Foto ©Dennis-Kenji Kipker
Kaum jemand im deutschsprachigen Raum erklärt Cybersicherheit so verständlich und niederschwellig, wie es Dennis Kipker auf seinen Kanälen tut. Mit ihm haben wir – natürlich – über Cybersicherheit gesprochen, aber auch auf die Herausforderungen geblickt, mit denen CIOs und CISOs täglich konfrontiert sind.
Er ist ein begehrter Experte, Sprecher und Erklärer für alle Themen aus dem Umfeld der Cyber- und Informationssicherheit: Prof. Dr. Dennis-Kenji Kipker. Als wissenschaftlicher Direktor des cyberintelligence.institute in Frankfurt sind seine Schwerpunkte vor allem an der Schnittstelle von Recht und Technik in der Cybersicherheit zu finden. Daneben berät er mit der deutschen Bundesregierung und der Europäischen Kommission politische Schwergewichte, unterstütz als Advisor Hersteller wie die NordVPN oder Myra Security.
Florian Kurzmaier von LSZ mit Dennis Kipker im Gespräch:
LSZ: Du bist nicht nur Professor, hast mit dem cyberintelligence institute dein eigenes Institut gegründet und bist viel auf Veranstaltungen, sondern darfst dich zugleich auch als einer der wichtigsten und meistgefragtesten Experten im deutschsprachigen Raum sehen, wenn es um Cyber- und Informationssicherheit geht. Alleine auf LinkedIn bespielst du fast 30.000 Follower:innen, ordnest aktuelle Themen wie NIS-2 ein, kommentierst Vorfälle wie jüngst rund um Crowdstrike und berätst auch Vendoren wie die NordVPN in deren Advisory Board. Wie behältst du bei all den Themen, Kanälen und Krisen den Überblick und bleibst mit den Geschehnissen auf Augenhöhe?
Kipker: Das ist natürlich einerseits eine Herausforderung – andererseits aber auch ein großer Gewinn und irgendwo auch Luxus, dass man sich jeden Tag in dieser Tiefe und Umfassendheit mit den wichtigen und aktuellen Themen des digitalen Zeitgeschehens auseinandersetzen kann. Ich versuche mit meiner Arbeit, so viele aktuelle, aufbereitete und verlässliche Informationen und natürlich auch Bewertungen und Einordnungen wie möglich den Menschen zugänglich zu machen, die aufgrund ihrer intensiven beruflichen Einbindung in den betrieblichen Alltag nicht die Möglichkeit dazu haben. „Sharing is caring“, und gerade in der Cybersicherheit gilt dieser Grundsatz mehr denn je. Das neue cyberintelligence.institute soll an der Stelle auch eine Institution sein, die Aktivitäten bündelt und den konstruktiven Dialog zwischen Wissenschaft, Wirtschaft und Politik befördert.
„Die öffentliche Wahrnehmung von Cybersicherheit hat sich signifikant verändert: Früher war Cybersicherheit etwas, das nur Staat und Unternehmen als interne Prozesse anging. Heute sprechen wir von einer gesamtgesellschaftlichen Verantwortung.“
LSZ: Wenn wir einmal aus der Vogelperspektive auf den gesamten Themenkomplex der Cyber- und Informationssicherheit schauen, gibt es für Unternehmen und Organisationen so viele Vektoren, über die diffuse Bedrohungen zu realen Problemen werden können. Alleine die Vielzahl möglicher Protagonist:innen – Anwender, Vendoren, dritte Partner, staatliche oder Institutionelle Angreifer, Kriminelle, Behörden und staatliche Stellen – sorgt da bei vielen Verantwortlichen für ‚graue Haare‘. Wie schaust du als Wissenschaftler und Experte auf den Status-quo?
Kipker: Klar, die Cybersicherheitslandschaft ist in den letzten zehn Jahren extrem vielfältig geworden. Als ich damals aus dem technischen Datenschutz kommend angefangen habe, mich mit dem Thema Cybersicherheit auseinanderzusetzen, gab es noch nicht viel. Das deutsche BSI war etwas für Insider, und das erste IT-Sicherheitsgesetz nur etwas für Kritische Infrastrukturen. Doch neben der deutlich gestiegenen Vernetzung und der daraus unter anderem resultierenden höheren Bedrohungslage im Cyberraum hat sich auch die öffentliche Wahrnehmung von Cybersicherheit signifikant verändert: Früher war Cybersicherheit etwas, das nur Staat und Unternehmen als interne Prozesse anging. Heute sprechen wir von einer gesamtgesellschaftlichen Verantwortung. Und das bedeutet dementsprechend auch, dass sich immer mehr Einrichtungen mit dem Thema befassen und auseinandersetzen müssen.
LSZ: Welche Risiken schätzt du im Moment als am schwerwiegendsten ein und wie sollten sich Unternehmen und Organisationen aufstellen?
Kipker: Was ich sehe, ist nach wie vor der Wille zur unbedingten Digitalisierung und Vernetzung aller möglichen Lebens- und Arbeitsbereiche in Staat, Wirtschaft und Gesellschaft. Gleichzeitig erleben wir teilweise extreme Hype-Themen und ein massives Buzzwording, wo Technologie teils auf eine Art „metaphysische Stufe“ gestellt wird. Bestes Beispiel ist für mich der aktuelle AI-Hype, aber schon Jahre zuvor auch um Blockchain. Es werden an allen Stellen viele Heilsversprechen gemacht, was man mit Technologie nun alles anstellen kann, ohne die Risiken in gleichem Maße zu betrachten. Und das ist gefährlich.
LSZ: Auch wenn es angesichts der vielen unterschiedlichen Arten der Organisationsformen und Verantwortlichkeiten keine Muster-Rezepte gibt: Was macht aus deiner Sicht eine schlüssige Cybersecurity-Strategie aus? Auf welchen Säulen sollte diese ruhen und welche Stakeholder müssen an den Tisch?
Kipker: Da muss man ganz klar zwischen Staat und Unternehmen differenzieren, denn Cybersecurity Strategie hat ja durchaus sehr unterschiedliche Bedeutungen. Was den Staat angeht: Zum einen sollte man zumindest in Deutschland an der Verantwortungsdiffusion über unterschiedlichste Stellen ändern, bei denen Cybersicherheit zurzeit auf unterschiedlichste Art und Weise bedient wird, und zum anderen sollte sich der Staat seiner Rolle klarer bewusst werden, was die nationale Cybersicherheitsarchitektur und da insbesondere die Rolle des BSI anbelangt. Das ist etwas, worüber wir in Deutschland nun schon seit Jahren mehr oder weniger fruchtlos reden. Mit Blick auf die Unternehmen und die Privatwirtschaft denke ich: Cybersicherheit ist keine Unmöglichkeit, sondern ein lösbares Problem. Was ich hier erwarten würde, ist ein deutlich stärkeres Commitment vieler Geschäftsleiter und Vorstände als bislang in Richtung Cybersicherheit – sowohl prozess- wie auch produktbezogen. Aber ich kann andererseits auch gewisse Vorbehalte in der aktuellen Situation nachvollziehen: Von allen Seiten kommen Berater, Intermediäre und Produkthersteller, um ihre Lösungen anzubieten. Da fällt es definitiv schwer, den Überblick darüber zu behalten, was man für sein Risikomanagement wirklich benötigt und was nicht.
„Die Möglichkeiten, die mit KI entstanden sind, bieten auch Cyberkriminellen eine neue Spielweise, sei es zur Automatisierung von Cyberangriffen, Unterstützung bei der Ausarbeitung von Kampagnen, bis hin zur Erstellung von schädlichem Code.“
LSZ: Lass uns nochmal einen detaillierteren Blick auf einen technologischen Megatrend werfen, der in keinem Slidedeck, keinem Produkt und keinem Strategie-Meeting mehr fehlt – und den du schon angesprochen hattest: künstliche Intelligenz. Jenseits generativer Modelle, die uns Daten auswerten, Sharepics erstellen oder kurze Summaries schreiben geben die richtigen Werkzeuge in den Händen krimineller ganz neue Perspektiven für Cyberkriminelle. Welche Beobachtungen machst du in diesem Umfeld im Moment?
Kipker: Da habe ich ja eben in meiner Antwort schon etwas voraus gegriffen – mea culpa! Ja, KI ist definitiv ein „Megatrend“ und zwar sowohl im Positiven wie auch im Negativen. Fangen wir mit dem Negativen an: Das BSI hat neulich eine Studie im Zusammenhang von Cybersicherheit und KI veröffentlicht – die Erkenntnis ist klar: Die Möglichkeiten, die mit KI entstanden sind, bieten auch Cyberkriminellen eine neue Spielweise, sei es zur Automatisierung von Cyberangriffen, Unterstützung bei der Ausarbeitung von Kampagnen, bis hin zur Erstellung von schädlichem Code und zur Befähigung von Personen und Gruppen, die bislang kaum oder keine Fertigkeiten besaßen. Auf der anderen Seite offeriert NIS2 ganz deutlich im Wortlaut der Vorschrift die Möglichkeit, KI auch zu zwecken der Cybersicherheit einzusetzen, sei es im Bereich der Anomalieerkennung in Netzwerken oder in der Automatisierung von Vorfallsreaktionen. Diese Dualität, die wir da sehen, ist aber ganz normal, denn jede Technologie hat Licht und Schattenseiten: Kryptowährungen, Verschlüsselung, 3D-Druck bis hin zum Internet selbst.
LSZ: Wie stellen sich die zuständigen Behörden hier in Deutschland auf? Ist man aus deiner Sicht lagegerecht aufgestellt?
Kipker: Man bemüht sich mehr oder weniger redlich darum. Es ist politisch durchaus eine Linie erkennbar, die für die Verbesserung der nationalen Cybersicherheitslage spricht. Nach wie vor ist aber nicht nachvollziehbar, warum das in erster Linie nur eine Aufgabe der inneren Sicherheit sein soll. Cybersicherheit ist mehr und mehr auch Wirtschaftsschutz und dem wird die gegenwärtige Behördenstruktur noch nicht gerecht. Hinzu kommt: Wir haben ein Umsetzungsgefälle in der Cybersicherheit innerhalb Deutschlands. Das ist im Föderalismus erklärbar, aber nicht allein damit begründbar.
„Auch Cybersecurity-Hersteller sind nicht vor Sicherheitsproblemen gefeit, denn Verfügbarkeit von IT-Systemen ist auch ein Schutzziel.“
LSZ: Jetzt berätst du ja auch Technologie-Hersteller. Wenn wir auf einige der jüngeren Vorfälle schauen, bei denen es über menschliche Fehler bei Dritten zu Beeinträchtigungen bei Unternehmen und auch in kritischen Infrastrukturen kam und zugleich berücksichtigen, dass technologische Lösungen eben auch zu Stolpersteinen und kritischen Risiken werden können: Was sollten Entscheider:innen aus deiner Sicht unbedingt bei der Evaluation von Lösungen beachten?
Kipker: Jeder Entscheider muss schauen, was er definitiv braucht. Da draußen kursieren jeden Tag von Neuem Tausende Werbeversprechen in der Cybersicherheit, die aber definitiv nicht allesamt eingelöst werden müssen. Und insoweit hat der Vorfall, den du skizzierst, vielleicht auch eine heilende Wirkung im Sinne der Erkenntnis gehabt: Auch Cybersecurity-Hersteller sind nicht vor Sicherheitsproblemen gefeit, denn Verfügbarkeit von IT-Systemen ist auch ein Schutzziel. Wir können und sollten uns nicht blind auf irgendwelche Produkte verlassen, die uns einen 360-Grad-Schutz oder ähnliches versprechen. Das hat schon Bruce Schneier vor Jahren gesagt: „Security is a process, not a product.“, und zurzeit sieht es gefühlt manchmal eher umgekehrt aus.
LSZ: Dennis, du schaust natürlich nicht auf Technologie und Protagonist:innen, sondern auch auf rechtliche Rahmenbedingungen und Regulierung. Mit NIS-2 und DORA für den Finanzsektor haben Unternehmen und Organisationen unterschiedliche Hausaufgabenpakete zu bewältigen. Wie nimmst du generell die Fortschritte der Umsetzung der regulatorischen Vorgaben wahr und woran hakt es im Moment noch?
Kipker: Da muss auch unterschieden werden: DORA haben wir ja schon, NIS-2 kommt noch – zumindest in Deutschland und Österreich. Auch in hochregulierten Sektoren wie dem Finanzmarkt bin ich aber regelmäßig doch immer wieder überrascht, wie viele Verbesserungspotenziale in der Cybersicherheit noch bestehen. Und damit wird auch klar, was für eine Herausforderung nun mit NIS-2 auf uns zukommt, viele Sektoren und Branchen anzusprechen, bei denen Cybersecurity Compliance bislang keine große Rolle gespielt hat. In Deutschland schätzt man für letztgenannten Rechtsakt 30.000-40.000 Betroffene, wohingegen in Italien sogar mit 50.000 kalkuliert wird. Hier sprechen wir von Zahlen, die unmöglich durch alle Behörden kontrolliert werden können. Ich hoffe deshalb nicht, dass sich NIS-2 im Ergebnis so ähnlich wie die DSGVO entwickelt, wo seit Mai 2018 nach wie vor bei manch einem Betrieb Datenschutz nur auf dem Papier geschrieben steht.
LSZ: Fast schon mantra-artig sprechen wir und andere Plattformen davon, das Cybersecurity ein Teamsport ist, in dem neben der passenden Aufstellung und Taktik auch das gegenseitige Verständnis von Spiel und Spielfeld eine Entscheidende Rolle spielt. Was würdest du CIOs mit ihren CISO-Kolleg:innen im Sinn als Botschaft mitgeben?
Kipker: „Security by Design“ denken und Cybersicherheit schon bei der Auswahl von IT-Komponenten und Konzeption der betriebseigenen IT-Architektur berücksichtigen.
LSZ: Und was sagst du den CISOs mit Blick auf die Kolleg:innen in der IT?
Kipker: Verständnis dafür aufbringen, dass es in einem gut funktionierenden Unternehmen natürlich noch mehr IT-Perspektiven als nur die Cybersicherheit gibt, was manchmal auch Kompromissbereitschaft und Frustrationstoleranz erfordern kann.
LSZ: Ich danke dir sehr für deine Zeit und dieses Gespräch!