Die Cybersicherheitsbranche steht an einem kritischen Punkt. Während Experten weltweit vor den Risiken von KI-gestützten Angriffen warnen, identifiziert Ross McKerchar ein tiefer gehendes Problem: das erodierte Vertrauen in Sicherheitsprodukte selbst. “Die Cybersicherheitsindustrie hat ein ernstes und wachsendes Vertrauensproblem”, sagt der Sophos-CISO unmissverständlich. Dies ist keine akademische Debatte – es geht um die existenzielle Glaubwürdigkeit einer Branche, die für den Schutz kritischer Infrastrukturen verantwortlich ist.
Die Liste betroffener Produkte liest sich wie ein Schreckensszenario: F5, SonicWall, Okta, Barracuda ESG, Codecov, MOVEit, Kaseya, 3CX und SolarWinds. In jedem Fall waren es nicht externe Angreifer, sondern Schwachstellen in den Sicherheitsprodukten selbst, die zu massiven Breaches führten. Deutsche Organisationen wurden bei mehreren dieser Vorfälle schwer getroffen – insbesondere beim SolarWinds-Supply-Chain-Angriff 2020, der auch deutsche Behörden und Unternehmen kompromittierte.
McKerchar betont, dass die Branche ihre Standards fundamental erhöhen muss. Das Paradoxe: Marktmechanismen fördern dies nicht. Sicherheitsanbieter konkurrieren primär über Features und Preis, nicht über interne Sicherheitsprozesse. Dies schafft einen Perverse-Incentive-Effekt, bei dem robuste Entwicklungspraktiken als Kostenfaktoren wahrgenommen werden, nicht als Wettbewerbsvorteil.
KI: Waffe und Verteidigungsinstrument
Zum Thema künstliche Intelligenz behält McKerchar eine differenzierte Sicht. Während Medien von einer drohenden Automatisierung von Cyberattacken sprechen, warnt er vor zwei spezifischen Szenarien: Erstens nutzen Angreifer bereits Large Language Models für sophistiziertere Phishing-Lures. Die Qualität dieser Angriffe ist noch nicht hochgradig, doch die Volumen-Skalierung ist beeindruckend. Zweitens – und hier liegt McKerchars größere Sorge – könnten KI-Systeme die Kosten für die Entdeckung von Zero-Day-Schwachstellen senken. Bisher sind Zero-Days teuer und werden von Angreifern sparsam gegen hochwertige Ziele mit Supply-Chain-Potenzial eingesetzt. Falls KI diese Kosten reduziert, würden auch kleinere Unternehmen mit schwächeren Verteidigungsmechanismen ins Visier geraten.
McKerchars Erfahrung zeigt auch: Aktuelle KI-Systeme sind zwar reich an Wissen, aber arm an Verständnis. Seine Security Operations Analysten verstehen den Geschäftskontext ihrer Organisation – sie haben einen “sechsten Sinn” dafür, ob ein Alert tatsächlich kritisch ist oder nicht. Diese Fähigkeit können Large Language Models, trainiert auf öffentlichen Daten, (noch) nicht replizieren.
Burnout und Talentretention
Ein weiterer kritischer Punkt McKerchars Analyse betrifft die psychische Belastung von Sicherheitsteams. Er spricht offen über Burnout – eine vom Weltgesundheitsamt anerkannte Syndrom chronischer Arbeitsstress, die vollständige mentale Erschöpfung hervorruft. McKerchar selbst ist seit 18 Jahren kontinuierlich erreichbar. Diese ständige Alarmbereitschaft, kombiniert mit der Tatsache, dass “es immer etwas gibt, das einen unwohl macht” – und typischerweise am Freitag – schafft eine permanente Stressbelastung.
Seine Lösung: Bewusste Reduktion der Basisbelastung, Schichtrotationen bei Incidents, und kritisch, das Verbot von Dauerüberlastung. Wenn das Team bei 60 Prozent seiner intellektuellen Kapazität operiert, kann es die wichtigsten Aufgaben nicht ordnungsgemäß erfüllen.
Zum Talentretention merkt McKerchar an, dass der sogenannte “Skills Gap” in der Cybersicherheit tatsächlich ein Problem der senior-level Positionen ist, nicht der Einstiegspositionen. Unternehmen wollen erfahrene Profis, doch nach Angriffen wird der Sicherheitsstab von zwei auf zwölf Personen aufgestockt – dann entsteht akuter Mangel an erfahrenen Fachkräften, die bereits woanders abgeworben werden können. Seine Philosophie: “Hire smart people, then get the obstacles out of their way.” Ein erfülltes Team bleibt, ein erschöpftes Team geht.
Das Pacific-Rim-Projekt: Grenzen der Cyber-Defense
Ein faszinierender Einblick bietet das Pacific-Rim-Projekt von Sophos. Das Unternehmen entdeckte chinesische Hacker, die Sophos-Firewalls angriffen. Statt nur defensiv zu reagieren, installierte Sophos einen Kernel-Implant auf einem kompromittierten, von den Angreifern für Exploit-Entwicklung genutzten Gerät – mit Zustimmung der NSA und des britischen NCSC sowie im Einklang mit der EULA. Das ist kein “Hacking Back”, sondern intelligente Gegenüberwachung zum Schutz der eigenen Kunden. Es zeigt McKerchars pragmatische Sicherheitsphilosophie: Grenzen ausloten, aber innerhalb legaler und ethischer Grenzen agieren.
Kommunikation und Vertrauen als Führungsskills
In einem letzten Punkt betont McKerchar, dass technische Fähigkeiten allein nicht ausreichen. Er sieht viele Fachleute, die sich “zu stark auf technische Skills konzentrieren” und emotionale Intelligenz, Cross-Funktionale Zusammenarbeit und Kommunikationsfähigkeiten vernachlässigen. Der wichtigste Rat, den er bei seiner Karriere erhielt: “Executives don’t like surprises.” Dies bedeutet: Stakeholder-Management ist essentiell. Schlechte Nachrichten müssen mit Bedacht kommuniziert werden, mit Beziehungen als Fundament.
Für deutsche Organisationen gilt das mehr denn je. In einer Branche, in der selbst die Schutzprodukte zum Risiko werden können, sind Transparenz und Vertrauensbeziehungen zwischen Sicherheitsteams und Geschäftsführung nicht optional – sie sind überlebenswichtig.