Comforte-Chef Michael Deissner: Schutz gegen Cyberangriffe ist grottenschlecht

Mannheim. Herr Deissner, haben Sie schon einmal versehentlich auf einen trügerischen Link geklickt?

Michael Deissner: Ich komme ein bisschen aus der IT-Welt und bin während meiner Zeit bei SAP in Richtung Cybersicherheit trainiert worden. Zudem haben wir das Thema innerhalb der Comforte intensiviert. Denn das Problem sitzt ja im Regelfall direkt vor dem Rechner.

Jetzt weichen Sie aus. . . Haben Sie denn nun schon einmal auf einen solchen Link geklickt oder nicht?

Deissner: Nein. Tatsächlich habe ich noch keinen Katastrophenfall ausgelöst (lacht). Wir testen uns aber immer wieder selbst, indem von autorisierten Dritten fingierte Mails an die Mitarbeiter geschickt werden. Auch etwa unter meiner E-Mail-Adresse, mit Anweisungen, die im Grunde nicht statthaft sind. Damit simulieren wir einen Zugriff von außen und prüfen unsere Datenschutzregelungen.

Deutschland ist ein leichtes und einfaches Ziel für Hacker. Würden Sie diese Aussage unterschreiben?

Deissner: Wir sind grottenschlecht in unserem Schutz - quer durch die Industrie und die Kommunen.

Warum?

Deissner: Weil der zu Verfügung stehende Schutz nicht vollständig genutzt wird. Viele haben die naive Einstellung, sie hätten alles im Griff. Dabei wissen die meisten gar nicht, wie sie geschützt sind. Und die wenigsten haben das Worst-Case-Szenario durchgespielt. Ein Einbruch von Außen in ein System ist das eine. Das andere ist das Feststellen des Einbruchs. Diesen bemerkt man nicht nach Minuten, Stunden oder Tagen. Im Schnitt dauert es sieben Monate, bis ein Einbruch festgestellt werden kann! Das Entscheidende ist, dass alle Daten zuvor schon datenzentrisch geschützt - „tokenisiert“ - worden sind.

Was meinen Sie damit?

Deissner: Die gestohlenen Daten spielen dann keine Rolle mehr, denn sie können nach außen nicht genutzt werden. Denn beim „Tokenisieren“ werden die vertraulichen Daten durch Daten desselben Typs, also passender Art und Länge ersetzt. Die neuen Werte - Tokens - weisen keinen Personenbezug mehr auf, so dass diese Daten für Hacker nutzlos sind. Aus dem Namen „John Smith“ wird etwa „Jefrd S.?1“ und aus dem Geburtsdatum „01-01-1970“ wird „21-53-8527“. Diese formaterhaltende Verschlüsselung ist der technisch neueste Stand. Sie müssen sehen, dass ein Einbruch nicht die Ausnahme, sondern der Regelfall ist. Unternehmen werden massenhaft im Jahr angegriffen. Entscheidend ist, ob diese Attacken erfolgreich sind oder nicht.

Alle, die keine Token haben, sind also verloren?

Deissner: Diese Technologie ist wichtig. Jeder, der datenzentrische Sicherheit im Unternehmen einsetzt, hat 80 Prozent seiner Cybersecurity-Probleme gelöst. Es gibt auch andere Aspekte - etwa, dass das Back-up, also die Sicherung der Daten, getrennt erfolgen muss. Denn es bringt nichts, wenn das Back-up-System über das eigentliche System angesteuert werden kann. Sehen Sie: Laut Bitkom ist durch Cyberangriffe 2021 ein Schaden von 223 Milliarden Euro entstanden. Allein in der deutschen Wirtschaft! Doch das scheint niemanden zu jucken. Künftig aber wird sich eine neue Dynamik entwickeln.

Inwiefern?

Deissner: Bis zum Sommer 2024 muss eine neue EU-Richtlinie in nationale Gesetzgebung umgesetzt werden - „NIS 2“. NIS steht für Netzwerk- und Informationssicherheit. Durch diese neue Richtlinie soll eine Haftung für Führungskräfte für Verstöße gegen die erweiterten Cybersicherheit-Pflichten eingeführt werden. Bei Verstößen drohen Geldbußen. Ich bin mir sicher, dass die Informationssicherheit im Risikomanagement der betroffenen Unternehmen dadurch noch weiter an Bedeutung gewinnt.

Laut einer Umfrage der Commerzbank ist Cybersicherheit Chefsache. Ist das eine Lösung des Problems oder Teil des Problems?

Deissner: Heutzutage ist es doch vielerorts so, dass die IT irgendwo in der technischen Abteilung läuft. Und der Vorstand oder die Geschäftsführung gar nicht damit befasst sind. Durch die persönliche Haftung fordert der Gesetzgeber genau das jetzt ein. Das Spitzenmanagement erkennt: IT und Cybersicherheit darf nicht mehr autark in irgendeiner Abteilung laufen. Schließlich geht es um den Schutz des eigenen Stuhls.

Jedes vierte Unternehmen ist schon Opfer eines Angriffs geworden. Aber zwei Drittel meinen, Sie müssen nichts mehr machen.

Deissner: Die Einstellung „Irgendwie laviere ich mich da durch“ ist unverantwortlich. Datenverlust zählt mittlerweile zu den größten Risiken. Daten sind mehr wert als bares Geld. Digitalisierung und datenzentrischer Schutz müssen zwingend einhergehen. Dadurch verliert der Dateneinbruch völlig den Reiz, es wird für Hacker langweilig.

Glauben Sie wirklich, dass es Hackern langweilig wird? Die sind nicht auf den Kopf gefallen.

Deissner: Es stimmt schon: Hacker werden auch immer schlauer. Es gibt zum Beispiel ein Sicherheitsrisiko durch sogenannte Quantencomputer. Ein Quantencomputer kann im Gegensatz zu einem gewöhnlichen Computer eine Vielzahl von Rechenaufgaben parallel lösen. Hinter der Tokenisierung liegen riesige Datenstränge, die ein Quantencomputer relativ schnell zerlegen könnte. Doch unser Token ist „quantenresistent“. Der Kampf gegen Hacker hat etwas von gegenseitigem Wettrüsten. Für Unternehmen ist es wichtig, dabei die Nase vorn zu haben.

Da Sie Ihr Geld damit verdienen, versprechen Sie wahrscheinlich einen 100-prozentigen Schutz.

Deissner: Wir wissen wahrscheinlich alle, dass es den nicht gibt (lacht). Im Ernst: Datenzentrierte Sicherheit schützt mehr als nur Zahlungstransaktionen. Sie schützt auch die Kunden eines Unternehmens und das Geschäft. Als Beispiel: Drei der fünf größten Anbieter der Welt für Kreditkartenzahlungen nutzen unsere Software, auch bei den Banken sind wir relativ gut vertreten. Im regulären Tagesablauf gibt es 4000 bis 5000 Kartentransaktionen pro Sekunde. Beim Tokenisieren tritt wieder die Besonderheit auf, dass das Format erhalten bleibt, das heißt etwa, eine 16- bis 19-stellige Kreditkartennummer. Selbst die interne Quersummenprüfung zur Verifizierung von Kreditkartennummern funktioniert mit dem Tokenisieren.

Davon habe ich nichts, wenn jemand mit meiner Kreditkarte irgendwo auf der Welt unbemerkt Klamotten einkauft.

Deissner: Genau das kann eben nicht passieren. Stellen Sie sich vor, Sie kaufen in Mannheim in einem Supermarkt ein. Und fünf Minuten später wird Ihre Kreditkarte an der Westküste der USA eingesetzt. Da die Kreditkartenfirma die tokenisierten Daten hat, kann sie feststellen: Ein Token ist innerhalb von fünf Minuten an zwei völlig unterschiedlichen Stellen vorgekommen.

Wie lässt sich denn nun klären, wo ich war?

Deissner: Dafür gibt es Abteilungen, die auf auffälliges Einkaufsverhalten spezialisiert sind und auch von Künstlicher Intelligenz unterstützt werden. Wenn der Alarm anschlägt, besorgen sich die berechtigten Mitarbeiter Ihre Klardaten - also Ihren Namen, Ihre Adresse und so weiter - und fragen bei Ihnen nach. Übrigens: Die Berechtigungen sind ein ganz wichtiger Faktor für die interne Sicherheit. Denn natürlich dürfen nicht alle Beschäftigten die Klardaten einsehen. Das Tokenisieren löst also gleich mehrere Baustellen.

Ist es für einen großen Konzern leichter als für Behörden oder mittelständische Unternehmen, sich zu schützen?

Deissner: Das würde ich nicht unbedingt sagen. Nehmen Sie als Beispiel den Cyberangriff auf Schriesheim im April 2022. Schriesheim hat 21 000 Einwohner, das heißt, es sind 21 000 Datensätze. Das ist nicht unser Zielmarkt - aber trotzdem: Ein datenzentrischer Schutz hätte für solch eine Kommune zwischen 20 000 und 40 000 Euro gekostet. Erinnern Sie sich an die stärkere persönliche Haftung durch NIS 2, die ich vorhin erwähnt habe. 20 000 Euro sind dann plötzlich nicht mehr so viel Geld.

Wie steht es um Cyberversicherungen?

Deissner: Versicherer sind nicht mehr bereit, alle Cyberrisiken abzudecken. Weil die Dimension unabsehbar ist. Schlägt es gleichzeitig rund um den Globus ein? Früher sind die Risiken überschaubarer gewesen. Es ist sogar so, dass Einzelversicherungen keine Deckungsleistung über 25 Millionen Euro geben dürfen. Seitens der Industrie gibt es daher Bestrebungen, eine eigene Versicherung zu organisieren, weil die Prämien in die Höhe schießen. Für uns sind da auch Kooperationen denkbar. Hat ein Unternehmen in seiner IT beispielsweise einen datenzentrischen Schutz, könnten die Prämien niedriger ausfallen.

Ist das Homeoffice während Corona ein Einfallstor gewesen?

Deissner: Ja. Unternehmen mussten ihre Beschäftigten von heute auf morgen fit machen. Und die Unternehmen selbst haben teils Monate gebraucht, um geschützte Netzwerkverbindungen aufzubauen. Bei der Comforte sind wir schon vor Corona Homeoffice-trainiert gewesen. Ich kann mich noch an meinen ersten Arbeitstag erinnern: Im Büro war außer der Sekretärin niemand - weil montags immer Homeoffice-Tag war. Für mich etwas ganz Neues. Im Nachhinein bin ich natürlich froh, das als Chef nicht geändert zu haben. Denn inzwischen ist es Standard, von zuhause oder von unterwegs aus zu arbeiten.

Für Cybersicherheit braucht es Experten. Ist es schwierig, diese zu finden?

Deissner: Ja. Es hilft, in den entsprechenden Netzwerken einen Namen zu haben. Zudem halten wir Kontakt mit Universitäten. In den USA etwa laufen an Lehrstühlen verschiedene Programme. Im besten Fall können wir Studenten und damit Nachwuchsfachkräfte rekrutieren.

Wie viel Umsatz macht die Comforte AG?

Deissner: Derzeit 35 Millionen Euro. Wir stehen jedoch im Zentrum einer dramatischen Veränderung. Der weltweite datenzentrische Sicherheitsmarkt ist vom Analysehaus Gartner mit 3,5 Milliarden Doller dieses Jahr und mit zehn Milliarden Dollar 2026 bewertet worden. Wir sind inzwischen so aufgestellt, dass wir daran deutlich partizipieren wollen und können.

Wie hoch ist die Umsatzrendite?

Deissner: Zweistellig.

Welche Konkurrenten haben Sie?

Deissner: In Deutschland gibt es mit dieser datenzentrischen Sicherheit nur uns. Und wir kratzen nur an der Oberfläche des Marktes. In Frankreich existiert noch ein Wettbewerber, das ist aber eher ein Mischkonzern mit einer kleinen Sparte Datensicherheit/Tokenisieren.

In der IT-Branche gibt es häufig Übernahmen. Angenommen, SAP klopft an: Wie fänden Sie das?

Deissner: Hmh, interessante Frage. Ich glaube schon, dass wir ein bisschen darüber grübeln würden. Aber: Wir haben jetzt eine schöne Linie vor Augen. Die Comforte ist eine nicht-börsennotierte Aktiengesellschaft. Alle Aktionäre sind Mitarbeiter. Und alle Mitarbeiter sehen das Potenzial.

Kommt ein Börsengang in Frage?

Deissner: Wir prüfen stets alle Kapitalmarktoptionen - vor allem als Wachstumsunternehmen. Es ist ja immer die Frage, wie man die Kraft auf die Straße bekommt. Ob sich das allein finanziell stemmen lässt. 2022 ist nicht so prickelnd für Technologie-Werte gewesen. Derzeit ist das also kein Thema. Aber in Zukunft, wer weiß?

Warum haben Sie damals SAP verlassen?

Deissner: Ich habe SAP nie wirklich verlassen (lacht). Bei Dietmar Hopp habe ich 1995 als Assistent des Vorstandes angefangen. Dann kam die klassische „Ochsentour“ inklusive interessantem Ausflug als Geschäftsführer der Mannheimer Adler. An einem Freitag hat Hopp zu mir gesagt: Komm’ doch am Montag nach Mannheim in das Eisstadion am Friedrichspark - da musst du jetzt ran! Nach den finanziellen Wirren und dem Fast-Konkurs im Sommer 1998 stand eine Sanierung an, so etwas ist generell natürlich nie schön. Aber: Die Adler durften direkt in der Deutschen Eishockey-Liga weiterspielen und sind 1998/99 Meister geworden.

Sie sind also eher zufällig Geschäftsführer der Adler geworden?

Deissner: Ja, Hopp hat mich in alle Projekte hineingestopft, die möglich waren. Die Sanierung der Adler war schon eine Besonderheit. Ich habe auch für ihn das Biotech-Unternehmen Cytonet geführt. Cytonet hat mit Stammzellen gearbeitet und ein Lebermedikament für Neugeborene entwickelt.

War Cytonet erfolgreich? Von den meisten Pharma-Beteiligungen Hopps kann man das ja nicht behaupten.

Deissner: Das Lebermedikament hat eine Zulassung bekommen, allerdings nicht mehr unter Hopp. Cytonet ist später an ein belgisches Pharmaunternehmen verkauft worden. Cytonet hat Kindern mit der Medikation ein normales Leben ermöglicht und zugleich auch großen Input zur Leber- und Grundlagenforschung beigetragen. Leider wird das große Engagement von Herrn Hopp im Biotech-Bereich nicht ausreichend gewürdigt. Das finde ich sehr schade, denn er setzt sich so dafür ein und es ist ihm auch gleichzeitig ein Herzensanliegen zu helfen, besonders bei Neugeborenen und Kindern. Hopp hat weit mehr als eine Milliarde Euro seines Vermögens in die Pharma- und Biotechbranche investiert. Im Gegensatz zu anderen ist er immer hier in der Region geblieben.

Ich bin heilfroh, dass ich bei ihm lernen durfte. Während meiner Zeit bei SAP kannte Hopp bis zu 4000 Beschäftigte mit Vornamen. Er ist sehr bodenständig und besonnen. Das Teamspiel sowohl im Sport als auch im Unternehmensalltag ist für ihn extrem wichtig.

Besuchen Sie ab und zu noch ein Spiel der Adler?

Deissner: Klar. Jetzt in der SAP Arena ist das natürlich nicht mehr vergleichbar mit dem alten Eisstadion am Friedrichspark, wo einem die ganze Zeit der Wind um die Ohren geblasen hat (lacht).

Kann SAP Opfer von Cyberangriffen werden?

Deissner: Für alle Softwarefirmen wäre das der GAU. Ich meine aber, dass SAP so aufgestellt ist, dass man um die Gefahren und den Umgang damit weiß. Dennoch: Ich würde nichts ausschließen.