Zur Suche
Digitalisierung

Michael Wiesner über Cyberrisiken im Mittelstand: „Wer heute stillsteht, fällt morgen zurück"

Im GDV-Interview spricht Cyberexperte Michael Wiesner über die größten Schwachstellen in der IT-Sicherheit und erklärt, wo Unternehmen jetzt handeln müssen.

Lesedauer
© Michael Wiesner

Michael Wiesner ist Cybersicherheitsexperte und unterstützt Unternehmen dabei, Informationssicherheit pragmatisch, wirksam und verantwortungsvoll umzusetzen.

Seit 2018 testet der erfahrene IT-Sicherheitsberater Michael Wiesner immer wieder die Cybersicherheit von Unternehmen im Auftrag des GDV, mit leider immer ähnlichen Ergebnissen. Bekannte Angriffswerkzeuge schlummern ungepatcht in Produktivnetzen. Zugangsdaten werden sorglos weitergegeben.  Viele Unternehmen scheitern an einem simplen Phishing-Test.

Im ausführlichen Interview spricht der Experte darüber, warum veraltete Software kein rein technisches Problem ist, wie ein gestohlenes Passwort zum Ausgangspunkt einer Katastrophe werden kann, wo die Grenzen der Versicherbarkeit liegen und was KI mit der Bedrohungslage der kommenden Jahre macht.

GDV: Herr Wiesner, nach 2018, 2020 und 2023 haben Sie für den GDV erneut mittelständische Unternehmen einem Sicherheitscheck unterzogen. In elf von zwölf Unternehmen haben Sie Lücken gefunden, durch die sich Angreifer unbemerkt Zugang verschaffen könnten. In drei Viertel der Betriebe waren die Schwachstellen so gravierend, dass ein Angriff als trivial einfach gilt. Was geht Ihnen durch den Kopf, wenn Sie solche Ergebnisse zusammenstellen?

Wiesner: Die Ergebnisse überraschen mich leider kaum noch, sie machen mich aber nach wie vor nachdenklich. Wir sehen seit Jahren dieselben grundlegenden Schwachstellen, obwohl die Bedrohungslage kontinuierlich zunimmt. Besonders kritisch ist, dass viele der gefundenen Lücken mit relativ einfachen Maßnahmen hätten beseitigt werden können.

Leider erleben wir häufig, dass Cybersicherheit erst dann die notwendige Aufmerksamkeit bekommt, wenn bereits ein Schaden eingetreten ist. Dann wird gehandelt – aber oft zu spät und deutlich teurer. Für manche Betriebe kann ein erfolgreicher Cyberangriff schnell zu einer existenziellen Herausforderung werden.

GDV: Sie beschreiben seit Jahren immer dieselben Grundprobleme, gleichzeitig wird die Außenwelt, aus der die Angriffe kommen, immer professioneller. Was ist aus Ihrer Sicht die gravierendste Veränderung der letzten drei bis vier Jahre?

Wiesner: Die größte Veränderung ist die Professionalisierung des Cybercrime-Ökosystems. Mit „Ransomware as a Service" sind hochentwickelte Angriffswerkzeuge heute praktisch als Dienstleistung verfügbar. Das senkt die Einstiegshürden für Kriminelle erheblich und erhöht die Zahl der Angriffe.

Gleichzeitig sehen wir Cyberangriffe zunehmend als Instrument hybrider Kriegsführung. Die Entwicklungen rund um den Ukraine-Krieg oder aktuelle geopolitische Konflikte zeigen, dass staatliche und staatsnahe Akteure den Cyberraum gezielt für Spionage, Sabotage und Einflussnahme nutzen.

Die Kombination aus professionell organisiertem Cybercrime, geopolitischen Spannungen und KI-gestützten Angriffsmethoden hat die Bedrohungslage in den vergangenen Jahren auf ein neues Niveau gehoben.

GDV: Die Bedrohung von außen wächst also. In den Unternehmen selbst stoßen Sie aber immer wieder auf dasselbe, fast banale Problem: veraltete Software, für die der Hersteller schon längst keine Sicherheitsupdates mehr liefert. Windows XP auf Produktionsrechnern, veraltete Serversysteme, überholte Webseiten-Software. Neun von zwölf Unternehmen betreiben solche Systeme aktiv im Tagesgeschäft. Warum ist das Austauschen veralteter Software offenbar so schwer und wer trägt dafür die Verantwortung?

Wiesner: Gerade in Produktions- und Fertigungsumgebungen ist der Austausch veralteter Systeme oft deutlich komplexer, als es auf den ersten Blick erscheint. Häufig ist die Software eng mit einer Maschine oder einer gesamten Produktionsanlage verbunden. Ein Update bedeutet dann nicht nur den Austausch eines Computers, sondern unter Umständen Investitionen in eine komplette Maschine oder umfangreiche Anpassungen der Produktionsprozesse. Das verursacht hohe Kosten und kann zu Produktionsausfällen führen. Deshalb werden solche Entscheidungen oft aufgeschoben.

Die Verantwortung liegt letztlich immer bei der Unternehmensleitung, denn Cybersicherheit ist heute ein unternehmerisches Risiko und keine rein technische Fragestellung. Operativ sind natürlich IT-Leitung, Produktionsleitung oder externe Dienstleister eingebunden. In der Praxis erleben wir jedoch häufig, dass der Geschäftsführung die tatsächlichen Risiken und vorhandenen Schwachstellen gar nicht vollständig bekannt sind.

Wichtig ist dabei: Der Betrieb veralteter Systeme ist nicht zwangsläufig unverantwortlich. Es gibt durchaus Möglichkeiten, die Risiken deutlich zu reduzieren. Dazu gehören beispielsweise eine konsequente Netzwerksegmentierung, die Isolation kritischer Anlagen, strenge Zugriffsregelungen oder eine kontinuierliche Überwachung der Systeme. Problematisch wird es dann, wenn veraltete Systeme ohne geeignete Schutzmaßnahmen direkt mit dem Unternehmensnetzwerk oder sogar dem Internet verbunden sind. Dann entsteht aus einer technischen Altlast schnell ein erhebliches Geschäftsrisiko.

GDV: Das klingt nach einem technischen Problem. Aber Ihr Bericht zeigt: Die menschliche Seite ist mindestens genauso kritisch. Sie haben in den Unternehmen auch gefälschte Phishing-Mails verschickt, also E-Mails, die aussehen wie echte Nachrichten von bekannten Diensten, aber darauf abzielen, Zugangsdaten zu stehlen. Fünf von elf Unternehmen sind gescheitert, Mitarbeitende haben auf falschen Webseiten ihre echten Passwörter eingegeben. In einem Betrieb waren es gleich zehn Personen. Was passiert in einem realen Angriff, wenn ein Angreifer erst einmal an solche Zugangsdaten gelangt?

Wiesner: Gestohlene Zugangsdaten sind für Angreifer oft der einfachste Weg in ein Unternehmensnetzwerk. Über kompromittierte VPN-Zugänge, Cloud-Dienste oder E-Mail-Konten können sie sich zunächst als legitime Benutzer anmelden, ohne dabei sofort Verdacht zu erregen.

Von dort aus beginnt häufig die eigentliche Angriffskette. Die Angreifer verschaffen sich weitere Berechtigungen, bewegen sich schrittweise durch das Netzwerk und suchen gezielt nach besonders wertvollen Systemen und Daten. Dieses sogenannte „Lateral Movement" kann sich über Tage oder sogar Wochen erstrecken, ohne dass die Betroffenen etwas bemerken.

Am Ende steht häufig die Exfiltration sensibler Daten, die Verschlüsselung von Systemen durch Ransomware oder eine Kombination aus beidem. Die Unternehmen werden dann mit der Veröffentlichung gestohlener Daten oder dem Ausfall ihrer IT-Systeme erpresst.

Man darf außerdem nicht vergessen: Zugangsdaten sind mittlerweile eine eigene Handelsware. Nicht jeder, der sie stiehlt, nutzt sie selbst. Oft werden kompromittierte Zugänge in kriminellen Netzwerken verkauft und später von anderen Gruppen für Spionage, Betrug oder Ransomware-Angriffe genutzt. Aus einem einzigen eingegebenen Passwort kann daher schnell ein schwerwiegender Sicherheitsvorfall entstehen.

GDV: Das klingt nach einem langen, geduldigen Angriff. Ihr Bericht zeigt aber noch eine deutlich direktere Einfallsroute, die in der IT-Sicherheitswelt traurige Berühmtheit erlangt haben: BlueKeep, EternalBlue, MS08-067. Das sind Schwachstellen, die teils seit fast zwanzig Jahren bekannt sind und mit denen die großen Ransomware-Wellen der letzten Jahre ausgelöst wurden. In den von Ihnen geprüften Unternehmen schlummern diese Schwachstellen noch immer ungepatcht in den Netzwerken. Ihr Urteil im Bericht ist deutlich: Das sei „nicht tolerierbar". Wie erklären Sie sich, dass solche bekannten Risiken 2026 noch existieren?

Wiesner: Dass wir im Jahr 2026 noch auf Schwachstellen wie EternalBlue, BlueKeep oder MS08-067 treffen, ist aus technischer Sicht nur schwer nachvollziehbar. Diese Sicherheitslücken sind seit vielen Jahren bekannt, für sie existieren Patches und es gibt zahllose Beispiele dafür, welche Schäden sie verursachen können.

Die Ursache ist häufig mangelnde Transparenz. Viele Unternehmen wissen schlicht nicht genau, welche Systeme in ihren Netzwerken betrieben werden und welchen Sicherheitsstatus diese haben. Regelmäßige Schwachstellenscans und ein systematisches Asset-Management würden solche Probleme in den meisten Fällen sehr schnell sichtbar machen. Gerade im Mittelstand fehlen dafür jedoch oft die Prozesse, Ressourcen oder das notwendige Risikobewusstsein.

Hinzu kommt, dass die Risiken häufig unterschätzt werden. Aus Sicht eines Angreifers oder Penetrationstesters gehören diese Schwachstellen zu den einfachsten Angriffsmöglichkeiten überhaupt. Wenn wir eine solche Lücke finden, dauert es oft weniger als eine Minute, um ein betroffenes System vollständig zu kompromittieren.

Deshalb sprechen wir hier nicht über theoretische Risiken oder hochkomplexe Angriffstechniken, sondern über bekannte und seit Jahren dokumentierte Schwachstellen. Bei Schwachstellen wie EternalBlue sprechen wir nicht über unbekannte Sicherheitslücken, sondern über offene Türen, deren Schlüssel seit Jahren öffentlich ausliegen. Wenn solche Lücken heute noch ungepatcht betrieben werden, ist das aus Sicht der IT-Sicherheit tatsächlich nicht tolerierbar.

GDV: Bislang haben wir über Risiken gesprochen, die Unternehmen zumindest theoretisch selbst in der Hand haben — Patches, Updates, Zugriffsrechte. Es gibt aber eine Kategorie, die sich schwieriger kontrollieren lässt: die digitale Lieferkette. In einem Ihrer Blogbeiträge bezeichnen Sie sie als „blinden Fleck der Cybersicherheit". Was meinen Sie damit — und was bedeutet das für Versicherer, die solche Risiken in Policen abbilden sollen?

Wiesner: Supply-Chain-Risiken gehören heute zu den größten Herausforderungen der Cybersicherheit, weil Unternehmen sie nur begrenzt selbst kontrollieren können. Ein Unternehmen kann seine eigenen Systeme hervorragend absichern und dennoch betroffen sein, wenn ein Softwarehersteller, ein Cloud-Dienstleister oder ein externer IT-Dienstleister kompromittiert wird.

Für Versicherer reicht deshalb die Betrachtung eines einzelnen Unternehmens nicht mehr aus. Entscheidend ist zunehmend, von welchen kritischen Dienstleistern, Plattformen und Software-Komponenten ein Unternehmen abhängig ist und welche Konzentrationsrisiken dadurch entstehen. Wenn tausende Unternehmen dieselbe Software oder denselben Cloud-Anbieter nutzen, kann ein einzelner Vorfall schnell zu einem Massenschadenereignis werden.

Das größte Cyberrisiko vieler Unternehmen liegt heute nicht mehr innerhalb der eigenen Unternehmensgrenzen, sondern in ihrer digitalen Lieferkette. Die entscheidende Frage lautet daher nicht nur: Wie gut sichere ich mein Unternehmen ab? Sondern auch: Wie gut kenne ich die Risiken meiner digitalen Lieferkette?

GDV: Und die Antwort auf diese Frage fällt in vielen Betrieben ernüchternd aus. Ihr Bericht zeigt: Externe IT-Dienstleister haben in vielen der untersuchten Unternehmen weitreichende Zugriffsrechte auf interne Systeme, ohne dass die Unternehmen Sicherheitsanforderungen an sie stellen oder deren Arbeit kontrollieren. Nur jedes vierte Unternehmen hat das im Griff. Wie lässt sich das Problem lösen?

Wiesner: Die Lösung beginnt mit einem strukturierten und risikobasierten Drittparteien-Management. Dazu gehören klare Sicherheitsanforderungen, vertragliche Regelungen, Audits und regelmäßige Überprüfungen. Je umfangreicher die Zugriffsrechte eines Dienstleisters sind, desto genauer muss hingeschaut werden.

Viele Unternehmen verlassen sich dabei auf Fragebögen. Das Problem ist, dass Selbstauskünfte allein oft wenig aussagekräftig sind. Häufig hängt die Qualität der Antworten davon ab, wer den Fragebogen ausfüllt. Deshalb müssen solche Angaben kritisch geprüft und bei Bedarf verifiziert werden.

Letztlich geht es darum, Dienstleister nicht nur nach Kosten und Leistung auszuwählen, sondern auch nach ihrem Sicherheitsniveau. Vertrauen ist wichtig – aber in der Cybersicherheit gilt: Vertrauen ist gut, Kontrolle ist besser.

GDV: Diese Kontrolle wird in den nächsten Jahren noch anspruchsvoller, denn das Angreiferumfeld verändert sich gerade fundamental. Generative KI macht Phishing-Mails fast fehlerlos, personalisiert und in Millisekunden skalierbar. Gleichzeitig kann KI bei der Angriffserkennung helfen. Wie verändert KI das Kräfteverhältnis zwischen Angreifern und Verteidigern und was bedeutet das für die Risikomodelle der Versicherer?

Wiesner: Künstliche Intelligenz verändert das Kräfteverhältnis nicht einseitig zugunsten der Angreifer oder Verteidiger. Tatsächlich erleben wir derzeit eine Art „AI vs. AI". Angreifer nutzen KI, um Phishing-Kampagnen zu automatisieren, Inhalte zu personalisieren und Social Engineering auf ein neues Niveau zu heben. Gleichzeitig setzen Verteidiger KI zur Angriffserkennung, Analyse und Reaktion ein.

Die eigentliche Veränderung liegt in der Geschwindigkeit. Angriffe können schneller vorbereitet und durchgeführt werden, gleichzeitig müssen Unternehmen deutlich schneller reagieren. Wer diese Geschwindigkeit nicht mitgehen kann, gerät ins Hintertreffen.

Für Versicherer bedeutet das, dass künftig weniger die Frage im Vordergrund steht, ob ein Angriff stattfindet, sondern wie widerstandsfähig ein Unternehmen darauf reagieren kann. KI erhöht sowohl die Angriffsfläche als auch die Verteidigungsmöglichkeiten. Die spannende Frage ist daher nicht, ob KI die Cybersicherheit verändert – sondern welche Seite lernt, sie schneller und effektiver einzusetzen.

GDV: Eine offene Frage und eine, die Sie seit über 30 Jahren begleitet. Was ist Ihre wichtigste Botschaft: an einen Mittelständler, der dieses Interview gerade liest, und an einen Versicherer, der Cyberrisiken zeichnet?

Wiesner: Meine wichtigste Botschaft an mittelständische Unternehmen lautet: Warten Sie nicht auf den Sicherheitsvorfall. Die meisten Schwachstellen, die wir finden, sind weder neu noch besonders raffiniert. Oft handelt es sich um bekannte Probleme, die mit überschaubarem Aufwand hätten behoben werden können. Cybersicherheit beginnt mit Transparenz: Wissen, welche Systeme man betreibt, welche Risiken bestehen und wo die größten Schwachstellen liegen. Wer das nicht weiß, kann seine Risiken auch nicht steuern.

An Versicherer würde ich sagen: Cyberrisiken lassen sich nicht allein anhand von Fragebögen und Compliance-Nachweisen bewerten. Entscheidend ist, wie ein Unternehmen seine Sicherheitsmaßnahmen tatsächlich umsetzt und lebt. Die größte Herausforderung der kommenden Jahre werden dabei nicht einzelne Schwachstellen sein, sondern systemische Risiken durch Lieferketten, Dienstleister, Cloud-Plattformen und geopolitische Entwicklungen.

Cyberversicherungen sind wichtig, aber sie ersetzen keine Cybersicherheit. Sie können finanzielle Folgen abfedern, einen Sicherheitsvorfall verhindern können sie nicht.

Und vielleicht gilt für beide Seiten derselbe Satz: Cybersicherheit ist kein Zustand, den man einmal erreicht, sondern ein kontinuierlicher Prozess. Wer heute stillsteht, fällt morgen zurück.

Nach oben