Phishing, Pretexting, Voice Cloning: Die Welt der Cyberbedrohungen wird komplexer – und kreativer. Wie Unternehmen sich wappnen, erklärt David Kreft, CISO bei Wago, im Gespräch. Über Schutz als Haltung, Familien als Firewall und warum Kinder keine digitalen Babysitter brauchen.
Wie sieht ein typischer Arbeitstag im Bereich Cybersecurity aus?
Ein typischer Tag? Den gibt es in diesem Feld kaum. Jeder Morgen beginnt mit dem Blick auf die Lage: Was ist passiert, wo brennt es? Unser Dashboard – eigenentwickelt mit Power BI – gibt uns erste Hinweise. Kennwortqualität, Schwachstellen, Auffälligkeiten bei unseren Assets: alles fliessend sichtbar. Doch jedes Tool ist nur ein Spiegel. Der wahre Schutz entsteht im Dialog – mit Teams, mit Führung, mit internationalen Partnern. Kommunikation ist unser Frühwarnsystem. Und auch der Tag selbst ist offen: Manchmal endet er pünktlich, oft zieht er sich – wenn irgendwo ein Alarm losgeht.
Wie genau funktioniert dieser Blick auf die Lage? Was sehen Sie?
Wir schauen in Daten, doch wir lesen darin wie in einem Buch. Unser Dashboard zeigt den Zustand unserer Systeme: Wo klemmt es, wo verbessert sich etwas? Tools wie BitSight geben Einblicke in unsere Angriffsfläche – auch bei Lieferanten. Wir erkennen, wenn ein Zertifikat abläuft oder ein Partner abrutscht. Jede Information ist ein Puzzleteil. Und dann gibt es einen wöchentlichen Austausch mit anderen Unternehmen, wo wir das globale Lagebild besprechen. Welche Gruppen sind aktiv, was wird aktuell ausgenutzt? Es ist ein bisschen wie ein Wetterbericht, nur eben für digitale Stürme.
Welche Art von Cyber-Attacken begegnet Ihnen aktuell am häufigsten?
Phishing – in all seinen neuen Gewändern. Früher war es plump, heute ist es Pretexting. KI durchforstet Netzwerke, erstellt gezielte Nachrichten, wirkt glaubwürdig. Die E-Mail vom Chef, der plötzlich Daten will? Täuschend echt. Die Stimme am Telefon, die vertraut klingt? Vielleicht geklont. Voice Cloning ist keine Science-Fiction mehr – fünf Dollar, ein Sprachsample, und schon spricht der CEO. Wenn dann noch interne Infos dazukommen, ist der Weg ins System offen. Phishing ist heute Kunst – und deshalb brandgefährlich.
Voice Cloning ist keine Science-Fiction mehr – fünf Dollar, ein Sprachsample, und schon spricht der CEO.
Vertraue nichts – ausser der Prüfung
Wie schützt man sich gegen so raffinierte Methoden?
Man trainiert den Muskel. Seit dreieinhalb Jahren bauen wir unseren Krisenstab auf – in Deutschland, jetzt auch international. Wir simulieren Vorfälle, wir spielen durch, was passiert, wenn alles stillsteht. Puls bei 180, Systeme verschlüsselt – dann zählt jede Minute. Gleichzeitig analysieren wir Geschäftsprozesse mit Business-Impact-Analysen: Wo schmerzt ein Ausfall am meisten? Wie lange überleben wir ohne IT? Vorbereitung ist keine Garantie, aber sie schenkt Handlungsspielraum. Wer in der Ruhe übt, kann im Sturm führen.
Gibt es für kleinere Unternehmen praktikable Einstiegspunkte in die IT-Sicherheit?
Unbedingt. Es beginnt mit der Bestandsaufnahme. In Deutschland etwa bietet der BSI-Grundschutz einen guten Rahmen. In der Schweiz gibt es ähnliche Modelle wie den IKT-Grundschutz. Es gibt gute grundlegende Sicherheitsmassnahmen, um die man sich kümmern sollte. Dabei geht es um Fragen wie: Habe ich die Multifaktor-Authentifizierung aktiviert? Habe ich Backups, die sich nicht von Ransomware löschen lassen? Und wie steht es um das Identity-Management? Viele Massnahmen sind einfach, aber entscheidend. Wer sein Outlook oder VPN ohne zweiten Faktor betreibt, lädt Angreifer ein. Ein Gespräch mit dem IT-Dienstleister ist oft der beste Anfang.
Wer sein Outlook oder VPN ohne zweiten Faktor betreibt, lädt Angreifer ein.
Wie erreichen Sie bei Wago, dass auch Mitarbeitende diesen Sicherheitsgedanken mittragen?
Indem wir Sicherheit nicht als IT-Thema behandeln, sondern als Haltung. Wir sind inzwischen in der dritten Awareness-Phase. Anfangs haben wir vieles selbst gemacht. Doch das skaliert nicht bei 6000 Mitarbeitenden und 23 Sprachen. Deshalb arbeiten wir mit einem externen Partner und führen regelmässig Phishing-Simulationen durch – zwölf pro Jahr, in Landessprache. Wer klickt, bekommt sofort einen Lernimpuls. Dazu kommen E-Learnings, Lernpfade, interaktive Formate wie die «Security Arena» und sogar Escape Rooms. Lernen durch Erleben – das bleibt haften.
Und wie erreicht man die Menschen im Homeoffice?
Indem man ihnen begegnet, wo sie leben. Im Homeoffice verschwimmt Privates mit Beruflichem. Deshalb haben wir ein spezielles E-Learning entwickelt. Und wir gehen weiter: In unserer Security Arena gibt es das Format «Sicher zu Hause». Da geht es nicht nur um Wago-Daten, sondern um Alexa, Siri, Smart-TVs. Um das, was wirklich auf dem Küchentisch liegt. Wenn Menschen verstehen, dass Sicherheit auch ihre Familie betrifft, entsteht Verantwortung. Und die trägt sich zurück ins Unternehmen.
Der Mensch als erste Verteidigungslinie
Ein anderer Risikofaktor: soziale Medien. Wie sensibilisieren Sie dafür?
Indem wir ehrlich sind: Jede Information, die ich online teile, vergrössert meine Angriffsfläche. Hobbys, Vorlieben, Netzwerke – alles Futter für den Angreifer. Ich nenne das den «siebten Sinn». Ein Gefühl dafür, ob ein Profil echt ist. Ob ein Kontakt plausibel wirkt. Es geht um digitale Achtsamkeit. Wir vermitteln das in Trainings, etwa wie man Fake-Profile erkennt, Bilder prüft, Quellen validiert. Noch nicht überall ausgerollt – aber wichtig, gerade auf Plattformen wie LinkedIn, die beruflich so nützlich und gleichzeitig so gefährlich sind.
Sie haben erwähnt, dass Sie auch Angehörige schulen?
Ja. Bei uns kann jedes Familienmitglied freiwillig teilnehmen. Kostenlos, offen. Die Idee dahinter ist klar: Wenn zu Hause ein digitales Feuer ausbricht, kann das ins Unternehmen überspringen. Deshalb bieten wir dieses Programm an – und bekommen sehr gutes Feedback. Noch läuft es eher leise, aber wir wollen es breiter ausrollen. Sicherheit beginnt nicht im Serverraum, sondern am Küchentisch.
Bei uns kann jedes Familienmitglied freiwillig teilnehmen. Kostenlos, offen. Die Idee dahinter ist klar: Wenn zu Hause ein digitales Feuer ausbricht, kann das ins Unternehmen überspringen.
Was raten Sie im Umgang mit vertraulichen Informationen, etwa bei internen Prozessen oder Telefonanfragen?
Transparenz schafft Sicherheit. Wenn Sie verschiedene Vertraulichkeitsklassen im Unternehmen haben, bedeutet das nicht nur, dass die Informationen zum Beispiel als vertraulich gekennzeichnet sind, sondern es geht auch um den Umgang mit diesen, beispielsweise an wen diese Informationen weitergegeben werden dürfen.
Wer im Unternehmen weiss, wie ein Prozess funktioniert, etwa wie Bankdaten geändert werden, ist weniger manipulierbar. Ein Beispiel: Wir arbeiten mit Sicherheitskennwörtern. Wenn jemand anruft und das vereinbarte Stichwort nicht nennt, endet das Gespräch sofort. Solche Anker helfen, auch im Stressmodus richtig zu reagieren. Es geht darum, klare Wege zu definieren, bevor jemand versucht, sie zu unterlaufen.
In Ihrem Büro hängt ein übergrosses Poster mit dem Slogan «Think Before You Click». Was steckt dahinter?
Es ist fast spirituell: Innehalten, bevor der Reflex übernimmt. Phishing funktioniert nicht nur technisch, sondern psychologisch. Es spricht unsere Trigger an: Hilfsbereitschaft, Neugier, Zeitdruck. Wer sich kennt, wer weiss, worauf er anspringt, ist besser geschützt. Wir ermutigen dazu, sich einen Moment Zeit zu nehmen. Eine E-Mail, die unter Druck setzt? Erst denken und die Situation logisch hinterfragen, dann handeln. Das ist oft die effektivste Verteidigung – ein stiller Augenblick vor dem Klick.
Eine E-Mail, die unter Druck setzt? Erst denken und die Situation logisch hinterfragen, dann handeln.
Viele Menschen nutzen dutzende Online-Dienste. Wie lassen sich Passwörter sinnvoll verwalten?
Nicht mehr mit dem Kopf! Laut dem BSI hat jeder Mensch in der Regel 150 Passwörter. Das ist gar nicht möglich, sich diese alle zu merken. Unsere Empfehlung: Der Einsatz eines Passwort-Managers. Er erzeugt komplexe, lange Passwörter und erkennt gefälschte Seiten, weil sie dort eben kein Passwort ausfüllen. Das schützt auch praktisch: Wenn ein Passwort kompromittiert wurde, meldet das Tool es sofort. Und mit Multifaktor-Authentifizierung wird aus einem Passwort eine Festung. Die Tools sind ausgereift – man muss sie nur einsetzen.
Digitale Aufklärung beginnt im Kinderzimmer
Wie früh sollte man mit Cyber-Aufklärung beginnen?
So früh wie möglich. Kinder sind neugierig – und verletzlich. Leider werden Smartphones oft als digitale Babysitter eingesetzt. Viel gefährlicher finde ich aber soziale Medien. Plattformen wie TikTok oder Instagram sind keine neutralen Informationsquellen – sie verstärken, was gefällt. Und sie verführen zur Dauerpräsenz. Dazu kommen Fake News, automatisierte Meinungsbildung, Chatbot-Armeen. In China beginnt Medienkompetenz ab der ersten Klasse. Davon sind wir weit entfernt. Deshalb gehen wir mit Initiativen in die Schulen – gemeinsam mit anderen CISOs. Aufklärung ist kein Projekt, sondern ein Prozess.
In China beginnt Medienkompetenz ab der ersten Klasse. Davon sind wir weit entfernt.
Können Eltern noch mitreden, wenn Kinder technisch oft mehr wissen als sie?
Das ist vielleicht die grösste Herausforderung! Wir erleben zum ersten Mal eine Generation, die digital weiter ist als ihre Eltern – und oft auch als ihre Lehrer. Viele Eltern verstehen nicht, was ihre Kinder da tun. Deshalb müssen wir Brücken bauen. Lehrer brauchen mehr Raum für diese Themen, Eltern mehr Zugang. Es geht um Dialog, nicht um Kontrolle. Wer fragt, anstatt zu verbieten, wer mitlernt, anstatt zu blockieren, der kann begleiten. Und genau das braucht es: Begleitung auf Augenhöhe.
Gibt es bei Wago Rückmeldungen aus der Belegschaft zur erweiterten Schulung für Angehörige?
Ja, und sie sind ermutigend. Es wird genutzt, aber noch nicht flächendeckend. Manche Mitarbeitende nehmen es mit nach Hause, andere eher nicht. Vielleicht müssen wir es sichtbarer machen, stärker bewerben. Aber wer es ausprobiert, ist meist dankbar – weil es nicht nur beruflich schützt, sondern auch privat. Und das ist der eigentliche Punkt: Sicherheit ist kein Projekt, das an der Bürotür endet.
Was wünschen Sie sich für die Zukunft der Cybersecurity?
Mehr Bewusstsein und mehr Verantwortung auf allen Ebenen. Mit KI steigen die Herausforderungen. Angriffe werden präziser, täuschender, schneller. Und das wird so bleiben. Deshalb wünsche ich mir, dass auch der Staat aktiver wird. Es braucht mehr als Regulierung. Es braucht digitale Schutzmechanismen, vergleichbar mit dem physischen Grenzschutz. Gerade kleine und mittelständische Unternehmen können das nicht allein stemmen. Sicherheit darf kein Luxus sein.
Passend zu diesem Artikel
Impressum
Autor: Markus Back
Bildquelle: Wago
Redaktionelle Bearbeitung: Technik und Wissen
Informationen
Firma
Veröffentlicht am: