferkette. Viele der schlimmsten Angriffe der letzten Jahre liefen über Partnerunternehmen, die schwächer gesichert waren als das eigentliche Ziel. Deine Sicherheit ist nur so stark wie das schwächste Glied in deinem Netzwerk. Und: Höre auf, Sicherheit als Kostenfaktor zu betrachten. Es ist Risikomanagement. Wer das versteht, entscheidet anders.

Noch.

Das „Noch.” im Titel dieses Artikels ist kein Effekthascherei. Es ist eine ernste Aussage über ein enges Zeitfenster. Aktuell haben Menschen noch die Kontrolle. Wir entscheiden noch, welche KI-Systeme wir einsetzen, wie wir sie konfigurieren, welche Grenzen wir setzen. Wir
können noch lernen, noch aufholen, noch Strukturen aufbauen, die uns schützen. Aber dieses Fenster schließt sich. Nicht dramatisch, nicht über Nacht – sondern still, Quartal für Quartal, während Angreifer besser werden und die Qualifikationslücke auf der Verteidigungsseite wächst. KI-Kompetenz ist keine Frage der Zukunft. Sie ist eine Frage des Jetzt. Wer sie ignoriert, übergibt das Steuer – still, unbemerkt, unwiderruflich.

Unternehmensprofil

Die Schönbrunn TASC GmbH ist ein spezialisierter Anbieter für Cyber-Resilienz und IT-Sicherheitslösungen im DACH-Raum. TASC steht für Training, Audit, System und Consulting und verbindet technische Exzellenz mit managementorientierter Sicherheitsstrategie nach dem Leitprinzip Security-by-Design. Das Unternehmen unterstützt Organisationen mit praxisnahen Trainings und international anerkannten Zertifizierungen (u. a. Security+, CEH, CISSP, CRISC®, CISM®) über seine akkreditierte Trainingsakademie. Darüber hinaus prüfen zertifizierte Berater und Penetrationstester IT-Infrastrukturen unter realistischen Bedingungen – von Anwendungssicherheit und Passwort-Checks bis hin zu OSINT- und Darknet-Analysen. Ergänzend begleitet Schönbrunn TASC Unternehmen bei der Umsetzung regulatorischer Anforderungen wie ISO 27001, NIS2, DORA und TISAX® sowie beim Aufbau nachhaltiger Informationssicherheits-Managementsysteme (ISMS). Gegründet 2021, betreut Schönbrunn TASC vom Hauptsitz in Leonberg aus heute mehr als 200 Kunden.

Kontakt

Kseniia Guillement

Head of Growth & OPs

Schönbrunn TASC GmbH

kseniia.guillement@schoenbrunn-tasc.de 

 

Bilder: Kseniia Guillement