Cybersecurity: KI revolutioniert Angriff und Abwehr (Gesponsert)

Sprecher: Diese Folge wurde vom Arbeitgeber des Interviewpartners gesponsert. „heise meets … – Der Entscheider-Talk“. Wir besprechen kritische, aktuelle und zukunftsgerichtete Themen aus der Perspektive eines Entscheiders. heise business services begrüßt Persönlichkeiten aus Wirtschaft, Wissenschaft und Politik. Immer aktuell und nah am Geschehen.

Sprecher: Herzlich willkommen zu einer neuen Folge von „heise meets…“. Guten Morgen aus Europa nach Amerika hätte ich gedacht. Gerald Beuchelt, Chief Information Security Officer von Acronis. Jetzt kriege ich es richtig raus. Chief Information Security Officer. Aber du bist in Deutschland. Guten Morgen nach Deutschland.

Gerald Beuchelt: Dankeschön. Ja, mal wieder unterwegs und da kommt man auch mal hin und wieder in die alte Heimat zurück.

Sprecher: Gerald, was hat dich hergetrieben in die alte Heimat?

Gerald Beuchelt: Es ist buchstäblich auf dem Weg nach Hause. Ich war jetzt bis vor kurzem in Japan gewesen und bin hier einfach zwei Tage da geblieben, einfach mal zu gucken. Wetter ist jetzt so schön, einfach mal ein bisschen rumschauen.

Sprecher: Ja, und wir haben auch einen schönen Anlass. Wir reden bei „heise meets…“. Das letzte Mal haben wir im Februar miteinander gesprochen. Ich empfehle die Folge gern noch mal zum Nachhören hier bei „heise meets…“. Du hast uns hinter die Kulissen ins Labor mitgenommen. Arbeitsablauf von Bedrohungsforschern haben wir besprochen und erläutert bekommen. Wie gesagt, Prädikat absolut hörenswert. Diesen Podcast muss man gehört haben. Jetzt wollen wir über künstliche Intelligenz sprechen, KI-gesteuerte Bedrohung und Abwehrmaßnahmen. Ein ganz neues Feld, oder?

Gerald Beuchelt: Ja, neu und doch auch dann wieder gar nicht so wahnsinnig neu. Letztendlich sind wir mit diversen KI-Systemen, Machine-Learning-Systemen usw. ja nun schon seit einer ganzen Zeit am Machen. Wir haben also sowohl in der Software-Erstellung als auch in der Entwicklung, aber auch in der Sicherheit immer wieder mal in den letzten 10, 15 Jahren neue Features dazugekriegt, die auf bestimmten Arten von künstlicher Intelligenz oder von Machine Learning basieren.

Das heißt also, letztendlich ist das ein Thema, was eine ganze Zeit schon aktuell ist, aber auf der anderen Seite natürlich jetzt umso aktueller wird, da Dinge wie generative KI oder halt auch diverse andere Expertensysteme heutzutage ganz neue Möglichkeiten aufmachen, sowohl für den Angreifer als auch für den Verteidiger. Insbesondere dadurch, dass Dinge, die früher sehr viel, ich sag mal, Handarbeit benötigt haben, heutzutage dann ganz einfach über KI automatisiert werden können und dementsprechend dann in ganz anderen Größenordnungen ablaufen können.

Sprecher: Sag mal so ein Beispiel, was früher Handarbeit war, was heute automatisiert ist.

Gerald Beuchelt: Also das klassische Beispiel ist ja dann die Phishing-E-Mail oder die Spearfishing-E-Mail, also die gezielte Phishing-Geschichten. Wenn man früher hingehen wollte und eine qualitativ hochwertige Phishing-E-Mail erstellen wollte, die also wirklich ganz stark personalisiert ist, dann hat das erfordert, dass man sich die Person anguckt, die verschiedenen sozialen Netzwerkpräsenzen halt durchguckt, eventuell noch mal schaut, ob man Kontakte erkennen kann, die diese Person hat, die man da betreffen will. Und dann darauf basierend eine entsprechende Phishing-E-Mail dann selber zu schreiben.

Das geht heute ganz einfach. Ich kann mit diversen Tools die sozialen Netzwerkpräsenzen auswählen, die ich jetzt hier auf dem Bildschirm habe. Ich kann Netzwerke von Hunderten, Tausenden, Zehntausenden von Leuten ganz schnell durchleuchten. Ich kann über generative KI wie Large Language Models ganz schnell diverse E-Mails erstellen lassen, die dann auch hochpersonalisiert sind und dann dementsprechend über die automatisierten Command-and-Control-Systeme dann halt rausschicken.

Das heißt also das, wo ich früher Tage und manchmal sogar Wochen gebraucht habe, um das für eine Person oder eine kleine Menge von Personen zu machen, kann ich jetzt innerhalb von wenigen Minuten oder sagen wir mal Stunden für buchstäblich zehntausende von Leuten machen. Und es wird deutlich schwieriger, dann diese Phishing-Sachen dann rauszufinden.

Sprecher: Wenn du sagst, ich kann das heute viel einfacher machen. Du hast jetzt nicht die Seite gewechselt und bist auf die Seite der Angreifer. Bist du schon noch bei den Verteidigern?

Gerald Beuchelt: Keine Sorge. Also das ist kein Thema. Nein, natürlich. Also ich sage, man kann es machen oder Frau kann es machen.

Sprecher: Aber es bringt mich zu der Frage, also wie ändert sich deine Arbeit? Nicht jetzt vielleicht in den letzten zwei, drei Wochen, aber auf eine Zeit von Monaten.

Gerald Beuchelt: Ja, es wandelt sich halt einiges. Ähnlich wie wir in dem Übergang von Cloud-Systemen zu oder von klassischen IT-Systemen, die wir im Rechenzentrum haben laufen lassen, zu Cloud-Systemen einiges umdenken mussten in Bezug auf, wie wir uns schützen in die fernen traditionellen Dinge wie Firewalls oder so noch effektive Methoden sind, um uns vor Angriffen zu schützen, sind sie natürlich noch, keine Frage, aber mit einer anderen Bedeutung.

Genauso müssen wir uns jetzt heute darauf einstellen, dass es eine ganz andere Form von Technologie gibt, die halt in der Lage ist, uns mit Problemen zu konfrontieren, die wir so vorher nicht gehabt haben. Das heißt, man muss ganz klar umdenken. Und wenn man früher halt damit hingegangen ist, wir setzen einfach E-Mail-Filter ein, der uns dann hilft, den berühmt-berüchtigten Prinzen von Nigeria vom Leib zu halten. Das ist heutzutage einfach nicht mehr aktuell.

Man muss also ganz klar jetzt hingehen und überlegen, wie kann ich auf meiner Seite diese neuen Technologien effektiv einsetzen, um Anomalien in meinem Systembetrieb, um potenziell KI-generierte E-Mails herauszufischen. Und das Ganze wird halt ein Wettlauf mit den Angreifern, der darauf hinausläuft, dass man halt einfach die gleichen Technologien oder bessere Technologien einsetzen muss.

Und damit wendet sich natürlich auch das Profil ein bisschen. Wenn ich früher jemanden oder viele Leute dazu gebraucht habe, Netzwerksicherheit zu betreiben, um den Perimeter sicherzuhalten, brauche ich jetzt auch Leute, genauso auch Leute, die sich auf KI auskennen, die sich mit dem Absichern von bestimmten Applikationen auskennen etc. Das heißt also, die Anforderungsprofile ändern sich etwas, aber sie wachsen auch durchaus.

Sprecher: Ich brauche diese Leute hast du gesagt. Wie setzen Cyberkriminelle KI jetzt ganz konkret ein? Du hast gesagt, ich kann natürlich über Social Engineering viel, viel mehr machen. Der Prinz von Nigeria ist durch eine ganze Prinzengarde ersetzt. Welche Angriffsfaktoren gibt es noch? Wie funktioniert das?

Gerald Beuchelt: Wir haben ganz klar bei Acronis gesehen, dass Social Engineering der steigende Angriffspfad ist. Ich meine, wir haben auf der Technologie-Ebene eine ganze Reihe Sachen eingeführt, die es uns halt ermöglichen E-Mails abzufangen oder diverse andere Sachen halt dann dementsprechend zu verhindern. Aber Social Engineering, das heißt also wirklich das Ausnutzen des Vertrauens, was Menschen normalerweise sich gegenseitig entgegenbringen, ist einer der ganz entscheidenden Methoden, mit der man auch heute noch relativ leicht reinkommt.

Es gibt natürlich auch andere Geschichten. Systeme werden immer komplexer und immer komplizierter und es wird durch die entsprechenden skalierenden Agenten halt möglich immer mehr Systeme in kürzester Zeit zu scannen, die Systeme, die im Internet stehen und dementsprechend dann da auch Schwachstellen zu finden.

So ist es zum Beispiel jetzt vor kurzem so gewesen, dass wir intern ein System hatten, was wir online gestellt haben, und innerhalb von 20 Stunden hatten wir Reports über dieses System. Das war so ein ganz interessantes Experiment. Das dauert wirklich nur Stunden, bis sich Leute mit Systemen, die Schwachstellen haben, sofort auseinandersetzen und dann dementsprechend darauf arbeiten. Teilweise geht es sogar noch schneller.

Sprecher: Der klassische Honey-Pot, oder?

Gerald Beuchelt: Richtig, genau. Und da sind wir dann halt wirklich dann auch dabei zu sagen, dass man sich diese Fehler bei den tatsächlichen Produktionssystemen so in der Form nicht mehr erlauben kann. Das heißt also, man muss wirklich hingehen und Konfigurationsmanagement betreiben, in Bezug nicht nur auf einzelne Systeme, sondern auch auf die Gesamtumgebung, in der man dann arbeitet. Das ändert schon einiges dann in der Geschichte.

Sprecher: Wer sind denn diese Angreifer aus eurer Sicht? Was habt ihr darüber herausgefunden bei Acronis? Sind es nur noch diejenigen, die Geld verdienen wollen? Oder wer steckt da dahinter? Wer nutzt diese KI?

Gerald Beuchelt: Geld ist natürlich ganz klar eine der Hauptmotivatoren. Es ist halt so, und ich glaube, wir hatten da letztes Mal auch so ein bisschen darüber gesprochen, dass der ganze digitale Untergrund ja nun wirklich extrem arbeitsteilig ist. Das heißt also, es gibt Gruppen, die gezielt Passwörter stehlen. Es gibt Gruppen, die ganz gezielt den Zugriff auf Fremdsysteme knacken und dann verkaufen und zur Verfügung stellen.

Es gibt Gruppen, die Botnets aufbauen und dann vermieten. Es gibt Gruppen, die gezielt Kreditkarten oder andere finanzielle Informationen stehlen und dann weiterverkaufen. Und dann gibt es halt dann die, die solche Informationen, seien es jetzt finanzielle Daten oder persönliche Daten, in irgendeiner Form monetarisieren, das heißt also dann letztendlich zu Geld machen.

Und das ist eine sehr aktive Industrie, eine sehr, sehr große Industrie, die also manch andere Industriezweige bei uns in den absoluten Schatten stellt, ich habe jetzt die konkreten Zahlen nicht da, aber wir reden da über viele hunderte Milliarden, die da im Jahr auf diese Art und Weise umgesetzt werden. Und dementsprechend sind auch viele Angreifer in diesem Bereich dann unterwegs, teilweise Amateure, die sich dann halt einen Namen machen wollen, die in dieses Feld einsteigen wollen und dann ihre eigenen Unternehmen oder Gruppen halt bilden können, um die dementsprechend dann an dieser, an dieser Untergrundwirtschaft dann halt teilzunehmen.

Aber es sind natürlich dann auch die berühmt-berüchtigten Script-Kiddies unterwegs, die einfach mal ein bisschen Spaß haben und im Zweifel zwar erstmal Metasploit ausprobieren wollen oder ähnliche Systeme und gucken, wie weit sie da kommen. Oder wir haben dann immer traditionell auch noch die Akteure, die auf staatlicher Ebene dann agieren. Das ist aber normalerweise jetzt nicht unbedingt das, was der durchschnittlich ändern wird, aber auch die durchschnittliche Firma halt hat. Wenn man im Bereich von Verteidigungs- oder nationaler Sicherheit arbeitet, dann ist das natürlich ganz klar ein riesengroßes Thema. Wenn man, ich sag mal, Brötchen verkauft, dann ist das nicht unbedingt das Zielfeld.

Es sei denn, es geht darum, kritische Infrastruktur anzugreifen und das kann dann dementsprechend auch von solchen staatlichen Akteuren gemacht werden.

Gerald Beuchelt: Letzte Gruppe…

Sprecher: Wenn du mit deinen Brötchen die Bundeswehr versorgst, bist du wahrscheinlich auch interessant.

Gerald Beuchelt: Dann kann das schon durchaus interessant werden, das ist richtig. Wie gesagt, da, wo die kritische Infrastruktur dann halt reinkommt, da kann es dann ganz schnell spannend werden.

Die letzte Gruppe, und die ist manchmal für mich so die problematischste, sind die ideologisch getriebenen Hacktivist, oder wie man sie halt auch immer nennen möchte, die es also nicht notwendigerweise auf finanziellen Schaden oder finanzielle Bereicherung abgesehen haben, sondern denen es wirklich dann hauptsächlich darum geht, den Opfern zu schaden aus ideologischen, religiösen oder sonstigen Gründen. Und das ist natürlich dann auch normalerweise eine relativ große Motivation und diese Leute sind auch häufig durchaus technisch versiert genug, um da echte Schaden anzurechnen.

Sprecher: Jetzt haben wir die alle beschrieben und du hast uns ja glaubhaft versichert, du gehörst nicht dazu, sondern bist weiter bei Acronis.

Gerald Beuchelt: In jedem Fall.

Sprecher: Lass uns an deinem Wissen teilhaben. Wie schütze ich mich? Beispielsweise ich habe ein Unternehmen irgendwo, ein mittelständisches Unternehmen in Deutschland. Einer unserer Zuhörer ist vielleicht der Admin dieses Unternehmens. Was muss ich als Admin machen? Wie kann ich von deinem Wissen profitieren, um mein Unternehmen zu schützen?

Gerald Beuchelt: Grundsätzlich geht es erstmal um die Basics, die man einhalten muss: Vernünftiges Zugangs- und Accountmanagement, Passwörter, Multifaktor-Authentifizierung und so weiter. Wir haben morgen den internationalen Passwort-Tag. Das ist immer noch ein Thema, auch wenn wir jetzt eine ganze Reihe Systeme umgestellt haben. Aber schlampige Passwörter und deren schlampige Verwaltung sind nach wie vor eine der Hauptquellen, wie man reinkommt. Insbesondere dann, wenn die Angestellten bereit sind, die Passwörter mit den sogenannten Administratoren zu teilen.

Patching ist nach wie vor ein ganz heißes Thema. Wir sehen auch nach wie vor, dass Systeme mit Schwachstellen im Internet unterwegs sind und dementsprechend ausgenutzt werden können. Also diese ganzen Basics sind erstmal relativ wichtig.

Darüber hinaus hatten wir gerade gesagt, dass Social Engineering, auch über KI gesteuert, eines der ganz großen Einfallstore ist. Da geht es darum, die eigenen Mitarbeiter, die eigene Familie oder Benutzer im weitesten Sinne so weit zu schulen, dass sie in der Lage sind, mögliche Angriffe oder Social-Engineering-Attacken dementsprechend von richtigen E-Mails zu unterscheiden zu könne. Das Security-Awareness-Training, das allgemeine Training, ist da immer wieder ganz kritisch.

Und dann muss man natürlich auch gucken, wie man seine eigenen Systeme grundsätzlich konfiguriert. Denn wenn alle Tore offen sind, dann ist es natürlich auch relativ einfach, da reinzukommen. Das sind so die elementaren Dinge…

Sprecher: …über die wir schon seit Jahren reden…

Gerald Beuchelt: Buchstäblich seit Jahrzehnten reden.

Und es ist schwierig, weil wir Umgebungen haben, die hochkomplex sind und schneller wachsen, als wir das können.

Aber ich denke, da liegt auch eine Chance in der KI insofern, dass man jetzt immer mehr in der Lage ist, auch in den eigenen Systemen die man selber hat, zur Verteidigung solche Komplexitäten besser zu erkennen und dementsprechend zu verwalten. Wir haben zum Beispiel jetzt bei Acronis eine ganze Reihe Sachen gemacht in Bezug auf Remote Management, also Systemwartung aus der Entfernung heraus. Da haben wir Scripting Engines, die auf den Agenten mitlaufen, mit denen man über automatisierte Systeme mit verschiedenen Einstellungen dann Konfigurationen verbessern kann.

Das heißt, wenn ein System von einem Scanner erkannt wird, dass es gewisse Schwachstellen in der Konfiguration hat, dann kann über eine Automatisierungsplattform an den Agent herangetreten werden. Und der Agent kann dann selbstständig diesen Konfigurationsfehler korrigieren. Solche Arten des Einsatzes von KI, aber auch von Automatisierungssystemen, nutzen uns dann wieder, um schneller auf potenzielle Gefahren einzugehen.

Sprecher: Ihr habt gerade vor ein paar Tagen den Acronis True Security Day in Europa, in der DACH-Region, organisiert. Mit welchen Schwerpunkten? Ist das so ein Thema, was ihr in die Öffentlichkeit bringen wollt beziehungsweise was auch nachgefragt wird?

Gerald Beuchelt: Ja, die True Security Days richten sich vor allem an unsere Partner. Das sind Managed Service Provider oder Managed Security Service Provider, also Unternehmen, die im Auftrag von anderen Unternehmen deren IT managen. Das ist unsere Kernkompetenz, würde ich sagen. Wir sind in der Lage, diesen Partnern Systeme zur Verfügung zu stellen, die über große Mengen an deren Kunden skalieren können. Und das ist schon recht wichtig, weil das, was für mich als Heimanwender möglicherweise gut funktioniert, das funktioniert nicht notwendigerweise in der Unternehmensumgebung, schon gar nicht in der Umgebung für jemanden, der die IT von 20, 30, 100 oder 1000 anderen Unternehmen managt.

Da ist unser Schwerpunkt ganz klar, diese Kernakteure, diese wirklich wichtigen Akteure für die Wirtschaft zu stärken und ihnen die entsprechenden Tools in die Hand zu geben, damit sie sowohl über KI als auch über Automatisierung in der Lage sind, ihre jeweiligen Kunden dementsprechend abzusichern.

Schwerpunkte, die wir auf dem Tag in München hatten, waren natürlich unsere Sicherheitslösungen für Endprodukte. Wir haben über unsere Backup-Lösungen gesprochen, die auch immer wieder ganz spannend sind, insbesondere wenn man sie mit der Möglichkeit der schnellen Disaster-Recovery versieht. Das heißt, wir können ein System, das ein Backup auf unser Seite erfahren hat, ganz schnell so hinbringen, dass es dann zum Beispiel in Azure wieder ans Laufen kommt, selbst wenn der eigentliche Server verschossen ist. Da gibt es diverse Möglichkeiten, dass man da ganz schnell wieder Capabilities herstellen kann.

Wir haben aber auch ganz klar über Configuration Management geredet, insbesondere für Microsoft. Die meisten mittelständischen oder auch größeren Kunden setzen Microsoft M365 als Kernlösung für das IT-Geschäft ein. Und da haben wir eine ganze Reihe Geschichten vorgestellt im Bereich der Sicherheit, im Bereich des Backups, im Bereich E-Mail-Archivierung oder auch Konfigurationsmanagement. Ich kann da immer wieder nur darauf zurückkommen, was die Sicherheit für diese Installation dramatisch erhöht.

Sprecher: Nehmen wir uns mal mit auf die Reise. Was habt ihr da konkret vorgestellt? Wie funktioniert beispielsweise so eine Backup-Lösung für uns?

Gerald Beuchelt: Man muss erstmal unterscheiden zwischen Backup und Archivierung. Das Backup ist dazu da, um irgendwann wieder hergestellt zu werden. Wenn ich ein System oder einen Account verliere, dann mache ich ein Backup. Und wie gesagt, das ist dann auch im Bereich der Disaster Recovery wichtig.

Was ganz spannend ist: Microsoft bietet eine ganze Reihe Lösungen an, aber die meisten haben nicht notwendigerweise das vollständige Produkt und sind dementsprechend auf andere Sicherheitslösungen angewiesen. Was wir da machen, ist wirklich ein E-Mail-Backup, ein Server-Backup, ein Application-Backup von den verschiedenen Dingen wie Sharepoint, Teams oder auch Exchange und Active Directory jetzt auch. Sodass man seine komplette Umgebung relativ leicht wiederherstellen kann, wenn es einem Angreifer gelungen sein sollte, das durcheinander zu schießen. Und das ist ohne diese entsprechenden Backup-Lösungen relativ schwierig, weil man da häufig von vorne anfangen muss.

Auf der anderen Seite ist die E-Mail-Archivierung natürlich wichtig aus regulatorischen Gründen. Man muss E-Mails eine bestimmte Zeit lang aufheben - drei, sieben, zehn Jahre, je nachdem wo man sich gerade befindet und was das für Daten sind. Und man muss sie auch wieder produzieren können, wenn es zum Beispiel zu Gerichtsverfahren oder sonstigen Untersuchungen durch Behörden kommt. Da die Möglichkeit zu haben, darin zu suchen, ist nicht immer ganz so einfach, wenn man nicht die entsprechenden Archivierungslösungen hat. Das haben wir nochmal vorgestellt.

Wir haben jetzt unsere Konfigurationslösung für M365 vorgestellt. Wir wissen alle, wir können ein M365 so konfigurieren, dass es relativ unsicher ist - MFA ausgeschaltet, kurze Passwörter, wir kennen das Spiel, jeder kann rein. Oder man kann es dementsprechend sicher konfigurieren. Da diese ganzen Einstellungen händisch immer durchzugehen und zu gucken, ob da nicht mal was schiefgegangen ist, ist schwierig. Was wir da haben, ist eine Lösung, die automatisch immer wieder mal dran geht.

Und wie gesagt, wir sprechen hier auch viel mit unseren Partnern im MSP- und MSSP-Bereich. Wenn die dann 100, 200, 300 Kunden haben mit den entsprechenden Anzahl von M365-Installationen, dann ist man da schon mal beschäftigt. Das zu automatisieren hilft natürlich dann, das im großen Stil hinzubiegen.

Wir haben auch vorgestellt, wie wir in unserem XDR-Bereich KI einsetzen, um auf der einen Seite die Events, die von unserem Endpoint Protection kommen, besser zu verstehen. Das heißt, dass man als Technologe, als Administrator nicht in die letzten Details reinkriechen muss, sondern eine Zusammenfassung von der KI kriegt: Das und das ist schief gegangen, diese und jene Malware wurde entdeckt. Die ist im Allgemeinen nicht ganz so schlimm, aber man sollte die folgenden Vorsichtsmaßnahmen treffen.

Und dann auf der anderen Seite auch automatisch Reports an Endkunden schreiben kann, um denen zu erklären, was da tatsächlich passiert ist. Also die KI ganz klar dafür einzusetzen, um die Menge an Endpunkten, die ein einzelner Techniker verwalten kann, zu erhöhen.

Sprecher: Ihr nehmt eine ganze Menge Arbeit ab als Admin. Finde ich ja toll. Wunderbar. Die Frage, die mein Chef mir stellt, wenn ich da Admin bin: Ja, wie schnell bin ich denn, wenn wir dieses System einsetzen, wenn wir da ein Backup haben und so weiter? Kannst du dir auch so einfach beantworten, dass ich als Admin meinem Chef gegenüberstehe und sage: „Die machen das, die Jungs, in zehn Minuten"?

Gerald Beuchelt: Also Benchmarks in Bezug auf wie schnell oder langsam du deine Arbeit machst, haben wir jetzt noch nicht durchgeführt, logischerweise. Wir haben aber ganz interessante Zahlen gesehen, und zwar auch wieder in dem Partnerbereich, weil da reden wir über relativ große Skalierung.

Wir sehen häufig, dass MSPs und MSSPs zum jetzigen Zeitpunkt so 250 Endpunkte, Server oder Laptops verwalten können als eine Person. Das ist schon mal eine ganze Menge. Und je nachdem, wenn man dann gewisse Automatisierungen noch mit reinfügt, kann man das auch schon mal auf 300 oder 350 erhöhen.

Wir haben aber intern gesehen, dass es mit den Technologien, die wir anbieten, durchaus auch möglich ist, auf 500 oder mehr zu kommen. Das heißt, ich kann jetzt nicht genau sagen, dass der einzelne Administrationsvorgang so viel kürzer oder länger ist. Ich kann einfach nur sagen, dass es einem einzelnen Techniker dann möglich ist, mit intelligenten Lösungen mehr Systeme zu verwalten als es vorher möglich war. Und das bedeutet natürlich, dass ich als Techniker dann in der Lage bin, schneller zu skalieren. Ich kann schneller Neukunden als Firma aufnehmen, wenn ich in der Lage bin, mit der gleichen Anzahl von Technikern die doppelte Menge an Systemen zu verwalten.

Sprecher: Wollte ich gerade sagen, 250 bis zu 500 ist ja annähernd verdoppelt.

Gerald Beuchelt: Richtig. Also da ist schon von der Skalierbarkeit eine ganze Menge drin. Und das basiert auf den verschiedenen Technologien, die wir einsetzen. Das ist Automatisierung, ganz klar super wichtig, dass man da in der Lage ist, Systeme autonom oder semi-autonom agieren lassen zu können, ohne dass man da in jedes Ding einzeln selber reingehen muss. Und natürlich auch der Einsatz von KI, um bestimmte Prozesse zu beschleunigen oder zu vereinfachen.

Was auch immer wieder spannend ist: Der Einsatz von solchen KIs kann durchaus dazu dienen, Techniker, die vielleicht noch nicht ganz so viel Erfahrung haben, mit Problemen zu konfrontieren, die normal früher wesentlich erfahrenere Leute gebraucht haben. Das heißt, ich kann einfach dadurch, dass ich so ein Expertensystem einsetze, es ermöglichen, dass ich mit einfacheren Methoden an kompliziertere Probleme rangehen kann.

Sprecher: Ich habe noch so ein Thema bei dem Partnertag aufgeschnappt. Im Bereich Cybersicherheit setzt ihr auf integrierte Cyber Security Plattformen für MSPs. Sag mal noch einen Satz dazu. Wie funktioniert das im Detail? Was habe ich davon?

Gerald Beuchelt: Das ist ein spannendes Thema. Man muss jetzt nochmal so ein bisschen sich verdeutlichen, was ist EDR, was ist XDR, was ist MDR. Die normale EDR agiert auf dem Endsystem und ist in der Lage, nicht nur einfache Signaturerkennung wie die klassische Antivirus zu machen, sondern wirklich komplexe, heuristische Lösungen zu gestalten.

Mit der XDR binden wir das Ganze in ein größeres System ein, sodass ganze Flotten von Systemen zentralisiert gemanagt werden können. Man spricht häufig auch vom Enrichment von bestimmten Events, die dann gegeben sind. Das heißt, wenn irgendetwas auf dem Laptop passiert, zum Beispiel weil der Benutzer den falschen Link geklickt hat, dann wird das Event an eine zentrale Plattform geschickt. Die ist dann in der Lage, nicht nur diesen speziellen einzelnen Event zu sehen, sondern auch aus dem Directory rauszulesen können, was für ein Benutzer das ist, auf was für einem System er ist. Wenn ein vernünftiges Asset Management dabei ist, dann vielleicht noch, was für andere Software auf dem System auch installiert ist, die möglicherweise gepatcht oder auch nicht gepatcht ist. Also welche zusätzlichen Schwachpunkte können sich da auftauchen.

Und letztendlich kann die ganze Untersuchung, die im Security Operations Center früher immer stattgefunden hat und teilweise Stunden oder Tage gedauert hat, durch die entsprechende Automatisierung der XDR-Systeme in kürzester Zeit realisiert werden. Also das kann man heute bauen. Wir haben jetzt nicht alle Komponenten dafür komplett bei Acronis, da muss man gegebenenfalls auch noch mit den entsprechenden Orchestrierungsplattformen zusammenarbeiten.

Aber das ist prinzipiell schon mal möglich und beschleunigt ungemein die Fähigkeit, ein entsprechendes System zu implementieren, was viel, viel Zeit spart. Da kommen wir halt von den 250 auf den 500 Leuten dann ganz schnell.

Und das MDR ist dann halt letztendlich die Managed-Version davon, also durch den Managed-Service-Provider, die darauf hinausläuft, dass diese Arten von Systemen nicht nur für ein Unternehmen oder für eine Abteilung gemacht wird, sondern halt unabhängig davon in verschiedenen Tenants, in verschiedenen Installationen für eine ganze Reihe von Kunden dann durchgeführt werden kann.

Sprecher: Wir haben vier Monate dieses Jahres hinter uns und blicken auf die nächsten acht. Nimm uns mal mit auf die Reise die praktischen Empfehlungen für den Rest 2025, für die verbleibenden acht Monate in diesem Jahr. Wo siehst du die größten Herausforderungen für Privatpersonen wie für Unternehmen? Worauf müssen wir uns einstellen?

Gerald Beuchelt: Es kommt immer wieder auf die Standards zurück für Privatpersonen und Unternehmen, die Grundpfeiler aufrecht zu erhalten. Wir haben eine immer schnellere Proliferation von neuen Accounts und Services, Systemen, die halt häufig ein bisschen mit der heißen Nadel eingestrickt werden. Da halt die entsprechende Disziplin zu entwickeln, um das eben nicht jetzt mal auf die Schnelle zu machen, sondern halt wirklich grundsätzlich einzuführen, ist unendlich wichtig.

Ich denke, dass da die Einführung von Systemen, die automatisiert gewisse Dinge erfassen können, also ein Remote-Management erlauben, ein gewisses Asset-Management erlauben, wo man halt sehen kann, was dann halt teilweise einkommt, dass das wichtig ist. Aber es kommt immer wieder auf die grundsätzliche Disziplin bei dem eigentlichen Management drauf an, um da die schlimmsten Sachen zu verhindern.

Natürlich muss man halt sich ein bisschen gucken, wie das mit dem Technologie-Refresh aussieht. Wenn ich heutzutage noch auf einer Plattform sitze, die ein simples Antivirus macht, um meine Laptops zu schützen, dann kann ich das Ding auch ausschalten. Das ist letztendlich nur Verplemperung von Memory und Compute-Resourcen. Also ich muss wirklich hinsehen, dass ich eine moderne Plattform habe, die in der Lage ist, da auch auf moderne Gefahren halt dementsprechend zu reagieren.

Ich muss darauf achten, dass ich meine, wie wir so schön sagen, Defense and Def, halt auch weiter ausbauen. Es geht also wirklich darum, dass man jetzt nicht nur sagt, okay, ich hab jetzt meine Firewall und ich hab mein Endpoint Protection, jetzt bin ich fertig, sondern halt wirklich auch hingeht, was mache ich in Bezug auf E-Mail, was mache ich in Bezug auf Cloud Security, was mache ich in Bezug auf Remote Management, Remote Security, was mache ich in Bezug auf diverse andere Dinge, die diese holistische Sichtweise auf das Gesamtsystem ergeben. Das ist halt super wichtig.

Und dann letztendlich immer wieder an die Endbenutzer herantreten. Man muss die entsprechenden Lösungen halt zusammenbringen, um Training zu machen. Man muss das Training auch ein bisschen interaktiv machen. Stichwort Phishing-Tests. Das heißt also die entsprechenden Sachen halt rausschicken, um zu gucken, wie gut oder schlecht die eigene Mannschaft solche Sachen halt erkennt. Und dann dementsprechend die Schulung halt darauf anpassen. Das ist eine sehr dynamische Umgebung. Die eine Goldlösung dafür gibt es nicht. Man muss halt wirklich immer mehr darauf achten, dass man das Gesamtbild halt sieht und nicht nur auf Technologie achtet, nicht nur auf Prozesse oder nicht nur auf Leute achtet, sondern dass man das Problem halt unter einem sehr, sehr ganzheitlichen Aspekt zieht.

Sprecher: Den gesunden Menschenverstand nicht ausschalten.

Gerald Beuchelt: Absolut. Aber auch sich nicht ausschließlich auf den verlassen. Manchmal sind Checklisten extrem wichtig. Weil der gesunde Menschenverstand vergisst dann doch der eine oder andere auch schon mal.

Sprecher: Gerald Beuchelt, Chief Information Security Officer bei Acronis. Es war mir wieder ein inneres Blumenpflücken mit dir, diesen Podcast aufzuzeichnen, Gerald. „heise meets …" – Ich hoffe, wir haben bald wieder das Vergnügen, hier im Rahmen dieser Reihe miteinander zu sprechen. Und ich bin sicher, du hast dann schon wieder irgendwas Neues ausgegraben, was man unbedingt beherzigen sollte.

Gerald Beuchelt: In jeder Zeit, ja. Wir können gerne auch mal irgendwann über darüber reden, wie man Sachen richtig priorisiert, wie man Risiken und Sicherheitsgeschichten gegeneinander abwägt, weil es gibt ja auch Risiken außerhalb der Sicherheit. Und dann immer wieder die Frage, wie kann ich das entsprechend priorisieren? Was ist wichtiger, was ist weniger wichtig? Das ist häufig ein ganz heißes Eisen, wenn man mit Vorständen, wenn man mit Aufsichtsräten spricht, was man da halt dementsprechend machen muss.

Sprecher: Teasing ist die Seele vom Programm, sagen die Radio- und Fernsehmenschen. Jetzt wunderbar geteast. Ich freue mich auf die Fortsetzung bei „heise meets …" mit Gerald Beuchelt. Herzlichen Dank, mein Lieber.

Gerald Beuchelt: Danke, Matthias. Bis später.

Sprecher: Das war „heise meets … – Der Entscheider-Talk". Sie wollen mehr erfahren? Dann besuchen Sie uns auf heise-meets.de. Wir freuen uns auf Sie.