Hard Questions: Exklusivinterview mit Deutschlands Cyberdefense Experten Thomas Kress

Thomas Kress ist einer der profiliertesten IT-Sicherheitsexperten im deutschsprachigen Raum und Geschäftsführer der Deutschen CyberKom. Nach über 25 Jahren in leitenden Rollen bei internationalen IT-Projekten gründete er sein eigenes Unternehmen, das heute unter dem Dach der Deutschen CyberKom IT-Security und Telekommunikation strategisch vereint. Als gefragter Fachautor publiziert er in führenden IT- und Wirtschaftspublikationen. Als Berater betreut er führende Unternehmen sowie Systemhäuser in Sicherheitsfragen, Infrastruktur und digitaler Souveränität. Kress stellte sich im Rahmen unserer Interviewreihe „Hard Questions“ den Fragen von LabNews Media.

Deutschland hinkt im Bereich der Cyber-Abwehr deutlich hinterher, vergleichbare Institutionen wie NSA oder GCHQ gibt es nicht. Was muss sich ändern?

Deutschland hat in den letzten Jahren zwar wichtige Schritte im Bereich Cyber-Sicherheit unternommen – etwa durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Nationale Cyber-Abwehrzentrum und die enge Einbindung in die europäische Agentur ENISA. Doch im internationalen Vergleich fehlen Schlagkraft, klare Strukturen und ausreichende Befugnisse.

Das Kernproblem liegt in der zersplitterten Zuständigkeit: Während in anderen Ländern zentrale Akteure wie die NSA oder das GCHQ klare Verantwortung tragen, verteilt sich die Cyber-Abwehr in Deutschland auf mehrere Behörden, Ministerien und föderale Ebenen. Das führt zu Reibungsverlusten und erschwert eine schnelle, koordinierte Reaktion.

Um international auf Augenhöhe zu agieren, braucht es:

1. Eine zentrale, klar mandatierte Institution, die Cyber-Abwehr bündelt und operativ handlungsfähig ist.
   
   
2. Stärkere Investitionen in Technologie und Ausbildung, um Know-how im Land zu halten.
   
   
3. Eine verbindliche Verzahnung von Staat, Wirtschaft und Wissenschaft, damit Informationen schneller geteilt und Angriffe effizienter abgewehrt werden können.
   
   

Nur so lässt sich die Kluft zwischen europäischer Koordination, nationaler Strategie und tatsächlicher Umsetzung schließen.

Gerade bei APT Angriffen dürfte bei vielen Unternehmen das Kind bereits in den Brunnen gefallen sein. Wie kann man diese Zero Day Attacks überhaupt noch nachträglich erkennen?

Bei Zero-Day-Angriffen – also der Ausnutzung bislang unbekannter Sicherheitslücken – ist die Erstabwehr naturgemäß schwierig. Tatsächlich merken viele Unternehmen erst sehr spät, dass sie bereits kompromittiert sind. Dennoch gibt es Möglichkeiten, Angriffe auch nachträglich zu erkennen:

1. Anomalieerkennung und KI-gestützte Analyse: Klassische Signatur-basierte Systeme erkennen Zero-Days nicht. Moderne Lösungen setzen daher auf verhaltensbasierte Ansätze und KI, um untypische Muster in Netzwerken, Endgeräten oder Benutzeraktivitäten zu identifizieren.

2. Threat Hunting: Proaktive Jagd nach Spuren von Angreifern im Unternehmensnetzwerk. Dabei analysieren spezialisierte Teams Logdaten, Prozesse und Speicherbereiche nach verdächtigen Artefakten.

3. Forensische Auswertung und Retrospektive: Durch die Speicherung und Analyse historischer Daten lassen sich Angriffe auch nach Wochen oder Monaten zurückverfolgen – oft über Indicators of Compromise (IoCs), die später von CERTs oder Sicherheitsanbietern veröffentlicht werden.

4. Zero Trust & Segmentierung: Auch wenn ein Angriff erfolgt ist, verhindert eine strikte Zugriffskontrolle und Netzsegmentierung, dass sich Angreifer unbemerkt lateral ausbreiten.

Letztlich geht es darum, die Verweildauer der Angreifer zu minimieren: Je schneller ein Unternehmen Anomalien erkennt und reagiert, desto geringer der Schaden. Vollständige Sicherheit gibt es nicht, aber mit einem Mix aus Technologie, Prozessen und Expertise lassen sich auch Zero-Day-Angriffe im Nachhinein sichtbar machen und eindämmen.

Die USA setzen auf offensive Cyber-Abwehr. Warum funktioniert das in Deutschland nicht?

Die USA verfolgen mit NSA und Cyber Command einen stark offensiv ausgerichteten Ansatz – sie führen nicht nur Abwehrmaßnahmen durch, sondern greifen aktiv gegnerische Infrastrukturen an, um Bedrohungen frühzeitig auszuschalten. In Deutschland funktioniert das so nicht, und zwar aus mehreren Gründen:

1. Rechtliche Rahmenbedingungen: Die Bundeswehr darf nur im Verteidigungsfall und unter engen Voraussetzungen im Cyberraum aktiv werden. Zudem gilt in Deutschland eine strikte Trennung zwischen innerer und äußerer Sicherheit – was Polizei, Geheimdienste und Militär tun dürfen, ist klar voneinander abgegrenzt. Offensive Cyber-Operationen würden hier schnell an rechtliche Grenzen stoßen.
   
   
2. Politische und gesellschaftliche Kultur: Deutschland setzt traditionell auf Verteidigung, Rechtsstaatlichkeit und internationale Kooperation. Offensive Cyber-Schläge bergen die Gefahr von Eskalationen und stehen im Spannungsfeld von Völkerrecht und Grundgesetz – das macht die politische Durchsetzbarkeit äußerst schwierig.
   
   
3. Fehlende zentrale Strukturen: Während die USA mit dem Cyber Command eine mächtige, zentralisierte Organisation geschaffen haben, ist die deutsche Cyber-Abwehr auf verschiedene Behörden verteilt. Offensive Fähigkeiten würden hier noch schwieriger zu bündeln sein.
   
   

Das bedeutet aber nicht, dass Deutschland untätig bleibt – der Fokus liegt auf resilienter Verteidigung, Früherkennung und internationaler Zusammenarbeit. Offensive Kapazitäten werden zwar diskutiert, aber solange rechtliche und politische Fragen ungeklärt sind, wird Deutschland im Gegensatz zu den USA auf einen eher defensiven Ansatz setzen.

Ein Problem für jeden Mittelständer sind filless attacks. Da nutzt die Schulung, keine Dokumente zu öffnen, wenig. Was sollte man tun?

Fileless Attacks sind besonders heimtückisch, weil sie keine klassischen Schadprogramme benötigen, sondern legitime Tools wie PowerShell, WMI oder Makros missbrauchen. Klassische Schutzstrategien wie „öffne keine verdächtigen Dateien“ greifen hier zu kurz.

Was Unternehmen tun sollten:

1. Endpoint Detection & Response (EDR/XDR): Moderne Sicherheitslösungen, die nicht nur Dateien prüfen, sondern auch Prozesse und Speicher überwachen. Sie erkennen, wenn z. B. PowerShell in ungewöhnlicher Weise genutzt wird.
   
   
2. Verhaltensbasierte Analysen: Da es keine Malware-Signaturen gibt, muss auffälliges Verhalten im Netzwerk oder auf Endgeräten erkannt werden – z. B. ungewöhnliche Speicherzugriffe oder verdächtige Prozessketten.
   
   
3. Härtung der Systeme: PowerShell, Makros und andere Skriptsprachen sollten auf das Notwendige beschränkt oder durch Application Whitelisting kontrolliert werden. „Default-Deny“ ist hier effektiver als reaktive Erkennung.
   
   
4. Zero-Trust-Architektur: Minimale Rechte, starke Segmentierung und strikte Authentifizierung erschweren es Angreifern, sich nach einer initialen Infektion auszubreiten.
   
   
5. Proaktives Threat Hunting: Gerade bei fileless Angriffen ist es entscheidend, dass Sicherheitsteams aktiv nach verdächtigen Aktivitäten suchen – nicht nur auf Alerts warten.
   
   

Kurz gesagt: Awareness allein reicht nicht. Fileless Attacks lassen sich nur durch eine Kombination aus moderner Detection-Technologie, strikten Berechtigungskonzepten und kontinuierlicher Überwachung wirksam eindämmen.

Unsere letzte Frage: welche Rolle spielt die KI bei der Cyber-Abwehr ?

Künstliche Intelligenz spielt in der Cyber-Abwehr eine immer größere Rolle, weil die klassischen Methoden – Signaturabgleich oder statische Regeln – bei modernen Angriffen an ihre Grenzen stoßen. Angriffe entwickeln sich dynamisch, nutzen legitime Tools und hinterlassen oft nur schwache Spuren.

KI hilft dabei vor allem in drei Bereichen:

1. Anomalie- und Verhaltensanalyse: KI-Systeme können riesige Datenmengen aus Logfiles, Netzwerkverkehr oder Endpunktaktivitäten auswerten und Muster erkennen, die für Menschen kaum sichtbar wären. Dadurch lassen sich selbst Zero-Day- oder Fileless-Angriffe auffinden.
   
   
2. Automatisierung und Geschwindigkeit: In der Cyber-Abwehr zählt jede Minute. KI unterstützt Security-Teams dabei, Routineaufgaben wie Alert-Filtering oder Voranalysen zu automatisieren, damit Experten sich auf die wirklich kritischen Fälle konzentrieren können.
   
   
3. Adaptive Abwehr: KI-gestützte Systeme lernen kontinuierlich dazu und passen ihre Modelle an neue Angriffsmethoden an – eine Eigenschaft, die gerade bei Advanced Persistent Threats (APT) entscheidend ist.
   
   

Aber: KI ist kein Allheilmittel. Auch Angreifer setzen zunehmend KI ein, etwa für automatisiertes Phishing oder zur Tarnung von Malware. Deshalb gilt: KI ist ein mächtiges Werkzeug, aber immer nur so stark wie die Datenbasis, die Prozesse und die Menschen, die sie nutzen.

Die Fragen stellte das LabNews Team