Sicherheit mit Weitblick

EHZ austria: Viele kleine Unternehmen glauben immer noch, sie seien kein Ziel für Angreifer.
Matthias Malcher: Das ist ein Irrglaube. Kleine und mittlere Unternehmen sind in Österreich sehr wohl ein attraktives Ziel für Cyberkriminelle. Laut der Studie ‚Cybersecurity in Österreich 2025‘ von KPMG und weiteren Erhebungen sind bereits rund 32 % der Unternehmen innerhalb der letzten fünf Jahre Opfer von Cyberangriffen geworden – Tendenz steigend. Das Allianz Cyber Risk Barometer 2025 bestätigt, dass Cyberangriffe als das größte Geschäftsrisiko für Unternehmen gelten. Im Bereich Ransomware zeigt das Bundeslagebild Cybercrime 2024 des deutschen Bundeskriminalamts, dass rund 80 % der von Ransomware betroffenen Unternehmen KMU sind. Zudem sehen wir zunehmend Extortion-Angriffe. Dabei werden nicht nur Daten verschlüsselt, sondern gestohlene Daten zur Erpressung angekündigt oder veröffentlicht. Solche Methoden erzeugen enormen Druck auf die Opfer, weshalb auch kleinere Unternehmen Gefahr laufen, zur Zahlung bewegt zu werden.

Der Dschungel an Anbietern und Lösungen ist riesig. Wie findet man da die richtige?
Malcher:Da gibt es natürlich viele Dinge, über die man sich im Vorfeld Gedanken machen muss. Das hängt stark von der jeweiligen Branche ab, vom vorhandenen Budget – nicht jeder kann sich unbegrenzt Security leisten – und auch davon, ob man eine eigene IT-Abteilung hat oder einen IT-Dienstleister beauftragen muss. Eine Risikobewertung ist auf jeden Fall der erste Schritt: Welche Assets sind wirklich kritisch, was muss ich unbedingt absichern, weil es im Ernstfall existenzgefährdend wäre? Wichtig ist außerdem, dass Security mehrschichtig aufgebaut ist. Dabei sollte man unbedingt auf die Interoperabilität der eingesetzten Produkte achten, also ob unterschiedliche Lösungen auch wirklich gut miteinander funktionieren. Wir bei Eset haben zum Beispiel ein Produktbundle speziell für KMU entwickelt, das den Großteil der technischen Anforderungen der NIS-2-Richtlinie abdeckt. Wenn man dann zusätzlich noch Services wie ein Security Operations Center kurz SOC-Service – also eine 24/7-Überwachung – dazu nimmt, muss man sich als Mittelständler eigentlich kaum noch Sorgen um die eigene IT-Security machen. Und ich denke, da sind wir als mittlerweile größter IT-Security-Hersteller in der EU für unsere Kunden eine sehr gute Wahl.

Wie erfolgreich werden Regulierungen wie NIS 2, DORA oder der Cyber Resilience Act künftig sein?
Malcher: Erfolgreich wird die Umsetzung solcher Regularien nur dann sein, wenn sie auch wirklich konsequent umgesetzt und kontrolliert wird. Nur wenn es verbindliche Prüfungen und Nachweise gibt, werden Unternehmen die Vorgaben ernst nehmen und sich entsprechend aufstellen. Die NIS 2 ist dabei im Grunde eine Mindestanforderung an IT-Security. Viele Unternehmen erfüllen heute noch nicht einmal diese Basisvorgaben. Diese Regulierungen helfen oder zwingen Unternehmen, sich intensiver mit Security zu befassen und ihre Strukturen zu verbessern. Ziel ist es ja nicht nur, Angriffe abzuwehren, sondern auch nach einem erfolgreichen Angriff weiter arbeitsfähig zu bleiben. Das heißt, Resilienz aufzubauen, um im Ernstfall nicht tagelang lahm zu liegen oder erst mit einem Incident-Response-Team herausfinden zu müssen, woher der Angriff kam. In diesem Sinne sind diese Regularien ein wichtiger Schritt, um IT-Sicherheit in Europa auf ein neues Niveau zu bringen.

Spüren Sie einen Trend hin zu mehr europäischer Souveränität?
Malcher:Ja, ganz klar. Wir haben derzeit eine sehr hohe Nachfrage nach europäischen Anbietern. Viele Unternehmen wollen sich unabhängiger von US-Herstellern machen – auch, weil die Entwicklung dort schwer einzuschätzen ist, sowohl politisch als auch preislich. Niemand kann vorhersagen, wie sich die Beziehungen zwischen den USA und Europa weiterentwickeln, ob es etwa Strafzölle auf Software geben wird oder ob US-Anbieter wie Microsoft irgendwann den Zugang zu Cloud-Services einschränken könnten. Hinzu kommt die Preispolitik: Große Anbieter erhöhen mehrfach im Jahr die Preise – das ist für viele ein Fass ohne Boden. Deshalb sehen wir eine klare Tendenz, auf EU-Lösungen zu setzen. Diesen Trend bestätigt auch eine Eset-Umfrage dieses Jahr. Von den rund 600 befragten Unternehmen im DACH-Raum haben 75 % angegeben, künftig bewusst auf europäische Hersteller zu setzen.

Oft sind die Ansprüche hoch, aber wenn es ums Geld geht, relativieren sie sich schnell.
Malcher:Niemand kann heute mit Sicherheit sagen, dass nicht irgendwann der Tag kommt, an dem europäische Daten vielleicht doch außerhalb Europas landen oder nicht mehr zugänglich sind. Wir wissen schlicht nicht, wie sich die internationale Lage entwickeln wird oder ob die Daten europäischer Unternehmen wirklich immer und überall zuverlässig zur Verfügung stehen. Genau deshalb wird das Thema „Made in Europe“ zunehmend wichtiger. Vielleicht nicht für jedes KMU, aber gerade bei großen Unternehmen sehen wir ein deutlich wachsendes Bewusstsein und eine klare Tendenz, auf europäische Hersteller zu setzen. Für uns bedeutet „Made in Europe“, dass unsere Produkte nach europäischen Datenschutzrichtlinien entwickelt werden. Die Entwicklung unserer Lösungen findet vollständig in der EU statt. Als europäischer Hersteller können wir zudem garantieren, dass unsere Produkte keine Backdoors enthalten – also keine versteckten Zugänge für Behörden oder Geheimdienste. Für unsere Kunden in der DACH-Region haben wir im vergangenen Jahr ein eigenes Rechenzentrum in Frankfurt eröffnet. Damit können Unternehmen, die unsere Cloud-Lösungen nutzen, explizit diesen Standort für ihr Hosting wählen und sicherstellen, dass ihre Daten innerhalb Deutschlands gespeichert werden. Denn selbst innerhalb der EU gibt es Unterschiede bei den gesetzlichen Rahmenbedingungen.
Aber der Preisunterschied spielt aktuell keine große Rolle. Zumindest im Endpoint-Security-Bereich liegen die Preise von europäischen, amerikanischen, israelischen oder japanischen Herstellern sehr nah beieinander. Der Markt ist extrem hart umkämpft, gerade in Deutschland und Österreich. Das führt letztlich dazu, dass die Kundinnen und Kunden von einem starken Wettbewerb profitieren und sehr gute Konditionen bekommen.

Welche Rolle spielt KI?
Malcher:KI ist definitiv interessant – für Cyberkriminelle genauso wie für die Verteidiger. Schauen Sie sich etwa den Bereich Phishing an. Bei den E-Mails muss man zweimal hinschauen, um zu erkennen, ob sie echt oder ein Angriff sind. Auf der anderen Seite hilft uns KI aber genau dabei, solche Angriffe besser zu erkennen. Gerade bei Incident Response oder der Analyse von Anomalien ist sie eine große Unterstützung. Unsere Kundinnen und Kunden, die etwa Managed Detection and Response einsetzen, profitieren davon besonders, denn so eine Lösung funktioniert nur, wenn sie 24/7 überwacht wird. Cyberkriminelle arbeiten schließlich auch nachts und am Wochenende, viele IT-Abteilungen aber nicht. Über unser SOC in Bratislava bündeln wir international Daten, die per KI und durch ein Team von Analysten ausgewertet werden. So erkennen wir neue Angriffsmuster frühzeitig. Diese Erkenntnisse fließen direkt in unsere Managed Services ein. Das Ergebnis: Ein Frühwarnsystem, das unsere Kundinnen und Kunden aktiv schützt und das zu einem Preis, den sich auch mittelständische Unternehmen leisten können.

Kann durch den Einsatz von KI der Vorsprung, den Cyberkriminelle bislang noch haben, aufgeholt werden?
Malcher: Das ist ein klassisches Katz-und-Maus-Spiel. Ganz schließen kann man diesen Vorsprung wohl nie, aber man rückt mit Hilfe von KI deutlich dichter heran und macht den Abstand spürbar kleiner. Cyberkriminelle nutzen heute meist nicht nur eine einzelne Schwachstelle, sondern eine Kombination mehrerer Sicherheitslücken und Angriffsmethoden, um in ein System einzudringen. Während der Hersteller eines Systems daher gezwungen ist, alle bekannten und unbekannten Sicherheitslücken kontinuierlich zu identifizieren und zu schließen, reicht es für einen Angreifer oftmals sogar aus, nur eine einzige dieser Schwachstellen auszunutzen, um erfolgreich zu sein. Diese Asymmetrie macht es so herausfordernd, Systeme umfassend abzusichern und jederzeit widerstandsfähig gegen Angriffe zu halten. Genau das ist die große Herausforderung: Ein System wirklich umfassend abzusichern, während der Angreifer nur einen kleinen Schwachpunkt finden muss, um erfolgreich zu sein.

Die größte Schwachstelle ist ja oft der Mensch. Man kann technisch alles absichern, und dann klickt trotzdem jemand auf den falschen Link. Wie kann man hier besser sensibilisieren?
Malcher:Man muss das Bewusstsein für Gefahren im Alltag schaffen. Awareness-Trainings sind hier sehr erfolgreich. Es gibt mittlerweile viele Anbieter, die solche Schulungen anbieten und reale Szenarien durchspielen, damit Mitarbeitende lernen, worauf sie achten müssen. Die zweite Komponente ist die technische. Gerade bei Phishing-Mails gibt es heute viele Möglichkeiten, Angriffe frühzeitig zu erkennen. Wenn eine E-Mail mit Anhang eintrifft, wird bei uns zunächst über das cloudbasierte Reputationssystem Eset LiveGrid geprüft, ob die Datei oder ihr Hash bereits bekannt ist. Ist die Datei unbekannt und enthält ausführbaren Code, wird sie automatisch an Eset LiveGuard übermittelt. Dort erfolgt die Ausführung und Verhaltensanalyse der Datei in einer isolierten Cloud-Sandbox, die sowohl physische als auch virtuelle Maschinen nutzt. Die Sandbox-Analyse untersucht das Verhalten der Datei umfassend, um neuartige und bisher unbekannte Bedrohungen sicher zu erkennen und zu blockieren. So ergänzt LiveGuard die erste Prüfung durch LiveGrid um eine tiefgehende Verhaltensanalyse, bevor die Datei am Endpoint freigegeben wird. Wird dabei Schadcode erkannt, entfernen wir die Datei automatisch aus der E-Mail, stellen die Nachricht aber trotzdem zu – mit dem Hinweis, dass der Anhang infiziert war. Das nimmt den Mitarbeitenden viel Verantwortung ab, weil sie so gar nicht erst in die Situation kommen, versehentlich einen Angriff auszulösen.

Zum Abschluss: Wie gestaltet sich die Zusammenarbeit mit dem Channel?
Malcher:Wir verzeichnen in Österreich seit einigen Jahren ein sehr konstantes Wachstum und gewinnen kontinuierlich neue Partner hinzu – vor allem mittelständische und kleinere Systemhäuser. Für unsere Partner bieten wir einen klaren Mehrwert durch kostenlose Schulungen und Zertifizierungen über unsere Trainingsplattform. Darüber hinaus haben wir ein Partnerprogramm, in dem die Partner je nach Partnerstufe selbst steuern können, welche Margen sie mit unseren Produkten erzielen. Ein besonders stark wachsender Bereich ist jener der Managed Service Provider. Immer mehr Systemhäuser stellen ihr Geschäftsmodell um und bieten ihren Kundinnen und Kunden komplette Managed Security Services an. Wir arbeiten in Österreich mit verschiedenen Distributoren zusammen, sowohl mit heimischen als auch mit deutschen, die nach Österreich liefern. Außerdem unterstützen wir die Partner mit unseren eigenen Services, die sie über uns an ihre Endkunden weitergeben können. Dadurch haben heute auch KMU Zugang zu Lösungen, die früher nur Großunternehmen vorbehalten waren. Und das zu leistbaren Konditionen.