Sie haben im Campus Verlag das Buch »Cybersicherheit: Alles, was Unternehmen zum Schutz vor digitalen Bedrohungen wissen müssen« veröffentlicht. Sie richten sich dabei ausdrücklich an Führungskräfte und InhaberInnen von Unternehmen und nicht an IT-Verantwortliche und -Administratoren. Warum?
Thomas R. Köhler: Auch wenn es noch immer wenig bekannt ist, ergibt sich das bereits aus der aktuellen Gesetzeslage. Sowohl Personen mit Führungsverantwortung in Aktiengesellschaften als auch Unternehmen anderer Gesellschaftsformen, insbesondere GmbHs, müssen – um persönliche Haftung zu vermeiden – »Risikofrüherkennung« betreiben, gerade wenn es um potenziell »bestandsgefährdende Risiken« geht. Und das sind Cyberrisiken tatsächlich, gerade im letzten Jahr erst machte die Insolvenz eines Traditionsbetriebs aus NRW (Fasana AG, Serviettenfabrik, Euskirchen, gegründet 1919) Schlagzeilen, man konnte nach einem Cyberangriff den Betrieb nicht wieder herstellen.
Darüber hinaus: Wer, wenn nicht die Chefin oder der Chef, soll sich des Themas denn annehmen, fehlen doch in den meisten mittelständischen Unternehmen klare Verantwortlichkeiten, während es in Großunternehmen meist einen CISO (Chief Information Security Officer) oder CSO (Chief Security Officer) gibt.
Die eigene IT-Abteilung, wenn es denn eine solche gibt und nicht nur ein, zwei Administratoren und den ein oder anderen externen Dienstleister, ist in den meisten Fällen viel zu sehr damit beschäftigt, dafür zu sorgen, dass alles »irgendwie läuft« – hier kann man strategisches Vorgehen mit Blick auf die stark wachsende Bedrohungslage kaum erwarten, vor allen Dingen nicht, wenn der Führungsetage das Problem nicht vor Augen ist.
Sind Sie der Meinung, dass die Cybersicherheit hierzulande die Aufmerksamkeit bekommt, die nötig wäre?
Thomas R. Köhler: Noch lange nicht. Mehr als Dreiviertel der Unternehmen in Deutschland (und ähnlich viele auch in unseren Nachbarländern Österreich und Schweiz) geben zu, schon mal einen Cybersicherheitsvorfall erlebt zu haben, dennoch liest man nur selten etwas davon in den Medien. Im Gegenteil. Im Regelfall tun die Unternehmen alles dafür, den Vorfall selbst unter den Tisch zu kehren. Nur wenn das nicht geht, weil die Schadenssumme zu groß ist, Kunden und Geschäftspartner davon Wind bekommen oder das betroffene Unternehmen als börsennotiertes Unternehmen zur Veröffentlichung verpflichtet ist, erfahren wir überhaupt davon und selbst dann oft nur die halbe Wahrheit. Zum Teil, weil man natürlich zum Vorfall noch den öffentlichen Spott und Vertrauensverlust erleben möchte und zum anderen natürlich, weil bei einem Datenverlust immer zusätzlich auch noch Bußgelder der Datenschutzbehörden nach DSGVO drohen. Und wer möchte nach einem Sicherheitsvorfall schon eine Schlagzeile wie »Deutschlands dümmster Zulieferer« (Manager Magazin zum Cyberangriff auf einen Autozuliefer) über sich und sein Unternehmen lesen. Da hält man lieber still und hofft nicht aufzufallen, nimmt aber so anderen potentiellen Opfern die Chance sich rechtzeitig mit den Herausforderungen zu beschäftigen.
Wo fängt das Thema Cybersicherheit im Unternehmen an und hat sich das mit der großen digitalen Disruption grundlegend verändert in den letzten Jahren?
Thomas R. Köhler: Mit zunehmender Vernetzung steigen auch die Risiken, so simpel ist das. Wenn Sie im Vor-Internet Zeitalter einen Konkurrenten ausspähen oder eine Bank ausrauben wollten, da war der Aufwand und das Risiko groß. Sie mussten hinfahren oder jemand hinschicken und das stets mit dem Risiko aufzufliegen oder auf frischer Tat gefasst werden. Mit dem Internet und der enormen Bedeutung für unsere Arbeits- und Lebenswelt können Sie nun – auch als Verbrecher – überall gleichzeitig sein, ohne auch nur das Haus verlassen zu müssen. Sie können außerdem gezielt die Schwächen im System suchen, also etwa, statt die Bank zu überfallen, versuchen, Überweisungen umlenken. Als Verbrecher können Sie so Millionen umsetzen und in vielen Ländern der Welt damit rechnen, unbehelligt zu bleiben, solange Sie nicht ihre eigenen Landsleute bestehlen und den »richtigen« Leuten immer etwas abgeben.
Wir haben es – alles in allem - mit einem explodierenden Problem zu tun. Wir erleben außerdem gerade, dass Cybersicherheitsvorfälle zur Gefahr für Leib und Leben werden, weil etwa Krankenhäuser nach Cyberattacken Patienten nicht oder nur unzureichend behandeln können.
Sie beschreiben in Ihrem Buch auch die Gefahren von KI. Worauf muss man da besonders achten?
Thomas R. Köhler: Ki in der aktuellen Form „generativer KI“ ist im Kontext mit Cybersicherheit vielfältig relevant. Es ist Werkzeug der Angreifer, die damit etwa Phising-Mails automatisch erzeugen oder Schadsoftware schreiben und es ist Werkzeug der Verteidiger, etwa bei der Detektion von Angriffen. Außerdem – und das sollte Unternehmen am meisten Sorgen machen – sind KI-Systeme selbst angreifbar, oft mit einfachsten Mitteln. Das Thema KI hat im Buch ein eigenes Kapitel und es ist das wichtigste Kapitel und auch dann relevant, wenn Sie in Sachen Cybersicherheit eigentlich bereits gut aufgestellt sind.
Sie sprechen in ihrem Buch von einer ganzen »Verbrechensindustrie«. Können Sie ein Beispiel aus der Praxis nennen, wie so etwas konkret abläuft?
Thomas R. Köhler: Sie können heute vollständige Schadsoftwarelösungen auf dem Schwarzmarkt per Revenue-Sharing erwerben. Nur die Zielunternehmen müssen Sie noch selber raussuchen, den Rest erledigen spezialisierte Dienstleister gegen eine angemessene Beteiligung am erzielten Erlös. Die Entwickler der Software steigern so ihre Reichweite und konzentrieren sich auf die Weiterentwicklung des »Produktes«. Wieder andere Spezialisten sorgen bei Abschluss für die Weiterleitung des Geldes. Diese enorme Arbeitsteiligkeit wurde bereits in vielen Fällen nachgewiesen. Verbunden mit immer höheren Erlösen werden die Verbrecher immer professioneller und rekrutieren sich gut bezahlten Nachwuchs. Ich befürchte nun, dass vielfach die klügsten eines Jahrgangs in vielen Ländern sich dem Verbrechen anschließen. Dies betrifft verschiedene osteuropäische Länder ebenso wie asiatische Staaten oder in Afrika etwa Nigeria. Derzeit sieht es nicht danach aus, als das an dieser Ursache für die weiterhin explodierende Cybersicherheitsproblematik etwas ändert.
Die meisten Führungskräfte sind keine IT-Experten. Inwiefern hilft ihr Buch bei der Suche nach der idealen Sicherheitslösung für das eigene Unternehmen?
Thomas R. Köhler: IT-Systeme und speziell Lösungen für Cybersicherheit sind ein Tummelplatz für immer neue Begriffsbildungen und Themen Hypes. Mein Anspruch für das Buch ist es, hier Klarheit reinzubringen und den Leserinnen und Lesern – das Buch richtet sich ja ausdrücklich an »Nicht-Technik-Experten« – das nötige Rüstzeug zu geben, wichtiges von unwichtigem unterscheiden zu können und die richtigen Investitionsentscheidungen treffen zu können.
Was sind die aktuell größten Bedrohungen für den Mittelstand in Sachen Cybersicherheit?
Thomas R. Köhler: Das finanziell bedrohlichste Risiko ist Ransomware. Steht erstmal der Betrieb ist guter Rat vielfach teuer. Wer dann nicht vorgesorgt hat, kommt kaum noch dran vorbei, das Lösegeld zu bezahlen. Die dafür aufgerufenen Summen sind inzwischen typischerweise sechsstellig und bei größeren Unternehmen auch mal sieben- oder sogar achtstellig. Das kann leicht den Jahresgewinn um ein Mehrfaches überschreiten und an die Rücklagen gehen.
Gleich dahinter kommt in ihrer Tragweite eine Bedrohung, die eigentlich nur zum Teil ein technisches, sondern viel mehr ein organisatorisches Problem ist: »CEO Fraud« oder »Fake President«. Damit ist gemeint, dass Mitarbeiterinnen oder Mitarbeiter im Unternehmen dazu gebracht werden sollen, Geldsummen an Dritte zu überweisen. Die Anweisung dazu kommt nur scheinbar von Chefin oder Chef. Typischerweise werden die Strukturen im Unternehmen dazu per Social Media ausgespäht und dann reicht vielfach eine gefälschte Mail und hunderttausende sind weg. Das dritte – vielfach noch vollkommen unbekannte Risiko – steht im Zusammenhang mit dem Internet der Dinge. In dem Masse wir unsere Maschinen, Anlagen und Fahrzeuge vernetzen, müssen wir auch dort mit Cybersicherheit nachrüsten. Sonst steht irgendwann der Betrieb, die Teile werden nicht fertig oder können nicht ausgeliefert werden – die Folge können Millionenregressforderungen durch die Abnehmer sein. Für die Zukunft immer wichtiger werden Risiken in Verbindung mit dem KI-Einsatz. Noch sehen wir hier keine großen Schäden, aber was passieren wird ist längst absehbar.
Was sollten Unternehmer außerdem beachten?
Thomas R. Köhler: Das Internet galt lange als mehr oder weniger rechtsfreier Raum. Doch wir sind auf dem Weg vom Wild-West zu einer Überregulierung. Speziell in den letzten Jahren hat der Gesetzgeber – getrieben von der EU – eine Vielzahl von Regularien auf den Weg gebracht, die direkt oder indirekt mit Cybersicherheit zu tun haben, von der Datenschutzgrundverordnung über (ganz neu) NIS2 und DORA bis hin zum Cyber Resilience Act und der KI-Verordnung. Viele Unternehmen sind betroffen und wissen es schlicht nicht. In einem eigenen Kapitel bringe ich daher Licht in das Dunkel und zeige, worauf es wirklich ankommt.
Thomas R. Köhler ist einer der profiliertesten Vordenker zum Thema Cybersicherheit und Verfasser mehrerer Bücher zur Sicherheit im Netz. Er bringt Erfahrung aus universitärer Forschung und Lehre in Deutschland und im Ausland, und mehreren erfolgreichen eigenen Unternehmsgründungen mit. Als Geschäftsführer der Münchner Technologieberatung CE21 berät er Unternehmen und öffentliche Einrichtungen bei der Bewertung von Cyberrisiken und dem Aufbau und Betrieb sicherer Infrastrukturen. Köhler ist seit 2019 Research Professor am Center for International Innovation der Hankou University (China) und war als Lehrbeauftragter für Cybercrime an der Hochschule der Polizei in Brandenburg im Masterstudiengang Kriminalistik tätig. (Foto: privat)
20.01.2026
