Home > Interview > „Auch Hacker haben Fachkräftemangel – sicher sind Unternehmen deshalb nicht“

„Auch Hacker haben Fachkräftemangel – sicher sind Unternehmen deshalb nicht“

/
01.03.2026
,
"Souveränität heißt nicht, alles nur noch zu Hause zu kaufen. Es heißt, sich Optionen offenzuhalten", sagt Waldemar Ahrend-Reimche. (Bild: © OEDIV SecuSys GmbH)

„Man sollte KI wie ein vierjähriges Kind betrachten“

Cybersicherheit ist 2026 für Stadtwerke keine reine IT-Frage mehr, sondern eine strategische Führungsaufgabe. Mit NIS2 und verschärfter Geschäftsführerhaftung rückt das Thema endgültig in die Vorstandsetagen. Waldemar Ahrend-Reimche, Geschäftsführer der OEDIV SecuSys GmbH, warnt im Interview mit energie.blog davor, Sicherheit auf Technik und Tool-Einkäufe zu reduzieren. Entscheidend seien klare Entscheidungen auf Leitungsebene. Besonders kritisch sieht er das Thema Identität, die heute zur wichtigsten Angriffsfläche geworden sei, sowie den unreflektierten Einsatz von KI-Systemen im Sicherheitsumfeld. Und er sagt einen Satz, der aufhorchen lässt: Viele KRITIS-Unternehmen seien nicht deshalb sicher, weil sie gut geschützt sind, sondern weil Hacker oftmals keine Zeit für sie haben.

NIS2: Keine rein technische Angelegenheit

e.b: Herr Ahrend-Reimche, wenn Sie auf 2026 blicken – was unterscheidet die Sicherheitslage von den vergangenen Jahren?
Waldemar Ahrend-Reimche: Wir haben deutlich mehr Regulierung, die jetzt scharf geschaltet ist. Viele Unternehmen sind sich noch gar nicht bewusst, was da auf sie zukommt. NIS2 wird immer noch sehr technisch betrachtet, obwohl die Geschäftsführerhaftung für einiges Aufsehen gesorgt hat.

Das Thema ist aber strategisch angelegt und nicht rein technisch zu lösen. Wenn man es nur technisch betrachtet, kauft man sich schnell einen Blumenstrauß an Tools. Das heißt aber nicht, dass das dem Unternehmen wirklich hilft.

2026 wird für viele Unternehmen erst einmal die Herausforderung sein zu verstehen: Was bedeutet das für mich – und warum betrifft das nicht nur die IT, sondern auch Geschäftsführung, CFO oder Aufsichtsgremien?

Bedeutung für Geschäftsführung, CFO und Aufsichtsgremien

e.b: Für Geschäftsführer wird es mit NIS-2 künftig enger. Was heißt das konkret? Schließlich sind an der Spitze selten echte IT-Experten?
Waldemar Ahrend-Reimche: Man muss sich zunächst informieren. Man muss nicht in jedes Bit und Byte einsteigen. Aber man braucht einen Überblick über die eigenen Prozesse. Über welche Kanäle bin ich angreifbar? Welche Pläne habe ich in Bezug auf Souveränität?

Souveränität heißt nicht, alles nur noch zu Hause zu kaufen. Es heißt, sich Optionen offenzuhalten. Das kann auch bedeuten, mit bewährten Partnern weiterzuarbeiten – aber strategisch einen Plan zu haben: Was passiert, wenn etwas passiert?

Und genau diese strategischen Entscheidungen müssen in der Geschäftsführung oder in den Gremien getroffen werden. Dort werden Weichen gestellt, die fünf bis zehn Jahre wirken.

Es gibt zwei unterschiedliche Betrachtungsweisen bei NIS2: Man kann dabei schnell in die Versuchung geraten, nur Mindestanforderungen zu erfüllen, um auditierbar zu sein. Oder man erfüllt sie, weil man wirklich sicher sein will.

e.b: Was heißt das konkret für ein Stadtwerk mit begrenztem Budget?
Waldemar Ahrend-Reimche: Man kann nicht einfach auf den nächsten Berater hören, der sagt: Kauf dies, kauf das, kauf jenes. Zuerst muss man prüfen, was in der Organisation bereits vorhanden ist. Welche regulatorischen Anforderungen muss ich erfüllen? Und was ist mein langfristiges strategisches Ziel – etwa in Bezug auf Resilienz oder Souveränität?

Gesetze wie NIS2 sind bewusst offen formuliert. Es steht nicht explizit drin, was man tun soll. Man muss es ableiten. Dabei kann man schnell in die Versuchung geraten, nur Mindestanforderungen zu erfüllen, um auditierbar zu sein. Oder man erfüllt sie, weil man wirklich sicher sein will. Das sind zwei unterschiedliche Betrachtungsweisen.

Wirksamkeit von Notfallplänen

e.b: Wie wichtig ist dabei ein Notfallplan?
Waldemar Ahrend-Reimche: Notfallpläne sind immer richtig. Ich würde jedem empfehlen, einen in der Hinterhand zu haben. Aber häufig werden sie vor allem finanziell gedacht. Es wird weniger darüber nachgedacht, was passiert, wenn beispielsweise ein kleines technisches Bauteil ausfällt und plötzlich ein ganzer Prozess steht.

Gerade bei Versorgern hängen viele Menschen am Betrieb. Wenn etwas ausfällt, glühen sofort die Telefonleitungen, alle versuchen Informationen zu bekommen. Keiner kommt dann mehr zum Arbeiten, weil natürlich jeder panisch anruft, die Webseite abrufen will, um Informationen zu erhalten. Diese ganzen Kanäle müssen dann natürlich auch zeitnah versorgt werden, wenn man nicht möchte, dass man dann auf einmal mit Arbeit überflutet wird, die man eigentlich gerade gar nicht benötigt.

Man darf sich aber nicht dazu verleiten lassen, nach einem Vorfall pauschal alles einzukaufen, was gerade angeboten wird. Das sieht man häufig: Nach einem Sicherheitsvorfall sind plötzlich viele Gelder für IT und Security verfügbar. Dann versucht man, Verantwortung, die in den vergangenen Jahren vielleicht vernachlässigt wurde, auf die technische Ebene zu verschieben.

Dabei geht es eigentlich um etwas anderes. Sicherheit ist immer das Ergebnis von Entscheidungen. Man muss sich fragen: Wie sind diese Entscheidungen zustande gekommen – und wie müssen sie künftig getroffen werden, damit sich ein solcher Vorfall nicht wiederholt?

Und es braucht Monitoring. Angreifer verschaffen sich unter der Woche Zugänge. Genutzt werden sie oft am Wochenende oder an Feiertagen – dann, wenn keiner hinschaut. Wenn ich nicht sehe, was passiert, erkenne ich den Angriff erst, wenn der Schaden da ist.

Es ist heute ultimativ einfach geworden, vollständige Identitäten neu zu erschaffen oder nachzubilden.

Identitätsklau als Einfallstor für Hacker

e.b: Auch ein spannendes Thema: Sie sagen, Identität sei heute die wichtigste Angriffsfläche. Was bedeutet das konkret?
Waldemar Ahrend-Reimche: Es ist heute ultimativ einfach geworden, vollständige Identitäten neu zu erschaffen oder nachzubilden. Ein Beispiel ist der Bewerbungsprozess. In Stellenausschreibungen gibt man oft bereits eingesetzte Technologien preis. Viele Interviews finden zudem online statt. Ein Deepfake-Video ist inzwischen mit wenigen Klicks erstellt.

Es lassen sich LinkedIn-Profile, Referenzen und sogar Publikationen fälschen. Dann sitzt Ihnen jemand gegenüber, der gezielt Fragen stellt und Informationen sammelt. Und diese Fragen werden dann auch sehr, sehr gern beantwortet. Da muss das Personal ausreichend geschult und gebrieft sein.

Wenn intern nicht klar geregelt ist, welche Informationen in welcher Tiefe herausgegeben werden dürfen, öffnet man selbst Türen.

Das gilt auch für Dienstleister. Ein gefälschtes Unternehmen mit Handelsregisternummer kann sich bewerben, bekommt Zugang und erhält pauschal administrative Rechte. Wenn jemand vollständige Domain-Admin-Rechte hat, hilft auch Multifaktor-Authentifizierung nur begrenzt.

Deshalb geht es um sauberes Identitäts- und Berechtigungsmanagement. Wer darf was – und zwar nicht nur formal, sondern tatsächlich umgesetzt.

Sicherheitsrisiko ältere Systeme

e.b: Viele kommunale Unternehmen arbeiten mit älteren Systemen. Ist das ein Sicherheitsrisiko?
Waldemar Ahrend-Reimche: Veraltete Technologie verschließt viele Optionen. Sicherheit wird oft projektweise umgesetzt: Man installiert etwas Neues und geht davon aus, dass damit alles erledigt ist. Ob die Maßnahme wirksam ist, wird selten überprüft.

Ältere Systeme lassen sich häufig nicht sinnvoll monitoren oder testen. Schon einfache Prüfmechanismen können sie überlasten. Gleichzeitig fehlen oft Dokumentation und Fachkräfte, die sich noch auskennen.

Das Glück vieler KRITIS-Unternehmen ist heute nicht unbedingt, dass sie besonders sicher sind. Sondern, dass auch die Angreifer überlastet sind und gar nicht alle vorhandenen Lücken gleichzeitig nutzen können.

Denn auch auf der anderen Seite gibt es Fachkräftemangel. Eine Festanstellung kann man kündigen, wenn man unzufrieden ist. In kriminellen Strukturen ist das deutlich komplizierter. Das bedeutet aber nicht, dass die Lücken nicht existieren – sie werden nur nicht immer sofort ausgenutzt.

Man sollte KI eher wie ein vierjähriges Kind betrachten. Wenn ich einem vierjährigen Kind sage, es soll mir einen Löffel holen, bekomme ich einen Löffel – aber nicht immer den richtigen.

Rolle von Künstlicher Intelligenz im Bereich Cybersecurity

e.b: Wie verändert Künstliche Intelligenz die Bedrohungslage?
Waldemar Ahrend-Reimche: KI hilft beiden Seiten. Angreifer nutzen sie, um Angriffe zu gestalten. Unternehmen setzen sie ebenfalls ein. Aber man darf nicht vergessen: Ein KI-Agent ist letztlich eine Maschine, die Befehlen folgt.

Wenn ein Agent E-Mails verarbeitet und Spezifikationen herausliest, kann in diesem Text auch ein versteckter Befehl stehen. Wenn dieser nicht technisch ausgeschlossen wird, wird er ausgeführt. Deshalb muss man sehr genau definieren, welche Rechte ein Agent bekommt und welche Befehle er überhaupt ausführen darf.

Man sollte KI eher wie ein vierjähriges Kind betrachten. Wenn ich einem vierjährigen Kind sage, es soll mir einen Löffel holen, bekomme ich einen Löffel – aber nicht immer den richtigen. Genauso führt ein Agent Befehle aus, ohne automatisch zu unterscheiden, ob sie sinnvoll oder gefährlich sind.

Deshalb muss man sehr genau definieren, welche Rechte ein Agent bekommt und welche Befehle er überhaupt ausführen darf.

Drei wirkungsvolle Maßnahmen

e.b: Wenn ein Stadtwerk 2026 nur drei Maßnahmen umsetzen kann – welche wären das?
Waldemar Ahrend-Reimche: Erstens: Identitäts- und Berechtigungsmanagement sauber strukturieren. Nicht nur Mindeststandards erfüllen, um auditierbar zu sein, sondern mit dem Ziel, die Sicherheit zu verbessern.
Zweitens: Mitarbeitende gezielt schulen. Nicht nur mit Standardvideos, sondern mit echtem Verständnis dafür, warum bestimmte Risiken bestehen.
Drittens: Monitoring etablieren – intern oder über ein 24/7-SOC. Angriffe frühzeitig erkennen, bevor es zu einem ernsthaften Schaden kommt.

e.b: Und was mache ich im Ernstfall?
Waldemar Ahrend-Reimche: Es lohnt sich, frühzeitig mit den zuständigen Behörden zusammenzuarbeiten – etwa mit der ZAC, dem LKA oder BKA. Gerade im Bereich Ransomware können dort wertvolle Informationen und Unterstützung bereitgestellt werden.

Ich habe selbst bei einem Ransomware-Vorfall erlebt, dass über die Behörden Kontakt zum BKA hergestellt wurde. Dadurch konnte ein Unternehmen eingebunden werden, das die Verschlüsselung der Angreifer rückabwickeln konnte. Das war deutlich kostengünstiger als die geforderte Lösegeldsumme.

Behörden können also nicht nur Informationen sammeln, sondern im Ernstfall auch konkret helfen. Für KRITIS-Unternehmen ist die Einbindung ohnehin verpflichtend.

 

Kontakt:

Waldemar Ahrend-Reimche
Geschäftsführer,
OEDIV SecuSys GmbH, Rostock

Patrick Piotrowski
Senior Business Consultant IAM
und Sales Representative,
OEDIV SecuSys GmbH, Rostock

vertrieb­@secusys.de

Das könnte Sie auch interessieren
2026 wird das Jahr der konsequenten Umstellung beim Thema Security.
Security Trends 2026: Was CISOs, IT-Leiter und Compliance jetzt wissen müssen
NIS2-Richtlinie: Interview mit Waldemar Reimche, Geschäftsführer OEDIV SecuSys
„Die NIS2-Richtline stellt einen Paradigmenwechsel bei der Cybersicherheit dar“
Machine Identity Management
Warum Machine Identity Management eine immer größere Rolle bei der Sicherung vernetzter Systeme einnimmt
Identity and Access Management
Identity and Access Management: Wer darf was, wann und wo im IT-System von Unternehmen tun?

Kontakt

Dr. Anke Schäfer
ed.rp-refeahcs@ofni