Strategy&-Partner schlägt Alarm bei Cybersicherheit

Lucas Sy sieht deutsche Firmen unter Dauerbeschuss. Künstliche Intelligenz macht Angreifer gefährlicher, Quantencomputer werden zur nächsten Bedrohung.

Täglich 119 neue Lücken

Die Zahlen sprechen für sich. Das Bundesamt für Sicherheit in der Informationstechnik registriert jeden Tag 119 neue Schwachstellen in IT-Systemen. Ein Viertel mehr als noch vor einem Jahr. Die Schäden durch Cyberattacken haben laut Bitkom die 200-Milliarden-Euro-Marke überschritten. Deutschland zählt zu den am häufigsten angegriffenen Ländern weltweit. Lucas Sy kennt beide Seiten. Zwölf Jahre diente er als Cyber-Strategieoffizier bei der Bundeswehr, seit über einem Jahrzehnt berät er Unternehmen bei Strategy&, der Strategieberatung im PwC-Netzwerk. KI verändert das Kräfteverhältnis. Angreifer automatisieren Phishing-Kampagnen, basteln täuschend echte Deepfakes, skalieren ihre Operationen. Verteidiger nutzen dieselbe Technologie, um Muster zu erkennen und schneller zu reagieren. Sy nennt KI Schwert und Schild in einem. Die Frage sei, wer schneller lernt.

Mittelstand im Visier

Acht von zehn gemeldeten Ransomware-Attacken treffen kleine und mittlere Unternehmen. Ihnen mangelt es an Geld, Personal und Wissen. Konzerne und Betreiber kritischer Infrastruktur rüsten auf. Kommunen und politiknahe Einrichtungen bleiben verwundbar. BSI-Chefin Claudia Plattner spricht von einem Trend zur “leichten Beute”. Sy beobachtet vier wiederkehrende Schwachstellen. Cyberrisiken schaffen es selten in den Vorstand. Basisschutz wie Zwei-Faktor-Authentifizierung oder regelmäßige Updates fehlt vielerorts. Lieferanten werden als Einfallstor unterschätzt, obwohl neue Vorschriften Unternehmen für ihre Zulieferer haftbar machen. Und kaum jemand bereitet sich auf Quantencomputer vor, die heutige Verschlüsselung aushebeln könnten. Der Krieg in der Ukraine hat die Lage verschärft. Staatliche Hacker und kriminelle Gruppen arbeiten Hand in Hand. Angriffe erfolgen koordiniert, der Cyberraum verstärkt hybride Bedrohungen. Parallel steigt der regulatorische Druck: NIS-2, Cyber Resilience Act, DORA im Finanzsektor.

Schutz in drei Stufen

Sy skizziert einen Fahrplan. Zuerst das Fundament: Cyberrisiken zur Chefsache machen, Basisschutz auf ISO- und BSI-Niveau heben, Risiken entlang der gesamten Lieferkette bewerten. Dann Resilienz aufbauen: Zero-Trust-Architektur einführen, Notfallprozesse etablieren, Krisensimulationen üben. Schließlich in die Zukunft investieren: Post-Quanten-Kryptographie vorbereiten, KI für die Abwehr nutzen, staatliche Hilfsangebote einbinden. Cybersicherheit ist keine Einzelleistung. Mehr als 90 Prozent der Befragten einer Strategy&-Umfrage sehen sie als gemeinsame Aufgabe von Staat und Wirtschaft. Baden-Württemberg macht vor, wie das gehen kann. Die dortige Cybersicherheitsagentur unterstützt Behörden beim Aufbau von Schutzmaßnahmen. Strategy& hat beim Design der Services mitgeholfen. Solche Modelle könnten Schule machen.