Faktor für die Sicherheit

Warum sind Cybersicherheit und digitale Souveränität heute ein Thema für die Geschäftsführung von Unternehmen?

Christopher Ehmsen: Unternehmen diskutieren aufgrund der geopolitischen Lage Souveränität heute stärker, weil sie Antworten auf die Frage nach ihrer Resilienz brauchen. Wie stelle ich sicher, dass mein Unternehmen noch halbwegs funktioniert, wenn etwas passiert, das ich nicht perfekt einplanen kann? Wie sehr kann ich meine Daten, Prozesse und IT selbst steuern? Und wie sehr brauche ich Security, um mich gegen Angriffe oder Ausspionieren von außen abzusichern? Ohne Sicherheit kann ich Souveränität gar nicht gewährleisten.

Eduard Kowarsch: Souveränität bedeutet, selbstbestimmt entscheiden zu können, ohne dass man erpresst oder eingeschränkt wird. Wir haben für uns drei Dimensionen definiert: Datensouveränität, Betriebssouveränität und technische Souveränität. Security gehört als vierter Pfeiler dazu, denn ohne ausreichende Sicherheitsmaßnahmen kann ich genauso erpresst werden - sei es von kriminellen Elementen oder politischen Akteuren.

Wie ausgeprägt ist dieses Bewusstsein im Mittelstand? Wird Resilienz im Zusammenhang mit Informationssicherheit und Cloud-Partnern bereits strategisch diskutiert?

Ehmsen: Wir sehen, dass die Größe des Unternehmens letztlich keine Rolle spielt. Wenn ein Unternehmen kritische Leistungen erbringt, etwa im Energie-, Wasser- oder Gesundheitsbereich, dann hat es eine besondere Bedeutung für das Funktionieren unserer Wirtschaft und des Staates. Die Anforderungen an Resilienz und an die Einhaltung von Vorgaben sind im Kern dieselben. Aber der Mittelstand und kleinere Unternehmen brauchen die Fähigkeit, Anomalien zu erkennen und sich zu verteidigen. Im Prinzip sind die Technologien, die dafür eingesetzt werden, dieselben. Größere haben dafür mehr Geld zur Verfügung, aber jedes Unternehmen braucht Souveränität, damit nicht ein Dritter darüber bestimmt, ob es noch arbeitsfähig ist.

Bild: Christopher Ehmsen leitet seit 2023 das Unternehmen Deutsche Telekom Cyber Security Austria im Magenta-Konzern.

Kowarsch: Neu ist, dass Souveränität explizit in die Risikobewertung aufgenommen wird. Die Technologie hat sich stark verändert. Früher hatte man vielleicht nicht einmal eine Firewall und es hat funktioniert, weil es kaum Angreifer gab. Heute sind wir viel enger vernetzt. Die Bedrohungsszenarien haben sich massiv verändert, auch durch geopolitische Entwicklungen. Und davon sind nun auch kleinere Unternehmen betroffen, die nun auf Standardservices für Sicherheit von großen Anbietern wie T-Systems setzen können.

Wie gehen Unternehmen mit der Abhängigkeit von Cloud- oder IT-Anbietern um? Lässt sich das realistisch steuern?

Kowarsch: Es gibt grundsätzlich zwei Szenarien. Entweder ich fahre von Haus aus eine parallele Strategie mit zwei Anbietern und halte mir die Möglichkeit offen, relativ rasch zu wechseln. Das ist möglich, hat aber wirtschaftliche Nachteile, weil ich Mengenvorteile verliere und spezielle Features nur eingeschränkt nutzen kann. Oder ich arbeite mit einem Anbieter und habe einen klaren Exit-Plan. Ich weiß genau, wie lange ein Wechsel dauern würde und welche Schritte nötig sind. Am Ende ist es immer eine Kosten-Nutzen- und Risikoabwägung.

Bild: Eduard Kowarsch leitet den Bereich Cloud Services bei T-Systems in Österreich.

Ehmsen: Es ist eine strategische Frage. Es macht einen Unterschied, ob ich mit einem europäischen Unternehmen arbeite oder mit einem Anbieter, der anderen staatlichen Vorgaben unterliegt. Unsere Mutter ist die Deutsche Telekom, mit einem signifikanten Staatsanteil. Das schafft eine andere Ausgangslage. Wir sehen ja, dass politische Entscheidungen unmittelbare Auswirkungen auf Services haben können. Unternehmen müssen sich daher fragen, ob sie sich komplett ausliefern oder ob sie Schritte setzen, um ihre Souveränität zu stärken.

Welche Risikofaktoren prägen 2026 die Informationssicherheit besonders?

Ehmsen: Die Angriffsarten haben sich im Kern nicht geändert. Ein großer Teil ist weiterhin kriminell motiviert. Es geht um Erpressung und Geld. Das ist ein riesiger, professionell organisierter Wirtschaftszweig. Der andere Teil betrifft Spionage. Hier geht es um wertvolle Informationen oder darum, sich langfristig in Systeme einzunisten, um im entscheidenden Moment Systeme abdrehen zu können. Was sich massiv geändert hat, ist die Geschwindigkeit. Wo man früher Stunden hatte, um Angreifer zu erkennen, sind es heute Minuten. Und die Angreifer nutzen KI genauso wie wir als Verteidiger.

Wir betreiben in Wien ein SOC und analysieren gigantische Datenmengen, um Anomalien zu erkennen. Viele Risiken lassen sich heute innerhalb von Sekunden eindämmen, etwa indem ein infizierter Rechner automatisiert vom Netz genommen wird. Bei hochkomplexen Angriffen trennt sich die Spreu vom Weizen – auch bei den Dienstleistern. Neben den technischen Werkzeugen braucht es zusätzlich den Intellekt und die Erfahrung der Experten, um Muster richtig einzuordnen und sich nicht rein auf die Technik zu verlassen.

Ist die Verweildauer von Angreifern in Systemen – man hat früher von durchschnittlich 200 Tagen gesprochen – noch immer so hoch?

Ehmsen: Nein, sie ist dramatisch gesunken. In den meisten Fällen vergehen nur noch einige Stunden. Bei sehr komplexen, staatlich unterstützten Angriffen kann es immer noch länger dauern. Aber das betrifft in der Regel besonders kritische Infrastrukturen unter Ausnutzung von Zero-Day-Exploits, die noch gar nicht bekannt geworden sind. Insgesamt ist die Welt deutlich schneller geworden. Und sie wird noch schneller.

Was bedeutet das für Unternehmen konkret?

Ehmsen: Es bedeutet, dass Verteidigung immer wieder Übung braucht. Eine eigene IT-Abteilung kann das nur begrenzt leisten. Wir profitieren davon, viele Kunden zu betreuen und täglich mit realen Vorfällen konfrontiert zu sein. Das hält unsere Teams wach und trainiert sie ideal. So können wir gewährleisten, dass Angriffe früh erkannt und eingedämmt werden.

Kowarsch: Am Ende zeigt sich, dass Souveränität und Cybersicherheit untrennbar miteinander verbunden sind. Ohne Sicherheit keine Souveränität. Und ohne strategische Souveränität keine nachhaltige Sicherheit. Für die Geschäftsführung ist das kein technisches Detail mehr, sondern eine zentrale Managementaufgabe.