„KI ist nützlich, für die Guten und für die Bösen – AI is useful for both the good guys and the bad guys”“

Carolina Heyder (SSCG): Was ist der größte Fehler, den Unternehmen beim Thema Cybersicherheit machen?

Marc Rivero: Sie ignorieren, was außerhalb ihrer eigenen Systeme passiert. Viele informieren sich nicht ausreichend über aktuelle Bedrohungen, Sicherheitslücken oder Angriffsstrategien, oft aus Desinteresse, mangelndem Fachpersonal oder einfach Fehleinschätzung. Wenn sich Unternehmen der potenziellen Verluste – sei es in Form von Daten oder Geld – aber nicht bewusst sind, fehlt auch die Motivation, in Sicherheit zu investieren. Cybersicherheit erfordert jedoch kontinuierliche Aufmerksamkeit und Wissenstransfer und nicht nur Technik.

Viele kleine und mittlere Unternehmen denken, sie seien zu unbedeutend, um Ziel von Angriffen zu werden. Zu Recht?
Definitiv nicht. Cyberkriminelle interessiert nicht die Größe, sondern ob Sie über digitale Assets verfügen und das tut jedes Unternehmen. Sobald Sie Datenbanken, Konten oder vernetzte Systeme nutzen, sind Sie ein potenzielles Ziel. Selbst in entlegenen Regionen gibt es keine Immunität. Ihre digitale Existenz macht Sie sichtbar und daher angreifbar.

Welche Cyberbedrohungen sind aktuell am weitesten verbreitet?
Phishing ist nach wie vor die häufigste. Denn Menschen klicken nun mal weiterhin auf Links. Danach folgen Stealer, die Zugangsdaten und Session-Cookies auslesen. Letztere ermöglichen es sogar, Zwei-Faktor-Authentifizierung zu umgehen. An dritter Stelle steht Ransomware meist kombiniert mit Datendiebstahl vor der Verschlüsselung.

Grundsatzfrage: Sollte man bei einer Ransomware-Attacke zahlen oder nicht zahlen?
Wir raten grundsätzlich davon ab zu zahlen, denn es fördert das Geschäftsmodell der Angreifer. Wer zahlt, wird oft mehrfach erpresst. Stattdessen sollten Unternehmen in ihre Widerstandsfähigkeit investieren: Systeme stärken, Vorfälle analysieren, Strategien anpassen und echte Cybersicherheitskultur etablieren. Nur so kann man langfristig bestehen.

Heutzutage sind Angreifer gut finanziert, technologisch versiert und organisiert. Wie können Unternehmen da mithalten?
Mit klugen Grundsätzen: Erstens die Angriffsfläche reduzieren. Das geschieht etwa durch Absicherung öffentlich zugänglicher Systeme. Zweitens regelmäßige Sicherheitsaudits durch externe Fachleute durchführen. Drittens: kontinuierliche Schulung und Awareness-Programme für die Mitarbeitende. Wenn ein Unternehmen nach außen sicher wirkt, wird es für Angreifer weniger attraktiv.

Menschen gelten als das schwächste Glied der Sicherheitskette. Stimmen Sie zu?
Ja. Der Mensch ist und bleibt leider die größte Schwachstelle, das zeigen Phishing-Angriffe oftmals. Selbst die besten Tools nützen wenig, wenn Mitarbeitende unaufmerksam oder möglichst schnell und ohne zu überlegen Ihre Aufgaben erledigen wollen. Deshalb müssen Unternehmen in Schulung und Sensibilisierungsprogramme investieren und nicht einmalig, sondern kontinuierlich.

KI kann Prozesse beschleunigen, gleichzeitig sagen Sie, Bequemlichkeit sei ein Risiko für Sicherheit. Wo liegt die Grenze?
Bequemlichkeit beginnt dort, wo wir Entscheidungen ohne Nachdenken treffen, aus Routine, Zeitdruck oder Bequemlichkeit. Automatisierung ist hilfreich, aber nicht, wenn sie den gesunden Menschenverstand ersetzt. Training und Aufmerksamkeit bleiben unerlässlich. Das muss von oben gelebt und durch Richtlinien unterstützt werden.

Wird KI immer häufiger auch von Kriminellen genutzt?
Absolut. KI ist nützlich, für die Guten und für die Bösen. Genau wie Unternehmen nutzen auch Cyberkriminelle KI zur Automatisierung, Optimierung und Skalierung ihrer Angriffe. Wir sehen, dass die Tools schneller und präziser werden und ebenfalls schwieriger zu entdecken. KI demokratisiert sozusagen Cyberkriminalität. Gleichzeitig ermöglicht sie uns aber auch, auf Verteidigerseite effizienter zu reagieren, wenn wir wissen, was wir tun.

Sie sprachen in Ihrem Vortrag über „FunkSec“, können Sie das näher erläutern?
Gerne. FunkSec steht für eine neue, zum Teil KI-getriebene Generation von Bedrohungen, bei denen Angreifer mit ausgeklügelten, kreativen Mitteln vorgehen. Dabei nutzen sie die gleichen Tools wie etwa Security Researcher. Sie verwenden unter anderem generative KI, um neue Varianten und Methoden für ihre kriminellen Aktivitäten zu entwickeln. Das erhöht den Druck auf die Unternehmen, ständig mitzuhalten.

Lassen Sie uns über KI-Modelle sprechen. Wie können Unternehmen vertrauenswürdige KI-Modelle auswählen und diese sicher einsetzen?
Zuerst muss klar sein, warum man KI einsetzen will. Es mag banal klingen, es ist aber enorm wichtig. Dann braucht man qualifizierte Fachkräfte, die Systeme entwickeln und implementieren können. Vertrauenswürdige Modelle kommen etwa von Meta („LLaMA“) oder über Plattformen wie Hugging Face. Wichtig ist, dass man die Herkunft kennt und sie durch eigene Schutzmaßnahmen ergänzt.

Europa gilt als besonders regulierungsfreudig. Wie sehen Sie das im Kontext von KI?
Regulierung ist wichtig, sie schafft Vertrauen und Verantwortung. Aber zu viel Regulierung kann Innovation behindern. Wir brauchen ein Gleichgewicht: klare Rahmenbedingungen, aber auch Freiraum für kreative Lösungen. Sonst drohen wir international den Anschluss zu verlieren.

Vielen Dank für das Gespräch.
Gern geschehen.

Carolina Heyder (SSCG): What is the biggest mistake companies make when it comes to cybersecurity?

Marc Rivero: They ignore what is happening outside their own systems. Many do not keep themselves sufficiently informed about current threats, security gaps, or attack strategies, often due to lack of interest, a shortage of skilled personnel, or simply misjudgment. But if companies are unaware of the potential losses – whether in the form of data or money – they lack the motivation to invest in security. However, cybersecurity requires continuous attention and knowledge transfer, not just technology.

CH: Many small and medium-sized companies think they are too insignificant to be targeted. Are they right?

Definitely not. Cybercriminals are not interested in size, but in whether you have digital assets, and every company does. As soon as you use databases, accounts, or networked systems, you are a potential target. Even in remote regions, there is no immunity. Your digital existence makes you visible and therefore vulnerable.

CH: Which cyber threats are currently the most widespread?

Phishing is still the most common. That’s because people continue to click on links. This is followed by stealers, which read access data and session cookies. The latter even make it possible to bypass two-factor authentication. In third place is ransomware, usually combined with data theft before encryption.

CH: A fundamental question: Should you pay or not pay in the event of a ransomware attack?

We generally advise against paying, as it promotes the attackers‘ business model. Those who pay are often blackmailed multiple times. Instead, companies should invest in their resilience: strengthen systems, analyze incidents, adapt strategies, and establish a genuine cyber security culture. This is the only way to survive in the long term.

CH: Nowadays, attackers are well-funded, technologically savvy, and organized. How can companies keep up?

With smart principles: First, reduce the attack surface. This can be done, for example, by securing publicly accessible systems. Second, conduct regular security audits by external experts. Third, provide continuous training and awareness programs for employees. If a company appears secure to the outside world, it becomes less attractive to attackers.

CH: People are considered the weakest link in the security chain. Do you agree?

Yes. Unfortunately, humans are and remain the biggest weak point, as phishing attacks often show. Even the best tools are of little use if employees are inattentive or want to complete their tasks as quickly as possible without thinking. That’s why companies need to invest in training and awareness programs, not just once, but continuously.

CH: AI can speed up processes, but at the same time you say that convenience is a risk to security. Where is the line?

Convenience begins when we make decisions without thinking, out of routine, time pressure, or convenience. Automation is helpful, but not when it replaces common sense. Training and awareness remain essential. This must be practiced from the top down and supported by guidelines.

CH: Is AI being used more and more by criminals?

Absolutely. AI is useful for both the good guys and the bad guys. Just like companies, cybercriminals also use AI to automate, optimize, and scale their attacks. We are seeing that the tools are becoming faster and more precise, and also more difficult to detect. AI is democratizing cybercrime, so to speak. At the same time, however, it also enables us on the defensive side to respond more efficiently when we know what we are doing.

CH: You talked about “FunkSec” in your presentation. Can you explain that in more detail?

Gladly. FunkSec stands for a new, partly AI-driven generation of threats in which attackers use sophisticated, creative methods. They use the same tools as security researchers, among others. They use generative AI, among other things, to develop new variants and methods for their criminal activities. This increases the pressure on companies to keep up.

CH: Let’s talk about AI models. How can companies select trustworthy AI models and use them securely?

First, it must be clear why you want to use AI. It may sound trivial, but it is extremely important. Then you need qualified specialists who can develop and implement systems. Trustworthy models come from Meta (“LLaMA”) or platforms such as Hugging Face. It is important to know their origin and to supplement them with your own protective measures.

CH: Europe is considered particularly keen on regulation. How do you see this in the context of AI?

Regulation is important; it creates trust and responsibility. But too much regulation can hinder innovation. We need a balance: clear framework conditions, but also freedom for creative solutions. Otherwise, we risk falling behind internationally.

Thank you very much for the interview.

You’re welcome.