#26: Quanten, Deepfakes und hybride Bedrohungen – was erwartet uns 2025?

Lisa Fröhlich: Lisa Fröhlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, ich bin Unternehmenssprecherin bei Link11 und begleite euch heute wieder in die Tiefen des digitalen Kaninchenbaus Cybersicherheit. Ich freue mich, dass ihr alle wieder dabei seid und mich auf dieser Reise begleitet. Mein heutiger Gast ist Lucas Sy. Er ist Partner bei Strategy at Germany von PwC und ein Experte für Cloud- und Cyberstrategien. Mit Lucas möchte ich heute über das Thema sprechen, wie steht Deutschland im internationalen Vergleich in Sachen Cybersicherheit da und wie gut gerüstet sind wir für die Zukunft. Und wir wollen uns auch so ein bisschen damit beschäftigen, wie geht es weiter im neuen Jahr? Was sind wichtige Komponenten im Bezug auf die Cybersicherheit? Welche Rolle spielen Menschen sowohl als Mitarbeitende als auch als sozusagen Betroffene. Und eine Frage, der wir uns noch widmen wollen, ist auch das Thema digitale Transformation und wie ich eine digitale Transformation auch mit Souveränität und dem Wunsch nach digitaler Souveränität vereinbaren kann. Lucas, bevor wir sozusagen jetzt einsteigen in unser Gespräch, stell dich doch bitte unseren Hörerinnen und Hörern kurz vor.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Liebe Lisa, vielen Dank für die Intro und sozusagen auch nochmal für die Vorstellung und dass ich hier sozusagen zum Jahresauftakt mit euch gemeinsam uns mal die Cyber-Sicherheit anschauen und eine Perspektive für dieses Jahr vielleicht auch so ein bisschen absehen für die kommenden. Das ist großartig. Was verbindet mich damit Herz und Blut? Nicht nur, ich bei Strategy And, das ist unsere Strategieberatung beim PwC, also im PwC -Netzwerk, da mich den Themen Cyberstrategie und z.B. Cloud widme und natürlich auch mit meinen Kollegen im Netzwerk dort auch in den Themen Cybersecurity engen Zusammenarbeit, ob jetzt in Deutschland europaweit oder international. Der Punkt und der Hauptpunkt sind die Herausforderungen, vor denen der öffentliche Sektor steht, digitalen Transformationsvorhaben da sozusagen sicher das Ganze zu schaffen, souverän zu schaffen, sind die klaren Anforderungen, wir auch im geopolitischen Umfeld sehen, die immer wieder auf die Tagesordnung kommen. Und an der Stelle natürlich dann zu schauen, wie kann man das beschleunigen, wie kann man das aber auch in dem Sinne souverän schaffen. Ich bin selber seit 2014 in der Beratung und war vorher vielleicht so ein kleiner Sneak selber in dem Umfeld.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) im Bereich Cyber und Desinformation oder Informationen unterwegs, war Offizier bei der Bundeswehr und kennen daher die Themen auch nochmal aus einer ganz anderen Sicht, also nicht nur aus der Beratersicht, auch aus dem operativen Umfeld und das bewegt mich, ja. Also von, sag ich mal, Tag an, ob es jetzt noch in Uniform war oder sozusagen jetzt hier von außen den Kunden zu helfen, hier schnelle Erfolge zu schaffen und sagen wir sie sicher nach vorne zu bewegen.

Lisa Fröhlich: Lisa Fröhlich Ja, jetzt hast du ja die geopolitische Lage angesprochen. Die ist ja, ich würde mal sagen, so brisant wie nie. Also wir haben ja jetzt ganz aktuell Syrien als neuesten, ja, also nicht seit neuestem, aber der Bürgerkrieg ist da jetzt, scheint irgendwie vorbei zu sein, aber man weiß auch nicht genau, was passiert da jetzt. Wir haben die Konflikte in Israel, wir haben den Russland-Ukraine-Krieg. Wir haben natürlich weltweit andere sozusagen, stören Friede, die daran interessiert sind, auch die westlichen Demokratien zu schwächen. Und das geht ja mittlerweile nicht mehr ausschließlich. Und die Erfahrung hast du ja auch gemacht, sozusagen mit militärischen Komponenten oder ich sag mal mit einem militärischen Einsatz, sondern das passiert ja auch ganz, ganz viel im Cyberraum. Also viele sprechen ja von hybrider Kriegsführung. Und ja, wie siehst du das im Moment? Wie steht Deutschland im internationalen Vergleich in Sachen Cybersicherheit da? Also sind wir gut gerüstet für die Zukunft oder glaubst du, da müssen wir noch ein bisschen was tun? Also das BSI und Claudia Plattner, die haben ja sozusagen auch die Agenda, Deutschland zur Cybernation zu machen. Gehst du da mit?

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Das ist genau richtig, das ist genau der richtige Ansatz und ich will dir das vielleicht noch mal anhand von drei Punkten darstellen. Einmal was so die Fortschritte sind, aber auch was die Herausforderungen sind, was die Vorbereitung auf die Zukunft sein muss, was wir jetzt schon erkennen können und auch noch mal woran wir das tagtäglich merken. Also ich finde schon Deutschland hat sehr sehr deutliche Fortschritte gemacht, was Cyber-Sicherheit angeht.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Und sind ja auch bestimmte Maßnahmen, die wir ganz öffentlich da aufzeigen. Wenn wir uns die BSI, wenn wir uns die aber auch der anderen Organisation anschauen, wenn wir uns auch die Sensibilität in den kritischen Bereichen, der kritischen Infrastruktur anschauen, die sich natürlich mit den Angriffen, ob das jetzt durch geopolitische Risiken ist oder einfach durch eine Kriminalität, die sich auch in diesem Bereich durchzieht, oft ist es leider auch vermischt, abbildet. Trotzdem bleiben Herausforderungen. Was wir sehen, ist ein zentraler Punkt, ist eine Fragmentierung der Zuständigkeiten. Ich meine, ich bin ganz großer Befürworter auch von unserer föderalen Struktur. Allerdings sehen wir es im Cyberumfeld, dass das durchaus zu Verzögerungen bei der Entscheidungsfindung führen kann.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Und die Cyberangriffe, da musst du schnell reagieren. wir brauchen dort aktuell mehr Zeit. Und das sind letztendlich die Zeit, wo der Schaden sozusagen reduziert werden muss. Also ich glaube, das ist ein Punkt. Ich weiß, dass da viele Initiativen sind, aber auch den, sollte weiter fokussiert werden, absolut. So in der Zusammenarbeit über verschiedene föderale Ebenen.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Was wir auch sehen, natürlich eine Abhängigkeit von privat betriebenen Infrastrukturen. glaube, das BMK hat erst neulich festgehalten, dass über 80 Prozent der kritischen Infrastruktur privat betrieben werden. da ist, ehrlicherweise sind da variierende Sicherheitsstandards. Bei den einen mag das schon sehr, ausgereift sein und andere haben auch da im Privatumfeld noch was zu tun.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Und dann sehen wir als dritten Punkt natürlich eine Herausforderung mit veralteten IT-Systemen. Ob das jetzt öffentliche Institutionen sind, die dort sozusagen noch nicht mit allem up to date arbeiten und ehrlicherweise auch ein moderates Digitalisierungstempo, was wir in Deutschland aufzeigen im Vergleich zu anderen europäischen Ländern, das sind auf jeden Fall klare Herausforderungen. Was müssen wir da tun sozusagen? Die Vorbereitung auf die Zukunft?

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) und welchen Beitrag leistet dort dann auch die Cybersicherheit. Also zum einen digitale Infrastrukturen als Herzstück, die müssen erneuert werden, da muss investiert werden, ehrlicherweise. Und man kann sich natürlich da nochmal bestimmte kritische Bereiche, sei es Energie- oder Gesundheitswesen, anschauen, die man sich priorisiert vornimmt. Jetzt ist das eine sozusagen die Technik, die drunter liegt. Das nächste ist sozusagen aber auch die Human Power, unsere Fachkräfte. Wir sehen den Fachkräftemangel und der ist bestätigt. Ich glaube allein in der IT, da zitiere ich jetzt auch nochmal die Bitkom an der Stelle, fehlen 149.000 IT-Spezialisten.

Lisa Fröhlich: Lisa Fröhlich Mhm, der Mensch.

Lisa Fröhlich: Lisa Fröhlich Ja, ja, das ist eine Menge.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Und das ist einiges und da braucht es auch an der Stelle eine strategische Initiative zur Ausbildung und auch Anwerbung von Talenten, gerade wenn wir uns nochmal den Bereich Cyber-Sicherheit anschauen. das mit einzubringen. Das kann ja auch integriert sein bei den IT-Spezialisten, aber das ist in dem Punkt zwingend notwendig. Und warum merken wir das und an welchen Stellen im Alltag? Ich glaube, was wir feststellen werden, sind zum einen erhöhte Sicherheitsmaßnahmen, also ob das jetzt verbesserte Sicherheitsprotokolle sind, ob jetzt im öffentlichen Dienst oder kritischen Infrastrukturen, da einfach genauer drauf zu schauen und auch einen besseren Blick zu haben. Und das andere, wir haben immer Technik und Mensch ist eine gesellschaftliche Sensibilisierung, auch da eine Schulung gegen Desinformation. Jetzt sind in diesem Jahr

Lisa Fröhlich: Lisa Fröhlich Hm, hm.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) sehr kurzfristig ja die Wahlen. Und auch da sehen wir links und rechts immer wieder bestimmte Angriffsvektoren, wo dort Dinge passieren, wie gezielt falsch Informationen gegeben wird oder einfach nur Teilinformationen. Damit fängt es an, hier sozusagen im weiteren Bereich aufzuklären, zu schulen.

Lisa Fröhlich: Lisa Fröhlich Ja, Fake News. Ja, Deepfakes. Ja. Ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) damit man das schnell erkennen kann, auch das digital zu unterstützen, auch einfach das in der breiten Gesellschaft, die Widerstandsfähigkeit von uns gegenüber den hybriden Bedrohungen, weil die kommen nicht nur alleine technisch, die kommen immer in einer Mischung, damit wir da stark aufgestellt sind.

Lisa Fröhlich: Lisa Fröhlich Ja, das sind unheimlich viele verschiedene Facetten. Also auf der einen Seite, wie du es da angesprochen hast, das ist so diese Desinformationskampagnen und wie gesagt, Hilfe von künstlicher Intelligenz sind ja solche Deepfakes, wirklich solche Desinformationskampagnen, die bewusst auch gefahren werden von politischen Gegnern und bewusst auch eingesetzt werden, bestimmte Strukturen zu destabilisieren. Das kannst du fast nicht mehr mit dem bloßen Auge erkennen. Also wir leben ja wirklich in einer Zeit, in der man nicht mehr seinen Augen und Ohren trauen kann. das ist auf der einen Seite meines Erachtens eine sehr, große Herausforderung. Auf der anderen Seite hast du ja auch den Föderalismus angesprochen. Wie gesagt, ich habe gerade, als du darüber gesprochen hast, gedacht, so ich stelle mir einen groß angelegten Cyberangriff auf beispielsweise das Stromnetz in Deutschland vor, wie 2014 geschehen in der Ukraine, und dann eine Ministerpräsidentenkonferenz dazu wie zu Corona-Zeiten. Also das halte ich für nicht sinnvoll und auch für nicht realistisch. Sollte es jemals zu so einem Vorfall kommen, was wir beide natürlich nicht hoffen, dann

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Ich glaube, das muss...

Lisa Fröhlich: Lisa Fröhlich dann glaube ich, und das ist ja auch so Thema, wobei es eben bei der Cybersicherheit ja auch ankommt, da kommt es ja eben darauf an, dass du relativ schnell einen sehr fähigen Krisenstab zusammenstellst, unabhängig davon. Du musst verschiedene Kompetenzen zusammenführen und hast eben natürlich das Problem, gegebenenfalls jetzt Stromnetze, die sind ja deutschlandweit verteilt, da sind mehrere Bundesländer betroffen. Also wie gesagt toi toi toi, ich hoffe natürlich nicht, dass uns jemals so was passiert, aber you never know. Und ich glaube tatsächlich, dass das natürlich zum einen, da sicherlich NIS-2, also einfach die Regulierungsbestrebungen der EU so ein bisschen Schub drauf geben, weil einfach die Notwendigkeit, sich schon grundsicher in puncto Cybersicherheit zu machen als Unternehmen einfach eine breitere Basis bekommt sozusagen. Und du hast es ja auch angesprochen, 80 Prozent der Infrastrukturen sind in Privathand. Kritische Infrastrukturen sind ja auch von Dienstleistern, von der Lieferkette abhängig. Jetzt hatten wir in in NRW einen großen Cyber-Vorfall 2024. Da konnten 70 Kommunen fast ein Jahr lang irgendwie nicht gescheit arbeiten. Das liest man ja ständig. Wenn du jetzt mal so in die Glaskugel guckst, weil das macht man ja gerne so am Anfang des Jahres, was sind denn so deine Vermutungen, welche neuen Technologien und Trends sehen wir in der Cybersicherheit in den nächsten Jahren. Gibt es da irgendwas, wo du sagst, das wird auf jeden Fall ein Riesending oder glaubst du, dass wir mit KI in Quantencomputing die großen Themen erst mal abgehakt haben?

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Die großen Worte hast du schon genannt und ich glaube auch...dass wir grundsätzlich auch in Deutschland sehr gut aufgestellt sind, wenn es darum geht, Krisen zu managen. Ich glaube nur, dass in der Schnelligkeit, wie wir das hier benötigen und in diesem hybriden Ansatz, dass es unheimlich wichtig ist, das sozusagen zu erproben, auch Technologien relativ schnell einzusetzen und die da mal irgendwie mit einzubeziehen, vielleicht einfach auch einen administrativen Aufwand oder koordinierten Aufwand, wenn es halt eben in einem Technologien helfen, Entscheidungen zu unterstützen, zu beschleunigen. Das ist, glaube ich, ein Punkt, wo das dann auch sehr gut ineinandergreifen kann. Was ist es konkret in den technologischen Entwicklungen? Du hast jetzt einige genannt. Also AI oder KI und machinelles Lernen ist ein wesentlicher Punkt. Ich sehe noch in weiteren Deepfake-Technologien, auch die haben wir gesehen. Ich mache das sozusagen mal gleich in so ein paar,

Lisa Fröhlich: Lisa Fröhlich Hm, ja, ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) die wir natürlich sehen, weil ganz Glaskugellesen so ein paar Datenpunkte brauchen wir schon. Und auch Quantum Computing tut sich einiges, da glaube geht es eher noch mal darauf, wie setzt du das fangen wir an mit, ich würde sagen, erstmal auf den Blick KI zu schauen. Worum geht es eigentlich da, schneller in diese Automatisierung zu kommen und damit dann auch, sei mal da, in den Technologien sowohl

Lisa Fröhlich: Lisa Fröhlich Das war schwierig. Ja klar.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) sehen wir, das kann das Angreifern als auch Verteidigern helfen, also auch zu wissen, wie wird es genutzt, die Angreifer, die KI nutzen, sage ich mal, spezifisch Schwachstellen zu identifizieren, auch die Angriffe in Echtzeit zu optimieren. Und auf der anderen Seite, was kann man als Verteidiger machen, wirklich KI dazu nutzen, schnell diese Anomalien zu sehen, gerade wenn es große Datenmengen geht und dann auch automatisiert bestimmte Bedrohungen einfach schon

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) abwenden zu können. Das ist glaube ich noch ein Schritt und ich meine, das hängt auch so bisschen davon ab, wie digital man an den Stellen unterwegs ist, aber für die Punkte, wo es absehbar ist, ist das notwendig und es gibt ja auch schon erste Unternehmen, die KI-basierte Sicherheitslösungen einsetzen, in Echtzeit Cyberbedrohungen zu sehen und dann auch reagieren zu können. Ich glaube, das ist einfach ein Punkt, sich das durchsetzen wird, aber ich bin ganz sicher sozusagen mit

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Gen-AI und der Verbreiterung im täglichen Leben, dass es sich in diesem Umfeld sehr schnell weiterentwickeln wird. Was haben wir noch? Alles den Bereich Deep Fake oder Täuschung, Verfälschung. Auch im Prinzip etwas, was es

Lisa Fröhlich: Lisa Fröhlich Ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) seit jeher gibt, jetzt hier im Technologiebereich.

Lisa Fröhlich: Lisa Fröhlich Ja, gab es ja auch schon im Kalten Krieg, dass solche Mittel eingesetzt wurden, nur sie wurden eben nicht in der Art und Weise in einem ganz anderen Format genutzt, sagen wir es mal so.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Genau. Wir sehen es mittlerweile, dass es für uns und auch mich persönlich manchmal echt schwierig ist, auch dann da genau zu unterscheiden oder man muss genauer hinschauen, weil wir auch sozusagen in einer schnellen Medienwelt leben, realistisch gefälschte Videos und Audiodateien zu sehen, weil das wird in Zukunft sehr, schnell und einfach, wird es schon erstellt und es wird nochmal zunehmen.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, ja, ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Also wie kann man die Verbreitung von Fehlinformationen besser und schneller einschätzen und damit sozusagen auch eine Unterstützung bieten? Also da nur noch mal als Beispiel, ich glaube wir erinnern uns alle an Pandemiezeiten, wie sich die Desinformationskampagnen sehr sehr schnell verbreitet haben. Welche Angst auch entstanden ist, Unsicherheit, Verwirrung über den Virus oder das Virus, über Impfstoffe.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Reaktionen sozusagen einzelner beteiligter und das zeigt, dass diese hybriden Bedrohungen und dann gezielten Informationen, Fehlinformationen, Falschinformationen wirklich in solchen globalen Krisen ausgenutzt werden können, auch einfach gesellschaftlich dort noch eine Störung zu verursachen.

Lisa Fröhlich: Lisa Fröhlich Ja, ich hatte kürzlich einen Vortrag gehört von jemandem, der beim Bundesnachrichtendienst arbeitet, der hat gesagt, im Krieg verliert die Wahrheit zuerst. Also...

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Ja, genau, leider Gottes ist es, wir mal, stehen wir da vor, aber ich glaube, es ist besser, das mit einer Klarheit zu sehen und zu realisieren und dort dann auch anzusetzen. Auch das sozusagen da, ich glaube, es ja noch mal mit einem Finanzvorstand, sozusagen, oder ein Deep Fake von einem Finanzvorstand, wo ein Mitarbeiter von einem internationalen Konzern dort angesprochen wurde und

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) wurde, das waren auch nicht unerhebliche Summen, die dann da überwiesen worden sind im Nachgang. Also wir sehen, es betrifft sozusagen jetzt nicht nur die Bevölkerung, eine Verunsicherung der Bevölkerung, sondern es kann sich auch direkt auf ein Unternehmen und auf die Mitarbeiter auswirken. Keiner geschützt. Jetzt haben wir noch den dritten Punkt.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja. Ja.

Lisa Fröhlich: Lisa Fröhlich stimmt.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Quantum Computing, nochmal wieder ein ganz anderer Bereich, wichtig in der Cyber-Sicherheit. Wie läuft denn eine traditionelle Verschlüsselung ab und welche Leistungsfähigkeit haben da die zukünftigen Quantencomputer, die einfach heute gängige Verschlüsselungsverfahren aushebeln und aushebeln werden? Wir werden wahrnehmen, dass es mehr sogenannte Store-Now-Decrypt-Later-Attacken gibt. Wir wissen, dass in vielen Bereichen die Daten Kern und auch Monetarisierung oder auch ein sehr wichtiger mit sehr vielen Personen bezogenen Informationen...

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) sehr schützenswertes Gut sind, in welcher Hinsicht auch immer, ob das jetzt unternehmerisch ist, gesellschaftlich oder auch aus einer Sicherheit, nationalen Sicherheit. Die müssen langfristig sicher aufbewahrt werden und die können ehrlicherweise heute schon verschlüsselt abgegriffen werden, also das ist Szenario und dann werden sie behalten und später entschlüsselt, sobald der Quantencomputer leistungsfähig ist. Gut ist jetzt sozusagen ein Risiko.

Lisa Fröhlich: Lisa Fröhlich Mhm, ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) was wir aufzeichnen, wo wir aber auch wissen aus der Vergangenheit, dass das tatsächlich passiert ist, dass Daten einfach erstmal abgegriffen werden. Und an dem Punkt sollte man halt schauen, dass man sich in den Verschlüsselungsverfahren genau anschaut, wo steht man da, also auch vielleicht wie unterschiedlich ist das im Unternehmen. Und ich meine, wir haben über NIS-2 gesprochen, aber zum Beispiel die US-Regulierungsbörde NIST, die hat jetzt auch erst kürzlich die ersten Verschlüsselungsverfahren zugelassen, wenn ich das richtig in Erinnerung habe. Die sind noch nicht flächendeckend im Einsatz, aber das ist, glaube ich, ein Punkt. Also wenn man vor der Frage steht, sich das nochmal anzuschauen im Unternehmen oder in der Verwaltung, dort direkt sozusagen die neueste Technik auch.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) für die Dinge, die wirklich sensibel sind, dann einzusetzen. vielleicht nochmal so bisschen auch, was wir noch so an Trends sehen. Wir hatten vorhin ja schon darüber gesprochen über die sogenannten Hybriden, also Multivektor-Angriffe. Also das wird sowohl eine DDoS-Attacke, zusätzlich eine Malware-Attacke passiert, ohne Desinformation noch mit koordinierten Kampagnen. Und das kann relativ schnell

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) ob es jetzt in bestimmten Bereichen in der Gesellschaft ein Unternehmen ist oder sozusagen der Verwaltung außer Kraft setzen. Und da muss man schauen, wie man halt eben solche schweren Angriffe besser abwerden kann, weil da auch verschiedene Ebenen dann. Wir haben über die Infrastruktur gesprochen, wir haben über den Human Factor gesprochen und letztendlich das Vertrauen auch, was das Ganze bietet. Und nicht zuletzt, ich meine auch das ist jetzt

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Das ist ein Trend, der schon lange erkennbar war, schon seit, ehrlicherweise, relativ Tacheles der Krim-Annektion von 2014, wo sozusagen in der hybriden Kriegsführung tatsächlich auch militärische Aktionen, Cyberangriffe und Desinformationen genutzt worden sind. Ohne dass man jetzt sozusagen, ist natürlich immer eine Frage der Definition von, sei mal, kriegerischen Handlungen, das weiß ich aus sozusagen

Lisa Fröhlich: Lisa Fröhlich Mhm, ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) meiner vorherigen Zeit, aber auch in dieser hybriden Schwelle der Bedrohungen zu bleiben. Das ist das eine dieser Multivektorangriffe, das andere sind auch einfach Verschleierungstechniken, die Rückverfolgung zu erschweren. Also wie nutzt du Proxy-Server, verschließende Kommunikation, anonyme Netzwerke zu nutzen und das ist für die Verteidiger dann schwierig.

Lisa Fröhlich: Lisa Fröhlich Ja, sehen wir auch ganz oft.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) weil du das schnell zuordnen musst, du willst auch reagieren. Das macht es nicht einfacher. Und deswegen, glaube ich, müssen, wenn wir wissen, dass die Angreifer sich da anders aufstellen, in der Verteidigung Technologien, Strategien und sozusagen ein Ineinandergreifen von verschiedenen Ebenen, Infrastruktur, Plattform, Technologie und Human Power besser miteinander agieren.

Lisa Fröhlich: Lisa Fröhlich Ja, Human Power, das ist ein gutes Stichwort, das leitet so ein bisschen über in meine nächste Frage, weil ich glaube tatsächlich, dass auf der einen Seite der Mensch ja oft so als der größte Risikofaktor betrachtet wird in so einer, ja, Cyber, in dieser Cyberwelt, dass der quasi das schwächste Glied in der Kette ist und dass da eben die gezielten Cyberangriffe häufig funktionieren. Und auf der anderen Seite ist es ja so, dass der Mensch trotz allem ja auch sozusagen die allererste Verteidigungslinie sein kann. Weil natürlich, je besser wie unsere Mitarbeitenden schulen, je besser wir Aufklärung betreiben, je früher wir meiner Meinung nach mit Cyber-Sicherheits-Aufklärung beginnen. Und das fängt für mich spätestens in der Grundschule an. Da muss es in Zukunft einfach Projekte geben oder das muss in den Lehrplänen integriert werden. Aber ich meine, Wirtschaft sollte eigentlich auch schon lange im lehrpläne integriert sein, meines Erachtens. Das hat auch nicht stattgefunden. Das deutsche Schulsystem steht auf einem anderen Blatt. Das würde jetzt hier an dieser Stelle definitiv zu weit führen, diese Diskussion dahin zu lenken. Aber ich glaube tatsächlich, dass die menschliche Komponente ein unheimlich wichtiger Faktor ist in Bezug auf Cybersicherheit und gerade auch im Hinblick auf die Zukunft und wie mit bestimmten Dingen umgegangen werden kann. Du hast den Mangel an Fachkräften angesprochen. Also wir kommen nicht umhin, uns zu überlegen, wie kriegen wir möglicherweise, weil KI den ein oder anderen Job potentiell ersetzt, wie kriegen wir es hin, dass wir sozusagen da vielleicht auch Menschen für die Cybersicherheit als Quereinstellungen begeistern. das ist ja was. Ich bin ja auch eine Quereinsteigerin in der Cybersicherheit und ich bin total fasziniert und bin happy, dass ich sozusagen meine zweite berufliche Lebenshälfte wahrscheinlich in diesem Bereich verbringen darf und kann dafür auch nur Werbung machen. Also seid mutig, geht da rein und traut euch. Es ist mega spannend und man muss auch nicht coden können und man muss auch kein Diplom in Mathematik haben. Also das ist nicht erforderlich. Wie siehst du das, wenn wir so diese ganze Gemengelage, die du jetzt so schön geschildert hast, zusammenziehen? Wie wichtig ist da die menschliche Komponente im Bereich Cybersicherheit?

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Sie ist schon erheblich. Ich versuche es, die Punkte, die du angesprochen hast, vielleicht nochmal an ein, zwei Punkten zu verdeutlichen. Einmal sind wir Menschen immer, sitzen wir hinter der Technik, hinter der Technologie. Es ist immer ein Zusammenspiel. Ein Angriff schaut sich immer an, ob das eine Schwachstelle sein kann.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Und wir sehen ja, dass sozusagen auf das menschliche Verhalten hier gezielt abgezielt wird. Also mit Fishing-Angriffen, Social Manipulation. da hilft es, und das hast du auch schon richtig gesagt, zu schulen, zu sensibilisieren. Also einfach...

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) alle Punkte bei uns zu stärken. Da sind wir gut drin, glaube ich auch. Da ist der Mensch einfach sehr gut zu lernen, schnell zu lernen, auch das mit aufzunehmen und das immer zu reduzieren. Was heißt es, Stärkung unserer Cyber-Sensibilität, frühzeitig Bedrohungen zu erkennen, ein gutes, geschultes Personal zu haben? Das einfach dann die Reaktionszeit verkürzt, das dann auch den Gesamtschaden minimiert. das zweite ist auch eine starke und gute Sicherheitskultur. Also die muss auch etabliert sein, dass es allen bewusst ist, dass man dann auch im Falle der Fälle, in einer Krise bestimmte Protokolle, wie man so schön sagt, oder bestimmte Schritte auch einhalten kann und dass man sich auch kontinuierlich verbessert.

Lisa Fröhlich: Lisa Fröhlich Mmh, ja, ja.

Lisa Fröhlich: Lisa Fröhlich Ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Das geht in der Breite, wenn man sich jetzt auf die einzelnen Fachkräfte im Cyber-Sicherheitsbereich anschaut. Also eine Ausbildung, Gewinnung qualifizierter Fachkräfte. Der Fachkräftemangel ist einfach eine ernsthafte Herausforderung. Jetzt können wir eins machen, man kann jemanden gewinnen, kann jemanden requalifizieren und ich glaube auch, selber da auch die Stärke einzuräumen, dass man das kann. Und von dir deswegen finde ich es auch ein super Schritt. Ja, Women@Cyber brauchen wir glaube ich auch noch viel mehr das zu tun sozusagen und das können wir alle sozusagen, wo wir jetzt länger in dem Bereich schon arbeiten, den anderen nicht nur Mut zu geben, sondern sie da auch weiter zu qualifizieren und Dinge weiter zu transportieren. Nicht nur durch Open AI oder Gen AI, sondern auch im tatsächlichen Doing. Ich glaube, das sind wichtige Themen, die da ineinander spielen.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lisa Fröhlich: Lisa Fröhlich Ja, jetzt würde ich gerne sozusagen zum Abschluss nochmal auf die digitale Transformation in Kombination mit der Souveränität kommen, weil das finde ich auch ein hochspannendes Thema. Und das ist ja so, an vielen Orten wird ja immer von der digitalen Souveränität gesprochen. ich weiß nicht genau, also ich bin sehr gespannt, wie sich manches entwickeln wird. Jetzt auch gerade im Hinblick auf, du hast die neu anberaumten, sehr kurzfristigen Bundestagswahlen angesprochen. Donald Trump wird sozusagen im Amt vereidigt, glaube ich, Anfang Januar, wenn mich nicht alles täuscht, oder im Januar 2025. Und das wird sicherlich auch nochmal ein bisschen was mitbringen, weil ja auch gerade so eine digitale Souveränität in manchen Teilen, finde ich, immer ein bisschen schwierig ist, weil natürlich die Welt ja total vernetzt ist und gerade Digitalisierung ist ja was, was ohne Vernetzung gar nicht auskommt. wie kann man sozusagen die digitale, agile digitale Transformation mit dem Anspruch auf Souveränität vereinbaren? Wie geht es?

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Ich glaube, die Frage stellen sich momentan viele und wir sehen über die Projekte, dass da sehr gute Ansätze, ob im öffentlichen Sektor bei bestimmten IT-Dienstleistern oder auch aus der Industrie sind und man da auch noch enger zusammenrückt.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Souveränität ist ja auch ein politisch geprägter Begriff. Von daher fällt das manchmal dann schwer, wenn man das dann herunter bricht in einzelne ganz klare Anforderungen, sagen wir mal, Line-by-Line-Item aufzuzeigen. Aber ich versuche es vielleicht noch bisschen konkreter zu machen. Ich glaube, das eine ist der Anspruch auf Souveränität und das andere auch sozusagen eine Balance zu haben zwischen der Flexibilität und Vertrauen und auch einer Kontrolle. Was wir brauchen, was du auch gesagt hast, wovon wir kommen, ist, dass wir eine schnellere, agilere Transformation brauchen. Wir haben über die IT-Infrastrukturen gesprochen, also flexible IT-Infrastrukturen zu nutzen. Eine Technologie ist die Cloud-Technologie, dass die genutzt wird und auch weitflächig primär eingesetzt wird. Aber wie schaffst du das in der Balance hin?

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) natürlich mit einer gewissen Multicloud-Strategie, so nennen wir das, sich von einer bestimmten Abhängigkeit von bestimmten Anbietern noch mal zu reduzieren und gleichzeitig vielleicht auch noch mal einen weiteren Einsatz zu schaffen, diversifizierte Cloud-Lösungen zu schaffen. dass man sich das sozusagen, dass man auch handeln kann, sozusagen nicht im Vendorlock-In ist, sondern bestimmte Dinge sehr bewusst trifft und auch mit

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) bestimmten Anbietern sehr bewusst macht, dann eine Freiheit hat, ob es jetzt eine unternehmerische oder eine organisatorische Freiheit hat, zu wechseln, aber auch Redundanzen zu schaffen, einfach die Resilienz zu erhöhen.

Lisa Fröhlich: Lisa Fröhlich Vendor-Lock für alle, es nicht verstehen, das ist quasi, man ist gebunden an einen bestimmten Dienstleister und kann nicht raus aus den Verträgen oder ist quasi abhängig von denen.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Genau.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Genau, die Abhängigkeit, deswegen wir stehen ja sozusagen auf allen Seiten mit allen im Kontakt. Ich verstehe natürlich auch, wenn du etwas aufsetzt und das jetzt auf 20 Anteile verteilt, dann wird es unheimlich schwierig, das zu managen. Dann brauchst du wahrscheinlich so eine Art Agent oder Broker für deine Cloud. Aber diese Technologien sind aufgebaut worden, werden noch weiter verbessert und

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Ich erwarte mir da in der Zukunft, dass es noch besser geht, dort eine Entscheidungsmöglichkeit zu haben.

Lisa Fröhlich: Lisa Fröhlich Mmh, ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) für Europa vielleicht auch nochmal und Deutschland glaube ich immer. Woher kam das sozusagen aus einer politischen Diskussion hier, die nationalen IT-Technologien, die europäischen IT-Technologien stärker zu fördern, dass man halt eben auch selber, sei mal da wettbewerbsfähig bleibt, Ob das jetzt Open Source Lösungen sind und das ist jetzt nicht nur einfach Free Coding, sondern das sind, ich mal,

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Wirtschaftsunternehmen, dahinterstehen, einfach proprietäre Systeme zu reduzieren. Aber natürlich genauso auch so Zusammenspiel zu haben von internationalen großen Anbietern, die über Jahrzehnte jetzt da auch investiert haben und da auch sehr, sehr starke Angebote haben, die einem natürlich helfen, schnell da auch einen digitalen Fortschritt zu haben, aber gleichzeitig in Europa mithalten zu können mit nationalen oder europäischen Angeboten. Nehmen wir mal irgendwie, gibt da einige wie eine Staggit oder eine Ionos, auch souveräne Alternativen zu haben. Und dann immer die Wahl zu haben, was brauche ich jetzt hier, brauche ich einen internationalen Anbieter mit einer langen Historie und vielleicht bestimmten besonderen Stärken, brauche ich vielleicht noch einen nationalen, europäischen Fokus oder bräuchte vielleicht auch im Wechselspiel, vielleicht auch eine Konstellation zusammen. Also das an der Stelle, die die lokalen Kompetenzen und Infrastrukturen auszubauen. Da auch noch mal zu schauen, was sind die kritischen Bereiche. Auch da sicherlich unsere öffentliche Verwaltung ist eine, du hast angesprochen, sozusagen mit dem Cyberangriff auf die Kommunen und einer langen

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) offline Zeit und auf der anderen Seite denke ich es auch, ja sind es auch Bereiche wie Verteidigung und Gesundheit. Und dann natürlich noch mal zu schauen, wie diversifiziere ich das Ganze, welche Alternativen habe ich da und wie schaffe ich für mich, ob es jetzt eine öffentliche Institution ist und da sicherlich auch die Dienstleister oder auch ein

Lisa Fröhlich: Lisa Fröhlich Ja, das glaube ich auch.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) und wie ein technologisches Ökosystem, das ich bestmöglich einsetze.

Lisa Fröhlich: Lisa Fröhlich Jetzt zum Schluss. Deine Top 3 Risiken für die Zukunft.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Genau, also ich würde mal so auf die kurzen mittelfristigen Risiken eingehen, so in den nächsten fünf Jahren und vielleicht neben den Top 3en würde ich dann vielleicht nochmal ein paar längerfristige mitgeben. Also das eine haben wir glaube ich schon benannt, sind die hybriden Bedrohungen, politische Manipulation, Desinformationskampagnen und Cyberangriffe, wie wir sie jetzt sozusagen im Umfeld der Wahlen

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) manchmal indirekter, manchmal an anderen Stellen vielleicht auch direkter wahrnehmen. KI-Technologien wie Deepfakes, die sozusagen dann das Ganze noch untergraben, das haben wir auch angesprochen. Das Zweite, was sozusagen da mit reingeht, auch, und das ist Spiel sozusagen in diesen gesellschaftlichen Punkt rein, der auch Cyber betrifft. Also eine Polarisierung, irgendwie auch Verstärkung von wirtschaftlichen Unsicherheiten und Spannungen, die dann auch genutzt werden können, ganz klar halt eben in den hybriden Desinformationskampagnen, dort für Spaltung zu fördern. dritte Risiko, haben wir auch schon gesagt, ist im Prinzip der Fachkräftemangel. Also hier sind kritische Lücken und die brauchen wir unheimlich und ob wir sie jetzt durch eine fortgeschrittene Technologie und Technologieeinsatz vielleicht auch

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) verkleinern können oder ob wir uns breiter umschauen und wie wir die, wenn man im breiteren Umfeld Mitarbeiterinnen, Mitarbeiter, Bevölkerung da besser auf den Stand bringen, ist glaube ich ein wichtiger Punkt. Vielleicht noch so ein längerfristiger Punkt oder längerfristige Risiken, die wir auch angesprochen haben, auch nochmal zusammenfassend, ist ehrlicherweise auch da wirklich Datensicherheitsrisiken durch Fortschritt im Quantum Computing. Also Gefahr einfach von einer vollständigen Dekryptierung von den traditionellen Verschlüsselungen. Das muss man ehrlicherweise heute schon angehen, rückwärts gedacht, damit man da auch in der längerfristigen, auch es jetzt noch nicht in den ersten nächsten fünf Jahren passiert, aber you never know, vielleicht passieren da auch der technologische Fortschritt, irgendwie der Durchbruch schneller. Und das sollte man aufgeweckt sein. Deswegen, was würde ich empfehlen? Vielleicht noch mal zum Schluss. Kritische Infrastrukturen abzusichern, also widerstandsfähige IT, Energieinfrastrukturen zu schaffen, integrierte Frühwarnsysteme und auch wirklich diese Reaktionsmechanismen zu koordinieren. Dann die Cyber Security Belegschaft und auch insgesamt die Belegschaft zu qualifizieren, stärker, schneller darin auszubilden, auch modern in einer modernen und Weise, nur als letzten Sicherheitscheck, sondern das zu integrieren. In der Entwicklung haben wir die DevSecOps, vielleicht in den Security Operations das schneller mit einzubeziehen. Die Resilienz zu stärken in der Gesellschaft, also Kampagnen zur Förderung von Medienkompetenz, Netzwerkbildung auch zwischen Regierung, Technik und Unternehmen und letztendlich auch die Sicherheitsstrategien anzupassen gegenüber zukünftigen Bedrohungen, sei es jetzt irgendwie Quantum Computing, sei es KI, aber auch die IT-Infrastruktur.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja.

Lisa Fröhlich: Lisa Fröhlich Ja, super. Vielen, vielen lieben Dank, Lucas, für deine spannende Ausführung und den Einblick in die sozusagen aktuelle und zukünftige Lage, was die Cybernation Deutschland angeht. Ja, wie ihr gehört habt, es bleibt weiterhin spannend. Es bleibt turbulent. Macht euch schlau. Ja, bleibt am Ball. An dieser Stelle bleibt mir wie immer nur zu sagen, keep calm and get protected. Wichtiger denn je, würde ich sagen. Ich bin gespannt, was 2025 so noch mit sich bringt. Also vielen Dank fürs Zuhören. Wenn ihr euch einbringen wollt, dann meldet euch über unsere Social-Media-Kanäle. Ansonsten lasst gerne ein Like oder ein Abo da. Und wie gesagt, bis zum nächsten Mal. Macht's gut. Ciao.

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Und ich wünsche euch einen guten und sicheren Start ins Jahr 2025. Uns allen!

Lisa Fröhlich: Lisa Fröhlich Ja, danke dir, Lucas. Bis dann! Tschüss!

Lucas Sy (Strategy&): Lucas Sy (Strategy&) Tschüss.