Es ist 1993. Bill Clinton war US-Präsident, Helmut Kohl war Bundeskanzler der BRD und Franz Vranitzky war der Österreichische Regierungschef. Ich selbst, saß da vor einem Terminal und versuchte zu verstehen, wie man Netzwerke und Systeme absichert. Das Internet war gerade dabei, sich von einem reinen akademischen Kuriosum zu etwas zu wandeln, das tatsächlich immer mehr Menschen aktiv nutzten wollten. Security? Fehlanzeige. Das war kein Thema. Auch und schon gar nicht auf Protokollebene. Nur ein paar eingefleischte Spezialisten haben die Wichtigkeit dieses Themas schon verinnerlicht.
Über drei Jahrzehnte später ist sehr vieles anders. Manches allerdings auch erschreckend gleich geblieben.
Was sich verändert hat
Die offensichtlichste Veränderung: die Skalierung. In den 90ern war ein „großes“ Netzwerk vielleicht ein paar hundert Rechner. Heute sprechen wir von vielen Milliarden von Endpunkten, verteilt über alle Kontinente, verbunden über Cloud-Infrastrukturen, die es damals nicht einmal als gedankliche Vorstellung oder gar als Konzept gab.
Die Angreifer haben sich professionalisiert. Früher waren es Einzelkämpfer, motiviert von Neugier oder dem Wunsch nach Anerkennung. Heute sind es organisierte Gruppen, staatlich gesponserte Akteure, kriminelle Unternehmen mit echten Business-Plänen und Support-Hotlines. Die Asymmetrie hat sich verschoben – nicht gerade zu unseren Gunsten.
Die Werkzeuge auf beiden Seiten sind mächtiger geworden. Wir haben SIEM, EDR, XDR, SOAR – ein Alphabet von Technologien, das es vor 30 Jahren nicht gab. Aber auch die Angreifer haben aufgerüstet. Ransomware-as-a-Service, automatisierte Exploits, KI-gestützte Angriffe – das technologische Wettrüsten ist in vollem Gang.
Compliance ist explodiert. Von quasi nicht existent zu einem eigenen Industriezweig. DSGVO, NIS2, DORA, CRA, SOX, PCI-DSS – die Liste wird jedes Jahr länger. Security ist keine Option mehr, sondern eine regulatorische Notwendigkeit und Anforderung.
Und vielleicht am wichtigsten: Security ist letztendlich auch auf der Vorstandsagenda angekommen. Nicht immer ganz oben, nicht überall mit der nötigen Konsequenz – aber sie ist angekommen. Das allein ist ein fundamentaler Wandel.
Was gleich geblieben ist
Und dann gibt es die Dinge, die mich nachdenklich machen. Die Probleme, die wir vor 30 Jahren hatten und die wir heute immer noch haben.
Passwörter: Ja, wirklich. Wir reden seit Jahrzehnten darüber, dass Passwörter ein schlechtes Konzept sind. Wir haben Multi-Faktor-Authentifizierung, biometrische Verfahren, Passkeys. Und trotzdem: Der häufigste Angriffsvektor 2025 ist immer noch der Mensch, der auf einen Link klickt und sein Passwort eingibt.
Patching: In den 90ern haben Organisationen zu lange gebraucht, um Patches einzuspielen. Rate mal, was 2025 immer noch einer der häufigsten Gründe für erfolgreiche Angriffe ist? Ungepatchte Systeme. Die Technologie hat sich verändert, das Problem nicht.
Die Lücke zwischen Wissen und Handeln: Wir wissen, was wir tun sollten. Die Best Practices sind dokumentiert, die Standards existieren, die Technologien sind verfügbar. Und trotzdem: Der Abstand zwischen dem, was wir wissen, und dem, was wir tun, ist erschreckend groß geblieben.
Das Kommunikationsproblem: Security-Leute konnten schon immer schlecht mit dem Business reden. Zu viel Technik, zu wenig Geschäftsverständnis. Zu viel Angst, zu wenig Zahlen. Dieses Problem ist alt, und es ist noch immer nicht gelöst.
Die Ironie der Komplexität
Etwas, das ich über die Jahre gelernt habe: Jede Lösung schafft neue Probleme.
Wir haben Firewalls eingeführt – und damit eine neue Angriffsfläche geschaffen. Wir haben überall Verschlüsselung und haben uns damit ein Visibility-Problem geschaffen. Wir haben Cloud-Computing, und damit eine Komplexität, die kaum noch jemand wirklich versteht und überblickt. Wir haben Security-Tools, so viele, dass ihre Integration selbst zum Sicherheitsrisiko geworden ist.
Die Ironie ist, dass wir in mancherlei Hinsicht weniger sicher sind als früher, obwohl wir mehr für Security ausgeben als je zuvor. Nicht weil die Tools schlecht wären, sondern weil die Komplexität schneller wächst als unsere Fähigkeit, sie zu beherrschen.
Menschen bleiben Menschen
Die technische Seite hat sich dramatisch verändert. Aber am Ende sind es immer noch Menschen, die auf Phishing-Mails klicken. Menschen, die sich über unbequeme Sicherheitsmaßnahmen beschweren. Menschen, die deshalb immer Abkürzungen suchen und diese nehmen, weil sie unter Zeitdruck stehen. Menschen, die Passwörter auf Post-its schreiben.
Ich habe in über 30 Jahren viele Awareness-Programme gesehen. Manche waren gut, viele waren schlecht. Aber selbst die besten Programme können das grundlegende Problem nicht lösen: Menschen sind keine Computer. Sie machen Fehler. Sie sind manipulierbar. Sie sind der Grund, warum Social Engineering seit Jahrzehnten funktioniert – und auch weiterhin funktionieren wird.
Das ist keine Anklage. Das ist eine Feststellung. Und sie hat eine wichtige Konsequenz: Jede Security-Strategie, die auf perfektes menschliches Verhalten setzt, ist zum Scheitern verurteilt.
Die Mythen, die nicht sterben
Es gibt Überzeugungen in der Security-Branche, die sich hartnäckig halten, obwohl sie längst widerlegt sind.
Der Mythos des Perimeters. Die Idee, dass es ein „Innen“ und ein „Außen“ gibt, und dass man nur das Außen abwehren muss. In einer Welt von Remote Work, Cloud Computing und Zero Trust sollte dieser Mythos längst tot sein. Ist er aber nicht.
Der Mythos der Compliance. Die Idee, dass man sicher ist, wenn man alle Compliance-Anforderungen erfüllt. Compliance ist notwendig, aber nicht hinreichend. Ich habe Organisationen gesehen, die vollständig compliant waren und trotzdem gehackt wurden.
Der Mythos der Silver Bullet. Die Idee, dass es diese eine Technologie, diese eine Methode gibt, die alle Probleme löst. Jedes Jahr gibt es einen neuen Hype: KI, Zero Trust, was auch immer. Und jedes Jahr lernen wir neu, dass es keine Wunderwaffen gibt.
Der Mythos der Unsichtbarkeit. Die Idee, dass man zu klein, zu unwichtig, zu langweilig ist, um angegriffen zu werden. Diese Idee stirbt dann mit dem ersten erfolgreichen Angriff.
Was ich gelernt habe
Dreißig Jahre sind eine lange Zeit. Genug, um ein paar Lektionen zu lernen. Natürlich auch aus den eigenen Fehlern, die ich gemacht habe.
Simplicity is security. Je komplexer ein System ist oder wird, desto schwieriger wird es, es abzusichern. Die eleganteste und damit auch oft die einfachste Lösung ist oft auch die sicherste. Wenn du ein System nicht von Grund auf verstehst, kannst du es auch nicht schützen. KISS ist ein gutes Schlagwort: Keep It Small and Simple!
Angreifer denken anders. Sie folgen nicht deinen Prozessen, sie respektieren nicht deine Annahmen. Sie suchen den Weg des geringsten Widerstands. Und oft ist dieser Weg erschreckend einfach.
Security ist kein statischer Zustand. Du bist nie „fertig“. Jede Kontrolle degradiert mit der Zeit, jede Abwehr wird irgendwann umgehabt und wird umgangen. Der einzige Weg ist kontinuierliche Anpassung und Schritthalten.
Die wichtigsten Entscheidungen sind keine technischen. Sie betreffen Kultur, Prioritäten, Ressourcen. Ein CISO, der nur Technologie versteht, ist nur ein halber CISO.
Perfektion ist der Feind des Guten. Wir werden nie 100% sicher sein. Die Frage ist nicht, ob wir angegriffen werden, sondern wie schnell wir es merken und wie gut wir darauf reagieren können.
Ein Blick nach vorn
Was erwartet uns in den nächsten 30 Jahren? Ich bin alt genug, um zu wissen, dass Vorhersagen meistens falsch sind. Aber ein paar Trends zeichnen sich ab.
Künstliche Intelligenz wird alles verändern – auf beiden Seiten. Angreifer werden KI nutzen, um Angriffe zu automatisieren und zu skalieren. Verteidiger werden KI brauchen, um überhaupt noch Schritt zu halten. Das Wettrüsten geht in eine neue Phase.
Die Grenze zwischen physischer und digitaler Sicherheit wird weiter verschwimmen. IoT, autonome Systeme, kritische Infrastruktur: Cyberangriffe werden immer direktere physische Konsequenzen haben.
Regulierung wird zunehmen. Nach NIS2 und DORA werden weitere kommen. Die Politik hat verstanden, dass Cybersecurity ein nationales, europäisches ja globales Sicherheitsthema ist. Das bedeutet mehr Regeln, mehr Anforderungen, mehr Compliance.
Der Fachkräftemangel wird sich verschärfen. Wir haben schon heute zu wenige gute Security-Leute. Und die Nachfrage wächst schneller als das Angebot. Automatisierung wird helfen, aber nicht alles lösen.
Was bleibt
Wenn ich auf meine über 30 Jahre zurückblicke, dann sehe ich eine Branche, die erwachsen geworden ist. Von einer Nische für Nerds zu einem strategischen Thema für Vorstände. Von ein paar improvisierten Tools zu einer milliardenschweren Industrie. Von „Das passiert uns nicht“ zu „Die Frage ist nicht ob, sondern wann“.
Aber ich sehe auch eine Branche, die ihre Hausaufgaben nach immer nicht ganz gemacht hat. Die immer noch dieselben Grundfehler macht wie vor Jahrzehnten. Die zu viel Energie auf neue Technologien verwendet und zu wenig auf das Beherrschen der Grundlagen.
Die wichtigste Erkenntnis aus all den Jahren? Die Technik ist nicht das Problem. Und sie ist auch nicht die Lösung. Security ist ein zu tiefst menschliches Problem. Es erfordert technische Werkzeuge, ja natürlich. Aber auch Führung, Kommunikation, Priorisierung und die Bereitschaft, unbequeme Wahrheiten anzusprechen und auszusprechen.
Das war vor 30 Jahren so. Und es wird in 30 Jahren immer noch immer so sein. Das ist menschlich.
—
Dieser Beitrag ist persönlich und reflektiert meine eigene Erfahrung. In kommenden Artikeln geht es wieder konkreter um Methoden und Techniken – aber manchmal ist es wichtig, auch das große Bild zu betrachten.