So will Aveniq Sicherheit als interdisziplinäres Thema verankern

Seit Februar sind Sie Head of Security bei Aveniq. Was hat Sie zu diesem Schritt motiviert und was sind Ihre ersten Eindrücke vom neuen Umfeld?

Luca Cappiello: Was mich an Aveniq besonders überzeugt hat, ist die Herangehensweise an das Thema Sicherheit. Statt einzelne Bereiche wie Offensive, Defensive und IT-Betrieb getrennt zu betrachten, werden sie hier sinnvoll miteinander verknüpft und organisatorisch zusammengeführt. Sicherheit wird als interdisziplinäres Thema verstanden, das verschiedene Fachrichtungen verbindet, und genau dieses Zusammenspiel ist heute wichtiger denn je. Mein erster Eindruck von Aveniq ist sehr positiv: Ich habe ein Team kennengelernt, das über tiefes Fachwissen im Umgang mit komplexen und kritischen Infrastrukturen verfügt und gleichzeitig offen für Veränderungen und neue Technologien ist. Diese Kombination aus Kompetenz, Reflexion und Gestaltungswillen ist genau das, was mich motiviert hat, Teil von Aveniq zu werden.

Vorher waren Sie über neun Jahre bei Infoguard und für ­Penetration Testing und Research verantwortlich. Wie prägen diese Erfahrungen Ihre heutigen Aufgaben bei Aveniq?

In den über neun Jahren meiner vorherigen Tätigkeit hatte ich die Möglichkeit, die offensiven Fähigkeiten im Penetration-Testing- und Research-Bereich aufzubauen – angefangen bei einzelnen Expertinnen und Experten bis hin zu einem Team von über 17 Personen. Ich habe eine Phase von intensivem Wachstum miterlebt, fachlich wie organisatorisch. Für diese Erfahrungen bin ich sehr dankbar, denn sie haben mich stark geprägt – insbesondere im Hinblick darauf, wie wichtig eine gute Führungskultur für nachhaltige Sicherheit ist. Ich habe erlebt, dass Wachstum nicht nur durch Zahlen sichtbar wird, sondern vor allem durch die Entwicklung von Strukturen, durch die Art und Weise, wie Teams zusammenarbeiten und Verantwortung übernehmen. Cybersecurity betrifft nicht nur Technik, sondern immer auch Menschen, Machtverhältnisse und gesellschaftliche Dynamiken. Diese Perspektive wurde für mich im Laufe der Zeit zunehmend zentraler – ebenso wie mein Bedürfnis nach Transparenz, einem reflektierten Umgang mit Technologie und einer mutigen, offenen Organisationskultur, die ich in meiner bisherigen Laufbahn teilweise vermisst habe.

Welche Akzente möchten Sie bei Aveniq in Ihrer neuen ­Rolle setzen – insbesondere auch hinsichtlich KI-gestützter Sicherheitstechnologien?

Mit meinem Background in der offensiven Sicherheit bringe ich eine Denkweise mit, die auf genauem Prüfen und kritischem Hinterfragen basiert. Gerade in der Cybersecurity – und besonders im Bereich KI-gestützter Sicherheit – dürfen wir uns nicht blind auf die Technologie verlassen. Wir müssen verstehen, wie sie funktioniert, wo ihre Grenzen liegen und welche Risiken sie mit sich bringt. Dafür braucht es Teams, die divers denken, Verantwortung übernehmen und bereit sind, neue Wege zu gehen. In einer Zeit, in der KI viele Aufgaben automatisiert, sind kritisch denkende Menschen wichtiger denn je. Denn nachhaltige Cybersicherheit entsteht nicht allein durch Tools oder Technik, sondern durch smarte, neugierige Köpfe, die bereit sind, Technologie zu hinterfragen und weiterzudenken.

Wie verändern sich Bedrohungsszenarien durch den verstärkten Einsatz von KI aufseiten der Angreifer, und welche Beispiele für den Einsatz generativer KI gibt es bereits?

KI senkt die Schwelle für Angriffe und macht sie gleichzeitig skalierbarer. Angriffsphasen, die früher viel manuelle Arbeit erforderten, werden heute von KI-gestützten Werkzeugen übernommen. Manche planen und führen aber auch komplette Angriffe eigenständig aus. Aber Angriffe, die viel Know-how benötigen, lassen sich durch KI schneller umsetzen, da mittlerweile auch komplexe Analysen durchgeführt werden können. In einem unserer Research-Projekte haben wir etwa proprietäre, undokumentierte hardwarenahe Protokolle aus dem Logic Analyser von KI in Minuten analysieren und nachbauen lassen – mit erstaunlich guten Ergebnissen. Besonders stark profitieren Angreifer im Bereich Social Engineering: Sie wirken heute deutlich überzeugender, die Texte sind fehlerfrei, schnell übersetzt und weltweit einsetzbar. Deepfakes machen selbst CEO-Fraud täuschend echt. Die Zahl solcher Angriffe nimmt spürbar zu und es wird immer schwieriger, sie zu erkennen.

Wie verändern sich Abwehrstrategien durch den Einsatz von KI und welche Grenzen hat diese Technologie aus Ihrer Sicht?

Auch auf der Gegenseite spielt KI eine immer wichtigere Rolle: Sie hilft dabei, schneller auf Angriffe zu reagieren und grosse Datenmengen effizient auszuwerten – auch mehrsprachig. KI kann Muster erkennen, verdächtige Aktivitäten einordnen und bei der Priorisierung von Sicherheitsvorfällen unterstützen. Dadurch entsteht eine Art «KI gegen KI»: Verteidiger setzen KI ein, um Phishing-Angriffe, Anomalien oder schädliches Verhalten zu erkennen, die oft selbst von KI erzeugt wurden. Darüber hinaus unterstützt KI bei der Automatisierung von Reaktionen, bei Trainings und in der Schwachstellenanalyse. Trotzdem hat die Technologie ihre Grenzen: Sie ist auf qualitativ hochwertige Daten angewiesen und kann fehleranfällig sein – besonders, wenn die Qualität nicht stimmt. Falschmeldungen oder fehlende Nachvollziehbarkeit können zusätzliche Risiken schaffen. Deshalb bleibt menschliche Kontrolle unerlässlich, ebenso wie klare Regeln für den Einsatz.

Welche rechtlichen oder ethischen Überlegungen spielen bei der Einführung von KI in der Cyberabwehr für die Kunden von Aveniq eine Rolle?

Die Einführung von KI in der Cyberabwehr ist rechtlich und ethisch anspruchsvoll. Im Mittelpunkt stehen der Datenschutz und das Einverständnis zur Nutzung von Daten. Dabei geht es nicht nur darum, welche Daten verwendet werden, sondern auch darum, wie eine KI-Lösung betrieben wird. Schnell tauchen komplexe Fragen auf: Wo befindet sich der Anbieter, der Nutzer, der Kunde? Wo liegen die Daten, wo werden sie verarbeitet? Je nach Konstellation können mehrere Länder mit unterschiedlichen Gesetzen, Regulierungen und Verträgen betroffen sein. Um praktikable Anwendungsfälle zu finden, hilft es, den Rahmen klar abzustecken. Zusätzlich stellt sich die Frage, welche Art von KI eingesetzt wird: Handelt es sich um ein generisches Sprachmodell oder ein speziell trainiertes Modell, einen eigenen KI-Agenten oder eine externe Lösung? Besonders kritisch: Wie wurde das Modell trainiert? Welche Trainingsdaten wurden verwendet? Enthalten sie Perso­nendaten oder urheberrechtlich geschütztes Material? Diese Informationen sind oft Betriebsgeheimnisse und damit schwer zu prüfen. Doch genau hier liegen zentrale ethische Herausforderungen, etwa im Hinblick auf Voreingenommenheit oder Diskriminierung. Wenn Entscheidungen auf Basis verzerrter Trainingsdaten getroffen werden, kann das direkte Auswirkungen auf die Bewertung von Risiken oder Zugriffen haben. Kurz gesagt: Bevor eine KI-Lösung eingeführt wird, braucht es eine sorgfältige Prüfung durch Datenschutz, Compliance, HR und Geschäftsleitung. Nur so lassen sich Fragen zu Haftung, Transparenz, Rechenschaftspflicht und dem Schutz sensibler Daten klären.

Wie gelingt es, «Safe and Secure AI» als praktischen ­Standard in Unternehmen zu etablieren?

Verantwortungsvolle KI-Nutzung braucht eine Kombina­tion aus klaren Regeln, technischer Kontrolle und Bewusstseinsbildung. Der wichtigste Schritt ist, vor dem Einsatz einer KI-Lösung die Grundlagen zu klären: Welche Entscheidungen darf die KI treffen? Welche Daten darf sie nutzen? Und wo braucht es menschliche Freigaben? Daraus entsteht eine KI-Governance, ähnlich wie bei der Cloud oder beim Datenschutz. Auf technischer Ebene gehören dazu Datenschutzmechanismen, Zugriffskontrollen, DLP und natürlich auch regelmässige Audits und Red Teaming. Organisatorisch braucht es klare Richtlinien, abgestimmt mit HR, Compliance und Geschäftsleitung. Und nicht zuletzt müssen Mitarbeitende verstehen, wie KI funktioniert, wo ihre Grenzen liegen und welche Risiken bestehen. Nur wenn Governance, Technik und Kultur zusammenspielen, kann KI sicher und verantwortungsvoll im Alltag eingesetzt werden.

Welche Frameworks oder Standards gibt es, an denen Sie sich bei der Implementierung KI-gestützter Sicherheits­lösungen orientieren?

Bei der Implementierung KI-gestützter Sicherheitslösungen orientieren wir uns an einer Kombination aus internationalen Standards und regulatorischen Vorgaben. Organisatorisch und methodisch sind das vor allem der EU AI Act, das NIST AI Risk Management Framework und der neue Standard ISO 42001, der zunehmend an Bedeutung gewinnt. Für technische Aspekte nutzen wir zusätzlich die Empfehlungen von OWASP, insbesondere die LLM Top 10, um Risiken bei Sprachmodellen frühzeitig zu erkennen und zu adressieren. Gleichzeitig bleiben die klassischen Grundlagen weiterhin zentral: ISO 27001, das Schweizer Datenschutzgesetz und die DSGVO bilden den verbindlichen Rahmen für Datenschutz, Sicherheit und Governance.

Was wünschen Sie sich von Regulierungsbehörden und der Politik, um Innovation im Bereich KI und Cybersecurity voranzutreiben, ohne dabei Sicherheit zu opfern?

Ein nachhaltiger und sicherer Umgang mit KI beginnt mit realistischen Erwartungen. Der Markt ist bereits hochdynamisch. Ständig entstehen neue Produkte – manche mit echter KI, andere nutzen den Begriff als Schlagwort. Oft fehlt ein klar erkennbarer Mehrwert. Die anfängliche Euphorie weicht zunehmend der Ernüchterung, vor allem, weil viele Technologien, insbesondere im Bereich «Agentic AI», die Erwartungen bislang nicht erfüllen. Gerade deshalb ist es wichtig, dass Politik und Regulierungsbehörden definierte, aber praxistaugliche Rahmenbedingungen schaffen. Klare Leitlinien, die Sicherheit, Datenschutz und ethische Prinzipien gewährleisten, dabei gleichzeitig flexibel genug bleiben, um technologische Entwicklungen nicht zu hemmen. Der EU AI Act ist ein erster sinnvoller Schritt in diese Richtung. Entscheidend ist nun, dass dieser Rahmen verantwortungsvoll, international abgestimmt und zügig weiterentwickelt wird.