Cybercrime as a service – wie verwundbar sind deutsche Unternehmen?

Sven Weizenegger: Hallo und herzlich willkommen zum Hackers Podcast von Digital Kompakt. Mein Name ist Sven Weizenegger und heute sprechen wir über Cybercrime as a Service. Dazu habe ich einen Gast eingeladen, nämlich Marc Wilczek von Link11. Du lernst heute etwas über Cybercrime, wie funktioniert eigentlich das Cybercrime-Ökosystem, welche Formen von Angriffen gibt es, welche Rolle spielen sogenannte DDoS-Angriffe, wie viele Angriffe gibt es überhaupt in Deutschland, wer sind die Akteure und was kannst du dagegen tun. Hallo lieber Marc, wir kennen uns ja schon seit einiger Zeit. Wir haben uns ja bei der Deutschen Telekom kennengelernt. Ich würde behaupten, du und ich waren so die jungen Wilden in der Telekom, die versucht haben, agiles Mindset zu implementieren, als es noch nicht so bekannt war dort. Ich würde dich bitten, dich einfach kurz vorzustellen, was du so machst, was deine Vergangenheit ist und die Bühne gehört dir.

Marc Wilczek: Also ich bin jetzt seit knapp drei Jahren bei Link11, die eine Vielzahl von Diensten anbieten, die letztendlich dafür sorgen, dass Unternehmen ihre digitalen Geschäftsmodelle sicher gestalten. und skalierbar betreiben können. Das Ganze mache ich schon eine ganze Weile. Also ich bin jetzt seit knapp drei Jahren bei Link11 und in der Tat habe eine relativ lange Vergangenheit. Ich mache IT seit 1996, ursprünglich mal angefangen als Jungunternehmer, war dann lange bei Ultimaco tätig, später Sophos. Ultimaco wurde seinerzeit von Sophos gekauft, war dann bei der CompuGroup Medical viele Jahre für das Auslandsgeschäft verantwortlich und in der Tat, dann haben sich unsere Wege gekreuzt. Fünf Jahre bei der Deutschen Telekom. Daher kennen wir uns aus dieser Zeit. Aber das liegt jetzt auch schon wieder erschreckendermaßen ein paar Jahre zurück.

Sven Weizenegger: Allerdings, allerdings. Vielen Dank. Es ist ja aktuell so, dass aufgrund der Corona-Situation sehr viele jetzt über Cybercrime sprechen. Weil Corona wird natürlich von Cyberkriminellen ausgenutzt. Und Cybercrime klingt erstmal ein bisschen seltsam für einige Leute vielleicht, weil man sich das nicht so vorstellen kann und nicht so greifbar ist. Erklären Sie doch mal, was ist eigentlich Cybercrime und wie funktioniert Cybercrime überhaupt?

Marc Wilczek: Ja, Cybercrime im Allgemeinen ist natürlich ein weiter Begriff. Also die Frage ist, ist das Internet der Tat Raum oder ist Internet der Tat Ort? Also der Tat Raum beispielsweise kann sein, dass über Marktplätze im Darknet, die also über Tor-Browser verfügbar sind, alle möglichen Arten von illegalen Waren und Produkten gehandelt werden. Das können sein Waffen, Drogen und dergleichen mehr. All das ist Bestandteil der Cyberkriminalität. Da ist Internet der Tat Ort. Raum. Cyberkriminalität im engeren Sinne, das was uns sehr stark beschäftigt ist, wenn IT letztendlich angegriffen wird, wenn Daten abgegriffen werden, wenn Hackerangriffe stattfinden, all das ist dann in dem engeren Teil der Cyberkriminalität gefasst und das ist eben das, womit auch wir uns als Unternehmen auf Seiten Link11 beschäftigen und auch ich mich tagtäglich mit beschäftige.

Sven Weizenegger: Welche Form der Angriffe bemerkt ihr aktuell und was war so in der Vergangenheit aktuell? Hat es auch einen Wandel stattgefunden in letzter Zeit. Ich habe gemerkt, ich kenne eure Firma, ich verfolge euch ja auch sehr intensiv. Wir hatten auch damals in der Telekom ja mit anderen Lösungen auch zu tun. Ich hatte immer so gedacht, ja, ja, das ist schon interessant, aber da passiert ja aktuell nichts. Und dann sehe ich auf einmal auf LinkedIn, wie mein Profil explodiert. Ich sehe immer Meldungen von euch. Ihr seid ja in der FRZ auch sehr gut vertreten. Was ist eigentlich passiert? Und bevor wir anfangen, was passiert ist, erklär uns doch mal die Begrifflichkeit DDoS, weil das ist ja, was ihr eigentlich macht, Resilienz. Was bedeutet das umgangssprachlich eigentlich?

Marc Wilczek: Ja, sehr guter Punkt. Also die Denial-of-Service-Angriffe stehen letztendlich für Lastangriffe, die von der Kette gelassen werden, um Systeme in die Knie zu zwingen. Man kann sich das so vorstellen, bildlich gesprochen, dass da eine bösartige Datenlawine losgelassen wird, zielgerichtet auf eine Infrastruktur. schlicht und ergreifend nicht mehr in der Lage ist, diese Menge an Daten und die Geschwindigkeit von Datenpaketen zu verarbeiten und dann sofort kollabiert. Diese Angriffe gibt es in verschiedenster Art und Weise. Es gibt Angriffe auf Infrastrukturen, es gibt Angriffe aber mittlerweile auch eben sehr, sehr stark auf API. Denn wenn man sich vorstellt mittlerweile, ob im Online-Banking, ob in der Sendungszustellung, überall da, wo es auch um Industrie 4.0 Cases geht, wenn Sensorik eingebunden wird und dergleichen mehr, überall da stehen Schnittstellen im Raum. Damit diese Use Cases funktionieren, müssen diese Schnittstellen bedient werden. Und insofern haben sich die Angriffe in der Art ein Stück weit verändert, denn die Denial-of-Service-Angriffe sind per se kein neues Phänomen, die gibt es relativ lange schon. sie haben sich in der Qualität und Güte verändert. Zum einen sehen wir, dass diese Angriffe den Stack hochwandern. Was ich damit meine, ist, dass Angriffe eben nicht mehr nur rein auf die Infrastruktur und auf Netze gehen, sondern immer mehr auf Applikationen und APIs. Und das andere ist, dass wir einen radikalen Anstieg sehen in der Größe. Und diese Größe ist auch wiederum einer Vielzahl von Faktoren geschuldet. Wir haben auf der einen Seite mittlerweile den Planeten geflutet mit smarten Geräten, smarten Kühlschränken und dergleichen mehr. All diese Geräte können letztendlich in Botnetze zusammen umgeschaltet werden, um von dort aus diese Datenlawine loszutreten. Wir haben auf der anderen Seite immer mehr Cloud-Konten, die gekapert werden, sodass man die Bandbreite der Public-Cloud-Anbieter nutzt, um von dort aus die DDoS-Kanone in Anführungszeichen zu betreiben. Und ein weiteres Phänomen, was jetzt noch mit hinzukommt, ist insbesondere die gesamte Entwicklung von 5G-Technologie. Also auch über 5G-Technologie werden wir perspektivisch sehen, dass diese Angriffe immer größer werden. und Und die erreichen mittlerweile, um mal ein paar Größenordnungen zu nennen, im letzten Jahr haben wir zum Beispiel gesehen, Angriffe von rund 730 Gigabit per Second. Im ersten Quartal diesen Jahres Angriffe in der Größenordnung auch jenseits der 400 Gigabit per Second. Und um das nochmal in die Realität zu transformieren, für diejenigen, die sich nicht jeden Tag damit beschäftigen, wenn also ein Unternehmen eine 1 Gigabit Außenanbindung hat oder selbst ein DAX, Konzern eine 10 Gigabit-Außenanbindung hat, dann trifft da eine Datenwelle plötzlich auf das Unternehmen, die im Extremfall wirklich 100 Mal größer ist oder 700 Mal größer ist als die Außenanbindung. Das heißt, da fliegt regelrecht sofort die Sicherung raus, alles ist weg und die Wiederherstellungszeiten dahinter, die sind enorm. Es dauert also mitunter Tage im schlimmsten Fall, mit Datenverlust involviert etc., um diese Systeme, die da radikal einfach ausgeknipst wurden, dann mühevoll wieder anzufahren.

Sven Weizenegger: Du hast gerade etwas sehr interessantes gesagt, fand ich. Du hast das Wort Kühlschränke erwähnt. Klar, da wird es irgendwann mal neue Dienste vielleicht geben. Auch meine Waschmaschine von LG hat irgendwie Internet angeblich. Ich habe es noch nicht herausgefunden, wie das genau funktioniert. Aber sei es drum. Glaubst du, und es klingt jetzt vielleicht ein bisschen seltsam, dass ich sage, dass aufgrund der Verbreitung von internetfähigen Geräten und der Erhöhung der Bandbreite wiederum, was ja erstmal einen positiven Effekt natürlich hat auf die Digitalisierung, dass wir auf einmal in einem sehr ungleichen Spiel sein werden, weil ich habe die Gegenseite, Kunde A meinetwegen oder Unternehmen A mit einer 10 Gigabit-Leitung, die mag erstmal groß klingen, dann habe ich auf einmal Gigabit-Leitungen in ganz Berlin, in ganz Frankfurt und jetzt kapert jemand 100.000 davon, was? Was passiert da eigentlich dann? Also auch mit Infrastruktur, mit der Gesellschaft vielleicht auch. Haben wir da noch mehr zu befürchten?

Marc Wilczek: Ja, sehr guter Punkt. Also wir müssen ein Stück weit davon ausgehen, dass dieses Thema weiter an Fahrtgeschwindigkeit aufnimmt. Also das deckt sich ja auch mit den historischen Beobachtungen alleine nur über die letzten Jahre. Und um ein paar Zahlen zu nennen, alleine die Bitkom beispielsweise, der Branchenverband der Digitalwirtschaft, die veröffentlichen jedes Jahr ihre Zahlen und geben auch eine Prognose ab, wie sich Cyberkriminalität in Deutschland auswirkt. Und die letzten Zahlen aus dem Herbst 2019 sagen beispielsweise, dass die deutsche Industrie Schäden bereits zu verkraften hat in der Größenordnung um die 100 Milliarden Euro im Jahr gegenüber 55 Milliarden Euro im Jahr 2017. Das heißt, innerhalb von kürzester Zeit haben sich diese Schäden fast verdoppelt. Und wir gehen also auch ganz fest davon aus, dass diese Schäden und auch die Auswirkungen über die nächsten Jahre anhalten werden. Immer mehr Unternehmen, aber auch wir als Gesellschaft, Es gibt die Grundbedingungen, Internet muss funktionieren. Es gibt immer mehr Anwendungsbeispiele, die vor allen Dingen auch die Echtzeit-Interaktion zwingend voraussetzen, ob in der Sendungsverfolgung von Paketen, ob in der Bereitstellung von Streaming-Diensten, ob bei Internet-Diensten. Bei Telematikdiensten, wenn jemand einen Parkplatz in der Stadt sucht und den in Echtzeit möchte. Überall da gibt es eben diese ganz wesentliche Grundbedingung. IT muss in dieser Sekunde verfügbar sein. Und wir werden sicherlich merken, dass da, wo es zu Ausfällen und Unterbrechungen kommt, diese Ausfälle einfach unglaublich stärker spürbar werden und schon spürbar sind, als das in der Vergangenheit der Fall ist. Dass wir wirklich uns in eine Welt begeben. Ich nenne sie auch diese Zero Outage Era. in der einfach für Ausfälle kein Platz mehr da ist und das vielleicht vergleichbar ist, wie wenn radikal der Strom ausfällt und nichts mehr funktioniert, dann sind wir einfach ein Stück weit aufgeschmissen. Und ich sage mal, diese Verwundbarkeit und diese Verletzbarkeit, die wird zunehmen. Das ist leider ein Stück weit die Kehrseite all der tollen Beispiele, all der Annehmlichkeiten, die sich auch aufgrund der Technologie entwickeln. Aber es gibt eben diese zugrunde liegende Grundbedingungen. Es muss halt auch da sein, es muss funktionieren. Und diese Abhängigkeit wird aus unserer Sicht mit Sicherheit weiter steigen.

Sven Weizenegger: Das ist ja auch elementar wichtig, weil wir Deutschen ja sehr stark im B2B-Bereich sind. Wir sind ja jetzt nicht die Stärksten im B2C-Bereich. Also wir werden wohl kein neues Instagram oder Facebook bauen, aber wir werden, glaube ich, dafür sorgen, dass die Transformation im industriellen Kontext stattfinden wird, auf eine Art und Weise, die uns, glaube ich, auch weiterbringen wird. Und ich glaube, was du auch sehr schön gesagt hast, ohne Verfügbarkeit werden wir all diese Dienste nicht zur Verfügung haben. Das klingt ja sehr komisch, dieser Satz, aber das ist letztendlich so. Gehen wir nochmal zurück, weil das hat mich ein bisschen gepackt mit, da hat jemand eine 1-Gigabit-Leitung und das betreibt er meistens ja nicht selber. Da ist ja höchstwahrscheinlich ein ISP, ein Internet Service Provider. Welche Pflicht, welche Rechte und was kann der überhaupt machen? Ich weiß, aus früheren Telekom-Zeiten, da gibt es auch Allianzen. Wie agieren und reagieren die eigentlich aktuell?

Marc Wilczek: Also es ist erstmal eine Frage, ob ich bei meinem Anbieter überhaupt irgendeine Art Schutz mit hinzugebucht habe oder nicht. Wenn überhaupt, dann greift dieser Schutz aber eben nur auf der Infrastrukturebene, nicht auf der Ebene von Applikationen oder APIs. Das heißt, dieser Dienst, ohne jetzt zu technisch werden zu wollen, arbeitet nur auf Layer 3 und Layer 4. Das heißt, er guckt sich IP-Datenverkehr an auf Netzebene. Dann ist schon die Frage, habe ich dort überhaupt einen Schutz drin, ja oder nein. Häufig ist es aber so, dass aufgrund der Größe der Angriffe, wenn die stattfinden, schlicht und ergreifend auch der ISP dazu übergeht, den gesamten Datenverkehr null zu routen. Das heißt, der Black holt diesen Datenverkehr technisch und alle Pakete, aber auch der legitime Datenverkehr wird einfach verworfen, solange bis dieser Angriff vorüber ist. Die Kehrseite und das Unschöne daran ist, dass diese Angriffe aber mittlerweile zum einen, wie ich vorhin schon sagte, sich auf dem IT-Stack nach oben bewegen. Das heißt, wenn ich Applikationen habe, APIs habe, dann ist der ISP dort blind. Wenn ich also an der Stelle nicht eine weitere Technologie einsetze, Kann der ISP und wird der ISP dort nichts machen? Das ist insofern sehr, sehr schmerzhaft, wenn, wir hatten es ja gerade von der deutschen Industrie, man sich Industrie 4.0 Cases vorstellt, Konvergenz von Netzen, also Produktionsanlagen beispielsweise vernetzt werden, Gebäudetechnik vernetzt wird. Wir sehen ja immer mehr eine Konvergenz zwischen Betriebstechnologie und IT. Und die Kehrseite ist, wenn jetzt dort Angriffe stattfinden, dass also nicht mehr nur der IT-Server nicht mehr geht, sondern plötzlich es wirklich direkt einschlägt auf die Produktion beispielsweise oder auf Gebäudetechnik, Klima, Heizung und dergleichen mehr. Das sind halt eben Aspekte, die sind relativ neu und dagegen muss man sich auf jeden Fall schützen. Ja, ansonsten bin ich da einfach wirklich weg vom Fenster. Um es mal so salopp zu sagen und vielleicht um noch eine Zahl mit in den Raum zu werfen. Wir werten ja diese Daten und die Statistiken, die wir erheben, permanent aus. Wir hatten beispielsweise in 2019 auch einen Angriff, der ging über mehr als 100 Stunden. Das heißt, ein Unternehmen, was an der Stelle nicht geschützt ist, hat dann möglicherweise damit zu kämpfen, dass wirklich über vier Tage am Stück rund um die Uhr nichts mehr geht. Und selbst wenn dieser Angriff dann irgendwann mal weg ist oder behoben ist, dann geht erst die Wiederherstellungszeit los und diese Wiederherstellungszeit exponentiert sich typischerweise gegenüber der Ausfallzeit. Das heißt, die Nachwehen von solch einem Angriff, die können ein Unternehmen relativ lange beschäftigen und auch unglaublich viele Ressourcen binden.

Sven Weizenegger: Gibt es eigentlich einen Zwiespalt zwischen, und du hattest es gerade gesagt, viele Angriffe auf der Anwendungsebene statt, zwischen dem Thema Datenschutz und eurer Vorgehensweise, weil ich mir vorstelle, dass viele Verbindungen natürlich SSL benutzen, um die Inhalte zu verschnüffeln. Wie spielt es damit hinein? Ich kenne natürlich noch Lösungen von früher, du auch, wo man sehr tief reingeguckt hat, das war immer relativ schwierig mit dem Betriebsrat. Ist das heute einfacher oder gibt es da inzwischen neuere Lösungen, um da Transparenz reinzubringen, was natürlich auch immer den Datenschutz ein bisschen hervorruft, leider Gottes, muss man auch sagen.

Marc Wilczek: Ja, das ist immer ein Stück weit der Zwiespalt und ein Stück weit der Trade-off. Wenn ich Geschwindigkeit in diesen Prozess reinbringen will, dann gibt es technisch erstmal nur die Möglichkeit, dass man eine Deep Packet Inspection auch macht. Es gibt da verschiedene Deployment-Modelle. Es gibt Unternehmen, die sich zum Beispiel dafür entscheiden, zu sagen, nur der HTTP-Traffic soll geprüft werden und HTTPS nicht. Da aber der HTTPS-Traffic natürlich exorbitant groß ist, hat das natürlich Nebeneffekte. Es gibt dann die Möglichkeit, erst im Angriffsfall beispielsweise Zertifikate hochzuladen und in einem Emergency Setup den HTTPS-Traffic dann zu terminieren. Bei einem Drittanbieter die Möglichkeit gibt es. Allerdings da, wo eben sehr, sehr viele Angriffe stattfinden und da, wo auch sehr viel HTTPS-Traffic läuft, da empfiehlt es sich eigentlich anders, nämlich dass der HTTPS-Traffic bei einem Provider terminiert wird, der eine Deep Packet Inspection vornimmt und dann den geprüften Datenverkehr weiterleitet. Das kann man tun. Auch beispielsweise in Verbindung mit HSMs, dass man die Zertifikate dann in einem HSM einlagert beispielsweise.

Sven Weizenegger: Ich glaube, wir müssen kurz erklären, was ein HSM ist für die Zuhörer. Das ist ja ein neues Wort, glaube ich, für viele.

Marc Wilczek: Stimmt, wäre mir fast durchgerutscht. Wir reden da von einem Hardware Security Module. Also es ist eine gehärtete Hardware, die zertifiziert ist, also die selbst für den militärischen Einsatz beispielsweise auch gedacht ist. Und es ist quasi unmöglich, dort Daten abzuzapfen. Das heißt, es ist eine Einbahnstraße, ich kann ein Zertifikat dort reinlegen, aber ich kriege das nie wieder raus. Bis hin zu, wie man das aus einem James-Bond-Film kennt, wenn jemand Hand anlegt, das erkennt das System und fängt an, die Daten, die da drauf sind, sofort zu zerstören. Also das ist dann das Maximum-Level, was ich an Security auch bekommen kann. Ein Punkt, der mir aber noch wichtig ist, ist absolut die Frage und das ist gerade in Deutschland ein sehr, sehr hohes Gut, mit wem arbeite ich zusammen. Und es macht einfach einen fundamentalen Unterschied, ob beispielsweise, dass ein US-amerikanischer Anbieter ist, der einem Patriot Act beispielsweise unterliegt oder ob das ein Unternehmen ist, das in Deutschland ansässig ist und hier unter den extrem strengen Vorgaben des deutschen Datenschutzes agiert. Das ist, so erleben wir es für viele Unternehmen, kriegsentscheidend in der Auswahl, mit wem man zusammenarbeitet.

Sven Weizenegger: Wie kann man sich so einen Prozess vorstellen? Weil es ist eine sehr operative Frage eigentlich auch. Also ich habe Software, ich kann das vielleicht mit Software nicht direkt beheben. Ich muss vielleicht Behörden einschalten, Anwälte etc. etc. Helfst du dem Kunden dort? Und wenn ja, wie kann man sich das so vorstellen?

Marc Wilczek: Also die Fragen rund um den Datenschutz, die sind eigentlich relativ einfach zu beantworten. Dadurch, dass wir also keinerlei Daten beispielsweise speichern und auch nicht groß verarbeiten dürfen, sondern eine Fire and Forget Policy haben. Dafür haben wir auch Patente angemeldet etc. Dadurch sind wir da sehr transparent. Wir sind beim BSI akkreditiert. Ich sage mal, da sind wir relativ schnell in der Lage, auf den Punkt zu beantworten, wie wir das Ganze lösen und auch die Fragen zu beantworten, die da im Raum stehen. Wie wir den Kunden helfen, ist es so, dass das Onboarding relativ schnell geht. Also dadurch, dass wir eben keine Hardware verbauen, sondern letztendlich nur Routing-Konfigurationen geändert werden, entweder bei Infrastrukturen über das Border-Gate-Protokoll oder wenn es sich um Webdienste handelt, dann sind das DNS-Einstellungen, die geändert werden. Das ist eigentlich ein relativ schlanker Prozess und in der Regel ist auch das Ganze innerhalb von weniger Stunden schon umgesetzt.

Sven Weizenegger: Und ziehen euch Kunden hinzu, wenn es dann doch knallt? Passiert das?

Marc Wilczek: Das passiert sehr häufig, dass es knallt. Also viele unserer Kunden kommen ja zu uns nicht nur aus reinen Präventionsgründen, sondern weil sie entweder schon Angriffe selbst erlebt haben oder Angriffe im Ökosystem erlebt haben, auf Partner, auf Kunden. Das ist in der Regel der Motivationsgrund ja für viele, sich für eine solche Lösung zu entscheiden. Ja, wir konsultieren unsere Kunden. Wir haben dort also auch fortlaufendes Reporting über die Angriffe, weil eines ist ganz wichtig, da gerade die Denial-of-Service-Angriffe so leicht von außen herbeizuführen sind. Deshalb werden sie auch regelmäßig verwendet in Kombination mit anderen Angriffen. Also da, wenn beispielsweise Datenklau im Raum steht, dort, wenn Malware, Phishing oder sonstige Dinge passieren, man versucht, einen Weg in die Organisation zu finden und ein Netz zu infiltrieren, dann ist nichts einfacher, als von außen erstmal die Denial of Service-Attacke loszulassen und möglichst viele Ressourcen zu binden, die dann auch über Stunden und über Tage auf einer Nebelkerze ihre Zeit verbringen, ohne festzustellen, was eigentlich gerade im Hintergrund passiert. Deshalb ist es so furchtbar essentiell, auch diese Daten, die Events, die in einem Netz passieren, alle miteinander zu korrelieren und dann nach Auffälligkeiten zu gucken. Weil wenn ich das nicht mache, sondern dann einfach darauf vertraue, dass das schon gut läuft, bekomme ich das regelmäßig nicht mit, was da passiert. Und es gibt Beispiele zur Genüge, wie selbst Großkonzerne zum Teil zwei bis drei Jahre gebraucht haben, um festzustellen, dass sie vor drei Jahren eine Datenpanne hatten. Und einer der Dinge, warum das so ist, ist eben, weil man zu wenig diese Events miteinander korreliert und in einen zeitlichen und räumlichen Zusammenhang stellt. Und wer das nicht tut, Läuft einfach Gefahr, dass ihm Dinge durchs Netz gehen oder durchrutschen. Mit zum Teil, wenn man sich die DSGVO vor Augen hält, immer schmerzhafteren Implikationen. Denn die Bußgelder, die mittlerweile da im Raum stehen, die sind wirklich gesalzen. Das ist heute kein Kavaliersdelikt mehr, sondern das wird extrem ernst genommen. Und die Schadensersatzforderungen, die da kommen, die Bußgelder, die da im Raum stehen, die sind exorbitant.

Sven Weizenegger: Ich glaube, was sogar noch schlimmer ist, neben der Tatsache, dass man vielleicht keine Logdaten hat, ist, wenn ein Partner das jemand meldet oder ein Medienunternehmen wie Journalisten. Wir haben gehört, über sie tauchen da Datensätze im Darknet auf. Ich glaube, das ist noch mal wenig prekärer, weil dann ist ja alles zu spät. Ich glaube, in der Telekom-Zeit gab es einen Telco-Ausrüster, glaube ich. Ich habe den Namen nicht mehr im Kopf. Ich glaube, die haben zehn Jahre gebraucht, um zu merken, dass dort etwas passiert ist. Das ist doch mal auch ganz interessant. Du hattest Und gerade eben gesagt, dass es Akteure gibt, denen es immer einfacher wird, solche Angriffe durchzuführen. Dann lass uns doch mal kurz auf diese Akteure eingehen. Also wer sind das? Aus welchen Ländern kommen die? Was für ein Ziel haben die eigentlich? Da muss ja irgendwie ein Business Case dahinter sein. Ich habe gestern gelesen, ein deutsches Unternehmen hat sich geweigert, eine Lösegeldforderung zu bezahlen für Ransomware, für ein Kryptotrojaner. Und was haben die Angreifer gemacht, was vorher so nicht passiert ist in den letzten Jahren? Die haben die Daten einfach auch online gestellt. Wie ist das in diesem Kontext, den halt DDoS eigentlich? Was ist das Geschäftsmodell? Was für Tools nutzen die Akteure überhaupt? Bauen die ihre Tools selber oder klauen die sich die auch? Man will es ja immer einfach haben. Führ uns doch mal kurz ein in diese doch ein bisschen dunkle Welt.

Marc Wilczek: Ja, es sind eine Reihe von Akteuren auf diesem Kriegsschauplatz tätig. Zum einen, allen vorweg mal, schlicht und ergreifend, Cybergruppen, kriminelle Organisationen, organisierte Kriminalität, die mittlerweile auch das Internet für sich als große Spielwiese erkannt haben. Und es ist also vielleicht, um damit mal anzufangen, schon ein Irrglauben, dass nur die Realwirtschaft sich in der digitalen Transformation befindet, auch die Kriminalität erkennt, dass dort Geschäft zu machen ist. Ergo sind die auch in der digitalen Transformation und bauen sich neue Geschäftsfelder auf. So salopp möchte ich es mal formulieren. Also das heißt, diese professionellen, organisierten Organisationen sind dort unterwegs, regelmäßig eben in Form von Erpresserwellen, ziehen über die Häuser, fordern Lösegeld ab und drohen ansonsten mit Angriffen. Es sei denn, es werden also Kryptowährungen beispielsweise bezahlt. Ansonsten folgen dann Angriffe. Erpresserwelle Organisierte Kriminalität ist ein sehr großes Schlachtfeld oder ein Tummelplatz, aus dem sehr viel resultiert. Es ist aber so, weil diese Angriffe so einfach zu tätigen sind, da gibt es auch Untersuchungen. Es kann zum Beispiel sein, dass selbst ehemalige Mitarbeiter, die vielleicht meinen, noch eine Rechnung offen zu haben, unzufriedene Geschäftspartner zum Teil, je nach Branche, diese Angriffe auch initiieren. Es gibt Untersuchungen aus Großbritannien, wo festgestellt wurde, dass selbst Schulkinder mittlerweile schon in der Lage sind, diese Angriffe einzukaufen und nutzen. Sieht man sehr häufig, vor allen Dingen im Bereich E-Gaming. Bei den Spieleanbietern ist das ein häufiges Phänomen, wo sich zum Teil da die Kiddies miteinander bekriegen. Es ist so einfach, diese Dienste einzukaufen, dass das ein relativ großes Feld ist. Und was sicher jetzt inzwischen noch mit hinzukommt, ist, dass sich halt immer mehr Nationalstaaten auf dem Gebiet auch betätigen. Das hat insofern natürlich nochmal eine ganz andere Relevantnis, weil kritische Infrastrukturen hier im Blick stehen und diese kritische Infrastrukturen dann eben beispielsweise mutwillig zu sabotieren, um auch vor Wahlen Einfluss zu nehmen, um für Verunsicherung und Chaos zu sorgen. Das hat eine neue Qualität. und gleich da ein paar Beispiele zu nennen. Wir selbst schauen auch ein Stück weit, was sich im Darknet tut, haben da natürlich Auge und Ohr drauf. Es gibt in Foren bereits Diskussionen, wie man beispielsweise in den USA Zapfsäulen auch großflächig angreifen könnte. Denn anders als in Deutschland sind Zapfsäulen in den USA weitflächig Internet-facing. Dadurch, dass man auch an der Zapfsäule mit Kreditkarte zahlen kann, das kennt man so in Deutschland nicht. Das ist in den USA aber gang und gäbe. Und man kann sich ja vorstellen, was das zur Folge hätte, wenn beispielsweise durch einen Nationalstaat initiiert, ein großflächiger Angriff auf ein Tankstellennetz oder Versorgungsnetze losgeht oder auf die Energieversorger. Da sind die Nationalstaaten mittlerweile natürlich auch stark engagiert. Und es hat auch einen Grund, warum selbst in Deutschland mittlerweile die Bundeswehr eine Cyberdivision gegründet hat, weil eben der Cyberraum mittlerweile auch Teil, sage ich mal, von asymmetrischer Kriegsführung ist. So dramatisch sich das anhört, aber so sehr ist es Realität. Und deswegen ist es halt umso wichtiger, dass insbesondere eben kritische Infrastrukturen da geschützt werden.

Sven Weizenegger: Du hattest gerade das Thema Maßnahmen angesprochen. Dann lass uns mal darauf eingehen. Was müssten denn wir tun? Was müssten Unternehmen tun? Was müssten Anbieter auch tun? Fangen wir bei den Anbietern an. Das ist so mein Lieblingsthema, so Haftung, was ich immer sehr gern propagiere. Was müssten zuerst die Anbieter tun, damit das, was aktuell passiert, in der Menge, in der Kritikalität nicht mehr stattfindet? Ich glaube, wir sind uns auch bewusst, dass wird es immer stattfinden. Das ist auch okay irgendwie. vermeiden. Aber wie du gesagt hast vorhin, wenn wir uns wirklich digitalisieren, wie wir es uns erhoffen in Deutschland, ich sage mit Absicht erhoffen, dann bedeutet das ja auch, dass wir da einen Punkt haben, der sehr kritisch sein wird für die Zukunft.

Marc Wilczek: Also aus der Anbietersicht mal angefangen, ich sage das nur sehr ungern, aber ich glaube, wir kommen nicht einher, dass es an manchen Stellen auch ein Stück weit Regulatorik. Regulatorik ist immer ein undankbares Thema, es geht aber in Teilen einfach nicht ganz ohne. Und um mal ein Beispiel zu nennen, es gibt heute keinerlei Incentive oder Anreizsystem, dass in all diese smarten Geräte, mit denen mittlerweile der Planet geflutet, Im Gegenteil, Security kostet Geld. Das ist ein reiner Kostenfaktor. Und gleichzeitig werden all diese Geräte großflächig gekapert und missbraucht in Botnetze. Es mangelt aber an dem Anreiz und auch an den Vorgaben seitens der Hersteller, dort in irgendeiner Form etwas zu tun. Es gab bereits sogar mal Überlegungen, dann aus einer deutschen Sicht und aus einer europäischen Sicht da was zu tun. Die Realität ist, dass eben insbesondere aus Fernost sehr viele dieser Consumer-Geräte kommen und wenn es da nicht eine, sage ich mal, globale Initiative gibt, dann ist der Effekt gegenteilig. Dann ist das sogar, sage ich mal, eher ein Wirtschaftshindernis und ein Standortnachteil für Deutschland und für Europa. Das funktioniert also nur, wenn dort sich global etwas tut, wenn insbesondere auch Fernost sich da anschließt, wo heute sehr viel produziert wird. Und da sind wir ganz schnell in einem Bereich, wo es um politische Interessen geht und Wirtschaftsförderung und Wirtschaftsschutz. Das ist ein schwieriges Feld, aber um die Frage zu beantworten der Anbieter, das ist mal ein Feld, dem muss man sich widmen. Weil wenn wir mittlerweile realisieren, wir haben mittlerweile deutlich mehr smarte Geräte als Menschen auf dem Planeten. Es gibt Vorhersagen, dass wir in absehbarer Zeit, da streiten sich die Geister, zwischen 50 bis 70 Milliarden IoT-Geräte auf dem Planeten haben. Da muss etwas passieren. Das ist mal ein Beispiel.

Sven Weizenegger: Und was soll ein Unternehmen aus deiner Sicht tun? Außer jetzt eure Lösung natürlich zu kaufen. Gibt es da noch Themen, die man ebenfalls betrachten sollte?

Marc Wilczek: Das sind eine Reihe von Dingen, die wichtig sind. Also zum einen müssen sich Unternehmen der Thematik stellen, wie sie ihre Betriebskontinuität sicherstellen. Das ist auch am Ende ihr ureigenes Interesse. Es gibt beispielsweise, finde ich, eine spannende Aussage auch von Gartner, dem Analystenhaus, die sagen, dass über die nächsten Jahre Cyber Security Ratings genauso wichtig werden wie Kredit Ratings in der Auswahl von Geschäftspartnern. Einfach weil Ausfallsicherheit, Business Continuity ein extremes Risiko heute ist durch die zunehmende Verschmelzung auch von Lieferketten. Insofern bekommt das Thema einfach mehr Aufmerksamkeit. Und das Thema Security generell aus meiner Beobachtung hat inzwischen mehr Aufmerksamkeit. Es darf aber auch ruhig noch mehr Aufmerksamkeit bekommen. Das geht so weit bis hin zu Corporate Governance Fragen. Wer ist im Unternehmen eigentlich für Security verantwortlich? An wen berichtet der? Ist das ein IT-Thema oder ist das nicht ein direktes Reporting an den Vorstand? Weil einfach die Risiken, ob auf Umsätze, ob auf Gewinne oder auch Marken und Reputation mittlerweile so gravierend sind, bedarf es einfach auch da an der Stelle aus unserer Sicht einer Aufwertung des Themas. bis hin zu vielleicht perspektivisch auch einem Differenzierungsfaktor, dass Dienste eben sicherer sind, besser verfügbar sind als die von Mitbewerbern, sodass man über das Thema Security sich auch zunehmend differenzieren kann.

Sven Weizenegger: So eine Art Gütesiegel letztendlich.

Marc Wilczek: Ja, Qualitätssiegel, Verfügbarkeit, Vertrauen, Integrität. Ich meine, die ganze Digitalwirtschaft insbesondere, lebt am Ende mehr denn je von dem Faktor Vertrauen. Und je mehr ich Geschäft online tätige, je mehr man weggeht auf der anderen Seite von der klassischen direkten Interaktion hin zu digitalen Geschäftsmodellen, je mehr muss ich letztendlich der Plattform und dem Anbieter vertrauen. Und tue ich das nicht, hat es dort Vorfälle gegeben, ist es unglaublich schwieriger, dieses Vertrauen auch wiederherzustellen.

Sven Weizenegger: Da wäre, glaube ich, mein Vorschlag für die Zukunft bezüglich Awareness und dass das Thema auch ernst genommen wird durch das Management, vielleicht auch die Managementvergütung daran zu kommen. Weil. du hattest gerade das Thema Scoring erwähnt. Wäre das eine Möglichkeit aus deiner Sicht?

Marc Wilczek: Das kann eine Möglichkeit sein unter vielen. Ich glaube aber auf der anderen Seite, es gibt einen sehr natürlichen Effekt, weil je mehr Geschäft digital abgebildet wird, je mehr hängt Umsatz und auch Gewinn des Unternehmens schlicht und ergreifend an dem digitalen Geschäft. Das heißt, selbst wenn man es bei, sage ich mal, klassischen Vergütungsmodellen belässt, die sich an anderen Finanzkennzahlen orientiert, ist dieser Korrelationseffekt unumgänglich. Das heißt, immer mehr Geschäft wird digital abhängig sein. Läuft das nicht, wird sich das auf das operative Geschäft niederschlagen. Ergo hängen auch die Unternehmensfinanzen da hinten dran. Insofern, glaube ich, wird das schon fast, sage ich mal, so einen natürlichen Bereinigungseffekt bekommen.

Sven Weizenegger: Also das heißt, der CFO wird eine größere Rolle spielen in Zukunft?

Marc Wilczek: Das gesamte Board wird dem Thema mehr Rechnung tragen müssen. Schlicht und ergreifend, wie gesagt, weil Ausfälle sich immer mehr auf das Geschäft niederschlagen. Das ist jetzt nicht mehr ein Randthema, sondern wenn es zu einer Datenpanne, zu einer Betriebsunterbrechung kommt und Bänder stehen, dann wird auch bei dem Vorstandsvorsitzenden das Telefon klingeln. Und wenn das nicht nur einmal passiert, sondern zwei-, dreimal passiert, dann wird vielleicht auch der Aufsichtsratsvorsitzende irgendwann mal fragen, was dort der Vorstand macht und inwiefern dort diese Risiken am Ende auch abgewehrt wurden, weil einfach immer mehr auf dem Spiel steht.

Sven Weizenegger: Vielleicht zum Abschluss noch ein, zwei Fragen. Die aktuelle Corona-Situation. Merkt ihr, dass sich dort im Bereich der Art und Weise, wie angegriffen wird, sich etwas grundlegend verändert? Oder wird das nur als Trittbrett benutzt, um Angriffe erfolgreich durchzuführen? Wie ist da deine Sicht drauf? Tut sich da was?

Marc Wilczek: Da tut sich leider, muss man sagen, eine ganze Menge. Also zum einen, dass sogar perfiderweise Anbieter im Gesundheitswesen jetzt jüngst angegriffen wurden zu einer absoluten Unzeit. Man fragt sich auch, was ist die Motivlage dahinter? Man kann da in Teilen nur mutmaßen. Das kann sein, wie gesagt, dass dort schlicht und ergreifend Verunsicherung gescheut werden soll. Oder dass es auch andere Organisationen gibt, die sich versuchen, über solche prominenten Fälle, die es dann in die Medien schaffen, eine Reputation im Darknet aufzubauen, um dann ihre Dienste besser noch bewerben zu können. Was wir aber auch sehen ist, das Thema gewinnt insofern an Brisanz, weil aufgrund der zunehmenden Telearbeit und Heimarbeit Bandbreiten stärker ausgelastet sind denn je. Das heißt, es braucht gerade jetzt im Moment relativ wenig und selbst kleine Angriffe können schon dazu führen, dass es zunehmend zu großflächigen Ausfällen kommt. Und was auch eine zunehmende Qualität bekommt, ist das ganze Thema der VPN-Dienste. Denn wenn man sich jetzt vorstellt, die gesamte Belegschaft arbeitet oder in großen Teilen zumindest von zu Hause inklusive der IT-Admins. Wenn jetzt eine Denial-of-Service-Attacke beispielsweise auf den VPN-Dienst losgelassen wird, dann geht wirklich in dem ganzen Laden mal einfach gesagt gar nichts mehr, bis hin, dass selbst die IT-Administratoren nicht mehr intervenieren können oder rankommen, weil der VPN-Dienst weg ist. Die gesamte Telefonie, die heute auch IP-basiert ist, funktioniert nicht mehr. Anrufweiterschaltung funktioniert nicht mehr. Also insofern hat das Thema eine absolute Brisanz bekommen und die Auswirkungen von diesen Angriffen sind immer, immer schmerzhafter, deutlich schmerzhafter, als das vielleicht vorher noch der Fall war.

Sven Weizenegger: Okay, vielen Dank. Die letzte Frage, die ich jedem stelle, was würdest du dir denn wünschen für mehr Cybersicherheit? Gibt es also ein, zwei Sachen, wo du sagen würdest, das hätte ich gerne, du kannst dir was frei aussuchen und dann machen wir das?

Marc Wilczek: Ja klar, wenn ich mir die Welt malen dürfte, wie ich sie gerne hätte, dann würde ich mir wünschen, dass das Thema einfach ernster genommen wird und dem Thema mehr Aufmerksamkeit geschenkt wird. Es ist leider immer noch so, dass bei vielen Unternehmen ein Stück weit das Thema ausgesessen wird, dass man sich erstmal in einer trügerischen Sicherheit wiegt und meint, das wird schon uns nicht treffen. Und es ist ja immer gut gegangen. Und erst dann, sage ich mal, bitter Krokodilstränen kullern, nachdem es dann doch das Unternehmen getroffen hat und der Blitz eingeschlagen hat, dann kann es plötzlich nicht schnell genug gehen. Mein Wunsch wäre, dass man das Thema von Hause aus ernst nimmt, dem Aufmerksamkeit und Raum schenkt, bis nicht als puren Kostenfaktor sieht, sondern sich wirklich der Tragweite bewusst ist, welches Risiko da Unternehmen fahren und versucht nach allen Regeln der Kunst, diese Risiken auch zu lindern. Perfekt wird es nie sein. IT geht immer mit Risiken einher. Das wird uns auch weiterhin so begleiten. Aber wichtig ist eben, dass man die Dinge an den Stellen, an denen man handeln kann, auch vollzieht und dass man sich dort entsprechend drum kümmert und es mal aussitzt, in der Hoffnung, es wird schon weiterhin gut gehen. Super.

Sven Weizenegger: Vielen Dank, lieber Marc.

Marc Wilczek: Danke dir, Sven. War mir ein Vergnügen.

Sven Weizenegger: Und bis bald in echt hoffentlich.

Marc Wilczek: Bis bald in echt.