Im Kern, so Payton, sei die Cybersicherheit „grundlegend kaputt". Sie werde an Aktivität gemessen statt an der Reduzierung der Angriffsfläche. Der Fokus auf Checklisten, Kennzahlen und Compliance-Rahmenwerke statt auf konkrete Ergebnisse habe ein System geschaffen, in dem Organisationen auf dem Papier sicher wirken, in der Praxis aber angreifbar bleiben.
Payton forderte, beim Menschen anzusetzen: Man müsse „buchstäblich mit der Geschichte des menschlichen Nutzers beginnen". Viele Schulungsprogramme zur Sensibilisierung seien zur Routine geworden und wirkungslos – „bei euren Awareness-Trainings dösen die Leute weg". Statt periodischer Schulungen empfahl sie, sicheres Verhalten durch Anreize, Anerkennung und die Einbindung von Sicherheit in den Arbeitsalltag zu fördern.
Wenn Prävention nicht ausreicht, gehe es darum zu verstehen, was für die Organisation am wichtigsten ist – nicht nur Systeme, sondern auch Daten, Geschäftsprozesse und die „Kronjuwelen" des Unternehmens. Bei Nationwide schlage sich diese Verschiebung bereits nieder, sagte Boda: Er verbringe rund die Hälfte seiner Zeit mit Reaktion und Wiederherstellung – nicht, weil das Unternehmen täglich getroffen werde, sondern weil dies besonders schwer richtig umzusetzen sei. Eine ganze Organisation dazu zu bringen, unter Druck wirksam zu reagieren und den Betrieb wiederherzustellen, erfordere wiederholbare Prozesse und abgestimmte Zusammenarbeit über Teams hinweg – nicht bloß weitere Kontrollmechanismen.
DeGrippo von Microsoft verwies auf eine Lücke beim Threat Modeling: Viele sprächen über Bedrohungsmodelle, hätten aber nichts schriftlich festgehalten und keine Recherche betrieben. Die Unterscheidung zwischen verschiedenen Angreifern sei in der Praxis weniger wichtig: Ob finanziell motiviert oder staatlich unterstützt – die Taktiken seien oft ähnlich, und sobald der Zugriff bestehe, sei das Ergebnis dasselbe. Als wachsende dritte Kategorie nannte sie sozial motivierte Akteure; künstliche Intelligenz senke die Einstiegshürde so weit, dass eine einzelne Person mit der Reichweite und Beharrlichkeit agieren könne, die früher anspruchsvolleren Gruppen vorbehalten war.
KI beschleunige beide Seiten. Die Technik könne große Teile von Erkennung und Reaktion automatisieren, sei aber noch nicht für vollständige Automatisierung bereit, sagte Payton; Organisationen sollten zunächst Nachvollziehbarkeit, Sichtbarkeit und Kontrolle aufbauen. Zugleich verändere sie die Ökonomie von Angriffen: „Ein Agent wird nicht müde", sagte Brown. „Ein Agent kann ein Jahr lang E-Mails lesen und langsam vorgehen." Die Technik habe „die Macht eines Nationalstaats in die Hände der organisierten Kriminalität gelegt".
Viele Organisationen setzten weiter auf veraltete Ansätze wie signaturbasierte Erkennung und herkömmliche Data Loss Prevention. Diese hätten weiter ihre Berechtigung, würden aber oft fälschlich als ausreichend behandelt, so Boda. Eine weitere häufig falsche Annahme sei, dass Systeme korrekt konfiguriert seien – meist gehe es nicht um böse Absicht, sondern um Routineänderungen wie erweiterte Zugriffe oder unbemerkte Konfigurationsabweichungen. Sicherheit müsse fortlaufend überprüft werden. „Nicht annehmen, nicht vertrauen, verifizieren", sagte Brown.
