Cyberkriminalität wird zunehmend industrialisiert. Regine Knipper, Director Business Development Zero Trust und SecOps DACH bei Fortinet, erklärt im Gespräch mit it business die Folgen für Unternehmen heute.
Frau Knipper, warum reicht ein klassischer Schutz mit «Walls und Tools» heute nicht mehr aus und was bedeutet proaktive Verteidigung konkret im Alltag?
Regine Kipper: KI verändert die Art und Weise, wie wir uns gegen Cyberangriffe verteidigen. Angreifer nutzen KI, Automatisierung und industrialisierte Cyberkriminalitätsmodelle, die es ihnen ermöglichen, mit höchster Geschwindigkeit und Präzision zu agieren. Dabei automatisieren sie auch das Scannen von Schwachstellen in massivem Umfang, wodurch sie Lücken viel schneller entdecken. Statische, perimeterbasierte Abwehrmassnahmen können da nicht mehr mithalten, denn die moderne Angriffsfläche umfasst Cloud-APIs, OT, IoT und verteilte Umgebungen. Proaktive Verteidigung bedeutet im Alltag ein Continuous Threat Exposure Management: Also die ständige Neubewertung der Angreifbarkeit, das Simulieren von Angriffen und eine kontinuierliche Anpassung der Verteidigung. Dies bedeutet konkret eine kontinuierliche Überwachung und adaptive Erkennung, welche die manuelle Triage durch automatisierte Workflows ablöst. Ferner ermöglichen Angriffssimulationen und Purple-Team-Übungen, unter Einsatz von Angreifer-Playbooks die nächsten Schritte zu antizipieren. Die Entscheidungsfindung der Analysten wird dabei durch KI beschleunigt.
Wie gut sind Unternehmen im DACH-Raum beim kontinuierlichen Monitoring und bei der Incident Response vorbereitet und welche Rolle spielen Cyber Fire Drills dabei?
Ein effektives Sicherheitsmonitoring ist unerlässlich und verlangt eine kontinuierliche 24/7-Überwachung, eine präzise Alarm-Triage und, im Ernstfall, eine sofortige und entschlossene Reaktion. Bedauerlicherweise verfügen jedoch viele Unternehmen noch nicht über die erforderlichen ausgereiften Prozesse, eine ausreichende Personalbesetzung oder klar strukturierte Reaktions-Frameworks, um diesen kritischen Anforderungen vollumfänglich gerecht zu werden. Gleichzeitig erschwert der global Cyber-Fachkräftemangel, dass Unternehmen, die in Cybersicherheitspersonal investieren wollen, die passenden Kandidaten finden. Aus diesem Grund erweisen sich Cyber Fire Drills, umfassende Formate wie Tabletop-Übungen, War-Gaming und realistische Simulationen, als absolut entscheidend. Sie dienen dazu, die Teamarbeit zu erproben, die Gesamtbereitschaft signifikant zu verbessern, bestehende Incident-Response-Pläne zu validieren und potenzielle prozedurale Schwachstellen bereits vor dem Eintreten eines realen Angriffs aufzudecken. Darüber hinaus tragen regelmässig durchgeführte Übungen dazu bei, die Reaktionszeiten zu verkürzen, die funktionsübergreifende Koordination (wie beispielsweise zwischen den Abteilungen Recht, Kommunikation, IT und Sicherheit) massgeblich zu stärken und wertvolle Erkenntnisse zur kontinuierlichen Verfeinerung zukünftiger Reaktionen zu gewinnen.
Viele Firmen kennen ihre eigene Angriffsfläche nur teilweise. Wo sehen Sie typische Blind Spots beim External Attack Surface Management?
Zu den kritischen Blind Spots, die ein erhebliches Sicherheitsrisiko darstellen, zählen zunächst Shadow-IT-Systeme und -Programme, welche oft unbemerkt die offiziellen Beschaffungs- oder Sicherheitssysteme umgehen und somit eine unkontrollierte Angriffsfläche schaffen. Ein weiteres grosses Problemfeld sind fehlkonfigurierte oder nicht ausreichend verfolgte Cloud-Ressourcen, einschliesslich komplexer APIs und Identitätsframeworks, die ohne eine ordnungsgemässe Überwachung zu einem wunden Punkt werden können. Ebenso gefährlich sind vergessene oder undokumentierte Assets wie verwaiste Server, ungenutzte Subdomains, nicht mehr beachtete Endpunkte oder ältere Systeme, die nicht mehr aktiv verwaltet werden, aber nach wie vor exponiert im Netz stehen und potenzielle Schwachstellen bergen. Hinzu kommen IoT- und OT-Geräte, denen es aufgrund ihrer speziellen Natur oft an der notwendigen Sichtbarkeit in traditionellen Asset-Inventaren mangelt, obwohl sie die gesamte Angriffsfläche rasant erweitern. Und dann natürlich der Klassiker der Blind Spots: kompromittierte Anmeldeinformationen, die im Darknet zirkulieren. Sie sind eine der häufigsten Einstiegspunkte und werden oft bei Angriffsflächen- und Risiko-Assessments übersehen. Um diesen Schwachstellen zu begegnen, gibt es zwei zentrale Lösungsansätze: zum einen ein Secure Software Management Lifecycle als etablierter organisatorischer Prozess, wie er auch von der Regulatorik und von Sicherheitsstandards wie der ISO 27001 gefordert wird, und zum anderen ein kontinuierliches Darknet-Monitoring durch spezialisierte Dienste, um kompromittierte Informationen schnellstmöglich zu identifizieren.
Deception Technologien sollen Angreifer früh sichtbar machen. Wie funktioniert das in der Praxis und welchen Mehrwert bringt es gegenüber klassischen Detection Lösungen?
Realistische Köder (z. B. Systeme, Services, Credentials oder Dateien) locken Angreifer bereits während der Aufklärung oder bei lateraler Bewegung an und erzeugen sofortige, hochzuverlässige Warnungen. So lässt sich die Verweildauer deutlich verkürzen, weil sich etwa die Nutzung gestohlener Zugangsdaten, MITM-Versuche oder typisches Ransomware-Verhalten erkennen lassen, bevor produktive Systeme überhaupt berührt werden. Moderne Deception-Plattformen können zudem kompromittierte Endpunkte automatisiert isolieren und die gewonnenen Erkenntnisse in bestehende Sicherheitskontrollen zurückspielen, um die gesamte Sicherheitslage zu stärken.
SASE und Zero Trust gelten als Schlüssel für verteilte Organisationen. Wie lassen sich sichere Zugriffe integrieren, ohne neue Komplexität oder Insellösungen zu schaffen?
SASE vereinheitlicht Netzwerk und Sicherheit in einer einzigen Architektur, wodurch die Abhängigkeit von fragmentierten Punktlösungen reduziert wird. Die Cloud-native Architektur von SASE gewährleistet eine konsistente Anwendung von Richtlinien, wobei lokale Points-of-Presence die Latenz reduzieren und Netzwerkengpässe vermeiden. Zero Trust ist in die Plattform integriert und bietet eine kontinuierliche Überprüfung jeder Benutzer, jedes Geräts und jeder Sitzung, ohne separate Tools oder isolierte Bereitstellungen zu erfordern. KI-gesteuerte Erkenntnisse und Automatisierung reduzieren manuelle Konfigurationen, minimieren Rauschen und optimieren sichere Zugriffsoperationen.
Frau Knipper, vielen Dank für das Gespräch.