Cyberangriffe zählen längst zu den größten Bedrohungen für Unternehmen – auch im technischen Service. Dennoch bleiben viele Organisationen angreifbar, ohne es zu wissen. Sebastian Schreiber, Gründer und Geschäftsführer des IT-Sicherheitsunternehmens SySS und vor einigen Jahren bereits Keynote-Speaker auf dem Service Congress, schildert im Interview mit ServiceToday-Redakteur Michael Braun, warum Penetrationstests oft schmerzhafte, aber notwendige Aha-Momente auslösen, wie sich der Einsatz von KI auf die Angriffsszenarien auswirkt und warum regelmäßige Tests der beste Schutz sind.
Das Interview
/ Michael Braun
Sie beschäftigen sich schon lange mit Penetrationstests – das war ja sozusagen der Ausgangspunkt Ihres Unternehmens...
/ Sebastian Schreiber
… richtig, ich habe die SySS GmbH vor mittlerweile 27 Jahren gegründet, im Sommer 1998. Aktuell beschäftigen wir 178 Mitarbeitende. Unser Kerngeschäft sind simulierte Cyberangriffe auf Unternehmen aller Art. Das heißt, meine Mitarbeitenden greifen IT-Systeme an, identifizieren Schwachstellen und erstellen im Anschluss einen Bericht. Die Kunden beheben daraufhin die Schwachstellen und haben am Ende ein sicheres Netzwerk.
/ Michael Braun
Und wie gelingt es Ihnen, ein Team dieser Größenordnung zu führen in diesem Umfeld?
/ Sebastian Schreiber:
Das ist tatsächlich eine Herausforderung. Wie halte ich 178 Mitarbeitende fit? Wie bleiben wir den echten Angreifern einen Schritt voraus? Wir investieren daher stark in Forschung und Entwicklung – das ist essenziell.
/ Michael Braun
Ist es aktuell schwierig, qualifizierte Fachkräfte zu finden?
/ Sebastian Schreiber
Im Moment eher nicht. Viele Unternehmen entlassen Mitarbeitende – das kommt uns zugute. Wer bei Europas innovativster und coolster Hackerbude arbeiten will, kommt zu uns. Zudem haben wir Lehraufträge und halten regelmäßig Vorlesungen an Hochschulen. Wir sind da sehr aktiv.
/ Michael Braun
Wie sieht ein typisches Projekt bei Ihnen aus?
/ Sebastian Schreiber
Am Anfang steht ein sogenannter Scoping Call. Dabei definieren wir die Szenarien: Wer ist der potenzielle Täter? Kommt er von außen? Ist er bereits im Firmennetzwerk? Hat er z. B. einen verloren gegangenen Laptop gefunden? Und was genau ist das Zielobjekt? Diese beiden Komponenten – Angreiferprofil und Prüfgegenstand – bestimmen den Ablauf. Dann wird Schritt für Schritt getestet.
/ Michael Braun
Was ist Ihnen bei der Durchführung besonders wichtig?
/ Sebastian Schreiber
Einerseits die formelle Korrektheit der Projektbeschreibung, andererseits die kreative Freiheit der Mitarbeitenden innerhalb dieses Rahmens. Nur so erzielen wir echte Erkenntnisse.
/ Michael Braun
Wie gut sind Unternehmen Ihrer Erfahrung nach vorbereitet?
/ Sebastian Schreiber
Überraschend schlecht. Obwohl das Thema seit 20 Jahren an Bedeutung gewinnt, haben unsere Mitarbeitenden oft schon in den ersten Minuten Erfolg – die Systeme sind angreifbar. Das ist für unsere Kunden sehr aufschlussreich.
/ Michael Braun
Wie läuft so ein Projekt dann konkret ab?
/ Sebastian Schreiber
Nach dem Auftragseingang erfolgt die Bestätigung, dann die Terminierung mit dem Kunden. Anschließend stellen wir das Testteam zusammen, planen den Personaleinsatz, führen ein Kick-off-Gespräch – und dann beginnt der eigentliche Test. Danach folgt die Berichtserstellung, Qualitätssicherung, Übergabe und eine Abschlusspräsentation. Wir arbeiten dabei sehr arbeitsteilig und effizient.
/ Michael Braun
In welchen Abständen sollten Unternehmen solche Tests durchführen?
/ Sebastian Schreiber
Immer dann, wenn sich etwas ändert – sei es die IT-Infrastruktur oder die externe Bedrohungslage. Ansonsten regelmäßig, etwa im Jahresrhythmus. Das empfehlen wir auch so in unseren Berichten.
/ Michael Braun
Welche Rolle spielt Künstliche Intelligenz dabei?
/ Sebastian Schreiber
KI hilft uns, schneller Angriffstools und Phishing-Kampagnen zu entwickeln. Dadurch können wir innerhalb der Projektlaufzeit mehr prüfen. Aber natürlich profitieren auch die Angreifer – wir denken und handeln ja wie sie.
/ Michael Braun
Welche Reaktionen bekommen Sie von Ihren Kunden?
/ Sebastian Schreiber
Oft glauben Unternehmen, sie seien bereits gut aufgestellt – und sind dann überrascht, wie viele Schwachstellen wir finden. Das ist wie in Matrix, wenn man die rote Pille nimmt: Die vertraute Realität löst sich auf. Viele denken: Meine Mitarbeitenden machen keine Fehler, mein Dienstleister auch nicht – das stellt sich oft als Trugschluss heraus.
/ Michael Braun
Gibt es auch für Sie überraschende Momente?
/ Sebastian Schreiber
Natürlich. Manchmal glauben wir, ein System sei schnell zu knacken – und liegen daneben. Oder wir erwarten große Hürden und sind nach einer Stunde schon durch. Das macht die Arbeit so spannend.
/ Michael Braun
Was empfehlen Sie den Mitarbeitenden in den Unternehmen?
/ Sebastian Schreiber
Sie sollten wachsam sein, aber nicht paranoid. Diese Balance ist schwierig, denn Angriffe werden immer glaubwürdiger. Früher fielen nur sehr naive Menschen auf Phishing-Mails herein. Heute können auch kluge Köpfe getäuscht werden – die Qualität der Mails ist enorm gestiegen.
/ Michael Braun
Wie schätzen Sie die Sicherheitslage bei Behörden ein?
/ Sebastian Schreiber
Behörden sind besonders träge. Sie arbeiten mit vielen Altsystemen und können durch Ausschreibungsverfahren nicht flexibel reagieren. Das macht die Situation schwieriger als in der Privatwirtschaft. Dennoch zählen viele Behörden zu unseren Kunden – aber der Großteil unserer Umsätze kommt von privatwirtschaftlichen Unternehmen weltweit.
/ Michael Braun
Gibt es denn dabei internationale Unterschiede mit Blick auf das Thema IT-Sicherheit?
/ Sebastian Schreiber
Nein, das ist im Cyberspace irrelevant. Hacker greifen dort an, wo sie gerade eine Schwachstelle finden – unabhängig von Ländergrenzen. Und genau deshalb ist es auch so schwierig, die Täter strafrechtlich zu verfolgen.
/ Michael Braun
Was ist aus Ihrer Sicht besonders wichtig für erfolgreiche Penetrationstests?
/ Sebastian Schreiber
Klare, verbindliche Absprachen. Nur so laufen Projekte reibungslos. Und wie gesagt: kontinuierliche Forschung – wer hier nicht investiert, bleibt zurück.
