Während Cybersicherheit für Unternehmen weltweit von Jahr zu Jahr wichtiger wird, ist das Thema zwangsläufig auch zur Staatssache geworden. Unternehmen erwarten von Vater Staat Regeln, Regulierung, Empfehlungen und Hilfe in der Not. Die helvetische Reaktion auf die anstehenden Herausforderungen im Bereich Cybersicherheit ist das Engagement eines Sicherheitsexperten – dem Delegierten des Bundes für Cybersicherheit –, der damit die Speerspitze dieser Anstrengungen in der Schweiz ist. Dieser Aufgabe stellt sich seit Sommer 2019 der 38-jährige Florian Schütz.
Schütz arbeitete vor seinem Engagement beim Bund als Leiter IT Risk & Security bei Zalando, davor war er acht Jahre lang für Ruag tätig, unter anderem als Leiter Cyber Security. Weiter verfügt Schütz über einen Master in Computerwissenschaft sowie einen Master of Advanced Studies in Sicherheitspolitik und Krisenmanagement der ETH Zürich. Ein ausgewiesener Security-Spezialist mit langjähriger Erfahrung. In seiner neuen Aufgabe übernimmt der Delegierte unter anderem die strategische Leitung des neu geschaffenen Nationalen Zentrums für Cybersicherheit (NCSC). Weiter soll er Ansprechperson für Politik, Medien und Bevölkerung sein und die interdepartementalen Gremien im Bereich Cyberrisiken leiten.
Auch die Zusammenarbeit mit der Wirtschaft gehört damit klar in seinen Verantwortungsbereich. Für «Swiss IT Magazine» ein Grund, mit Florian Schütz über seine Einschätzung zum Stand der Cybersicherheit und seine Empfehlungen für die Schweizer KMU-Landschaft zu sprechen.
Swiss IT Magazine: Dank viel Forschung und dem entsprechenden Kapital im Land sind Schweizer Unternehmen ein attraktives Ziel für Cyberangriffe. Welche Unternehmen und Branchen sind hierzulande besonders gefährdet, Opfer einer Cyberattacke zu werden?
Florian Schütz: Den typischen Angriff gibt es nicht. Angriffe unterscheiden sich je nachdem, welches Ziel die Angreifer verfolgen. Sie können dabei durchaus branchenspezifisch sein. Von Angriffen, bei denen der Abzug von geistigem Eigentum das Ziel ist, sind prinzipiell Firmen betroffen, die weltweites Interesse anziehen – Beispiele wären der Pharma- oder der Technologiebereich. Die meisten Angriffe, die wir beobachten, sind aber nicht zielgerichtet, sondern breiter gefasst. Manchmal sind die Angriffe auch sektorspezifisch, wie etwa bei der Malware Emotet im Finanzsektor. Kurz gesagt: Eine generelle Aussage ist hier äusserst schwierig.
Wie schätzen Sie denn den Sicherheitsstandard beim Schweizer Mittelstand ein? Gibt es da Aufholbedarf und was sind die Herausforderungen?Daten diesbezüglich liegen derzeit nur wenige vor. Meine Einschätzung ist aber, dass es in diesem Bereich Aufholbedarf gibt, vor allem bei der Umsetzung des Grundschutzes. Studien zeigen, dass ein Grossteil der erfolgreichen Angriffe über Schwachstellen erfolgen, die seit Monaten bekannt sind.
Lücken also, die längst hätten gepatcht werden können?Ja, diese Lücken sind bekannt, Patches sind verfügbar. Wenn man den Grundschutz sauber umsetzt, kann man schon sehr viel abfangen. Wichtig ist, dass man entsprechende Prozesse eingerichtet hat.
Welche Schlüsse muss ein Schweizer KMU aus dieser Tatsache ziehen?Hier muss man unterscheiden, um was für ein KMU es sich handelt: Sprechen wir zum Beispiel von einem kleinen Handwerkerbetrieb, welcher die IT nur für die Rechnungsstellung braucht, ist es möglich, dass das Know-how nicht vorhanden ist. In diesem Fall wäre etwa das Ausweichen auf Cloud-Lösungen möglich, da diese Cloud-Dienstleister die entsprechenden Security-Teams und -Vorkehrungen haben. Sprechen wir aber von einem High-Tech-Pharma-KMU mit eigener IT, welche mit eigenen Geräten Daten verarbeitet, Analysen macht et cetera, dann müssen die entsprechenden Prozesse selbst umgesetzt werden. Hier gibt es noch zu viel Schwarzweiss-Denken: Schützen oder nicht schützen? Das ist hier die falsche Frage.
Was wäre denn richtig?Es geht um Risikoabwägung! Genau wie beim Finanzrisiko-Management geht es bei der IT-Sicherheit darum, die Risiken dem Risikoappetit anzupassen. Ein Start-up hat einen ganz anderen Risikoappetit als eine etablierte Firma. Hier ist das grösste Risiko, zu langsam am Markt zu sein. Wenn bei einem Start-up die Cybersicherheit aber so viel Ressourcen schluckt, dass es dadurch zu langsam am Markt ist, ist das letztendlich schlimmer als ein Breach – das Unternehmen geht out of Business. Das sind Abwägungen, die heute noch zu wenig Platz finden. Cybersicherheit wird isoliert betrachtet und als gut oder nicht gut eingestuft. Es ist immer eine Frage des Risikos.
Sagen Sie gerade durch die Blume, dass man als Start-up den Breach offen in Kauf nehmen soll, um schnell genug am Markt zu sein?Nein, aber man muss das Risiko und die Geschwindigkeit ausbalancieren und sich beispielsweise fragen, wie wichtig das eigene geistige Eigentum ist. Ich würde niemals mit einem Produkt an den Markt gehen, wenn ich meinen Grundschutz nicht gewährleistet und für mich passende Zusatzmassnahmen getroffen habe. Denn selbst, wenn ich der Erste am Markt bin, ist es nur eine Frage der Zeit, bis ich einen Breach habe, für den die Kapitalreserven nicht ausreichen. Ein kleines Beispiel hierzu: Wenn man als App-Entwickler – etwa aufgrund eines Breachs – den Namen der Applikation ändern muss, verliert man bis zu 80 Prozent der Kundenbasis.
Ist IT-Sicherheit also eine Frage des Risikos?Wie bereits gesagt: Es geht um Risikoabwägung. Dass die gesetzlichen Vorgaben dabei immer eingehalten werden müssen, ist klar. Bei allem was darüber hinaus geht, muss ich eine Abwägung vornehmen. Als Beispiel: Wenn jemand den Backend-Sourcecode meines E-Commerce-Systems stehlen will, ist das eventuell nicht wirklich schlimm, bei der Kundendatenbank schon.
Wenn ich aber ein Tech-Start-up mit einem innovativen Produkt bin……werden Sie je nach Attraktivität Ihrer Technologie unter Umständen zum Angriffsziel. Hier stellen sich etwa die Fragen: Was sind die Märkte? Was sind die Expansionspläne? Man muss die Risiken bewusst abwägen und sich klarmachen, dass man eine Verantwortung trägt – gegenüber der eigenen Firma, gegenüber dem Gesetz und gegenüber Dritten.
Das klingt für das durchschnittliche KMU nach einer schwierigen Abschätzung. Wie finde ich denn heraus, was meine Anforderungen sind?Für die meisten Unternehmen ist das gar nicht so schwierig. Das Wichtigste ist der Grundschutz. Die Etablierung des Grundschutzes ist das absolute Minimum. Es gibt gute internationale Standards und Best Practices, unsere Behörde gibt dazu übrigens gerne Auskunft. Zudem muss man sich mit Blick auf das eigene Geschäftsmodell überlegen, wo ein erhöhter Schutzbedarf existiert.
Zum Beispiel?Ein Logistikunternehmen muss wissen, wo sich welcher Container befindet und wann er geliefert wird. Diese Daten sind wichtig, also sollte man sich um erhöhten Schutz bemühen. Die Abwägung ist pragmatisch: Wo hat man einen erhöhten Schutzbedarf mit hohem Aufwand, und wo ist der Schutzbedarf geringer, dafür mit kleinem Aufwand umsetzbar? Oft lohnt es sich, die einfachen Massnahmen sofort zu erledigen, die grossen Bereiche als Projekt anzugehen und die Themen dazwischen nach Best Effort nachzuziehen. Der Grundschutz lässt sich unabhängig vom Geschäft umsetzen. Meine Empfehlung: Definieren Sie die drei Prozesse, die in Ihrem Geschäft schieflaufen könnten und gestalten Sie die Sicherheitsmassnahmen entsprechend.
Die Security-Strategie muss also stets dem eigenen Business-Modell folgen.Exakt. Ich weiss nicht, woher die falsche Annahme kommt, dass es diese eine Sicherheit gibt. «Security by Checklist» funktioniert nicht! Sicherheit ist ein Prozess, eine Tätigkeit, die sich verändert und nie abgeschlossen ist. Genauso wie ein Unternehmen nie damit aufhört, seine Finanzen oder Mitarbeitenden zu managen. Ich begegne aber öfters Sicherheitskonzepten, welche schlicht nicht durchdacht genug sind. Massnahmen werden umgesetzt und danach herrscht Stillstand. Man muss verstehen, dass Sicherheit keine Aufgabe ist, der man sich einmal annimmt, sie erledigt und für beendet erklärt. Sicherheit ist immer ein Prozess. Geschäfte verändern sich und damit auch ihr Anspruch an die Sicherheit.
Und so auch die Bedrohungslage.
Ja, auch bei der Bedrohungslage ändern sich die Modelle. Ransomware verschlüsselte einst was grade erreichbar war. Heute beobachten wir, dass Ransomware länger abwartet, versucht tief ins System vorzudringen und dann die Kernsysteme verschlüsselt. Auch schauen die Angreifer genauer, was überhaupt zu holen ist. Üblich sind etwa drei Tagesumsätze, damit die Geldforderung für Unternehmen theoretisch bezahlbar ist. Wir empfehlen aber klar, keine Lösegelder zu überweisen. Erstens, weil dadurch Kriminelle finanziert werden und zweitens, weil man sich in eine sehr schwache Position versetzt und damit weiterhin ein attraktives Ziel bleibt.
Also lieber in den sauren Apfel beissen und die Umgebung neu aufbauen?
Uns ist bewusst, dass das natürlich abhängig vom Geschäftsmodell nicht in jedem Fall gleich einfach ist. Einzelne Unternehmen können gut vorübergehend auf Papier arbeiten, bei anderen gestaltet sich dies jedoch schwieriger. Klar ist: Man soll sich bei der Polizei und unserer Meldestelle beim Nationalen Zentrum für Cybersicherheit (NCSC) melden. Wir empfehlen dringend, dass Unternehmen nicht versuchen sollen, die Situation alleine zu bewältigen: Holen Sie Hilfe.
Was ist zu tun, wenn es zu spät ist und beispielsweise Ransomware meine gesamte Umgebung verschlüsselt hat?
Dann zeigt sich, wie gut man sich auf solche Fälle vorbereitet hat. Wenn ein Unternehmen mit eigener IT – ausgelagert oder intern – einen Zwischenfall feststellt, sollte man einen Incident-Management-Plan haben, der abgearbeitet werden kann. Es wird analysiert, welche Systeme betroffen sind, wie und wo sich die Malware weiterverbreitet hat und welche Systeme man isolieren kann. Dies geschieht durch die IT-Fachkräfte. Es ist enorm wichtig, dass man den Spezialisten die nötige Kompetenz gibt. Sprich, man muss sie arbeiten lassen, damit sie die Massnahmen schnell umsetzen können. Wenn bei jedem Schritt das Management konsultiert werden muss, ist man wahrscheinlich zu langsam. Die IT-Sicherheit sollte isoliert sein und ein möglichst unabhängiger Krisenstab eingerichtet werden, der nicht am Cashflow gemessen wird.
Und so lassen sich die schlimmsten Folgen abwenden?
Wenn Unternehmen einen grossen Cyber Incident haben und diesen erfolgreich bewältigen – mit der passenden Kommunikationsstrategie, stabilem Krisen-Management und gutem Business-Continuity-Management – spüren sie nach rund zwei Jahren keine negativen Effekte mehr. Kunden strafen die Firmen erfahrungsgemäss aufgrund von Intransparenz ab. Die zentralen Punkte sind kurz zusammengefasst: Technische Teams arbeiten lassen, Krisenmanagement hochfahren, Kontakt zu Behörden aufnehmen, Transparenz gegenüber den Kunden wahren – also sie informieren –, juristische Vorgaben einhalten.
Das heisst auch, dass das Incident-Management weit über die IT hinausgeht?
Man muss auch Compliance-Fachleute und Juristen beiziehen, um die Gesamtlage bewältigen zu können.
Was wären denn die Schritte für die Juristen?
Vorweggenommen: Ich bin kein Jurist. Grundsätzlich kann gesagt werden, dass Juristen aufzeigen, welcher Rechtsraum für das Unternehmen gilt und welche branchenspezifischen Vorgaben existieren. Die rechtlichen Abwägungen müssen im Sinne einer Gesamtsicht zusammen mit den Inputs von Kommunikation und Compliance betrachtet werden. So kann eine Gesamtbewertung gemacht werden mit dem Ziel, sicherzustellen, dass man sich nicht in unschöne juristische Situationen hineinmanövriert.
Viele der beschriebenen Massnahmen erfordern sehr gut ausgebildete Fachkräfte. Haben wir in der Schweiz überhaupt genug Nachschub für diesen Kampf gegen die Cyberkriminalität?
Wir haben mit den beiden ETHs top Technologie-Hochschulen im internationalen Vergleich, wir haben andere Universitäten und Fachhochschulen mit einem ausgezeichneten Ruf. Hinzu kommt die Berufslehre, die für die Ausübung eines Berufs wichtige Kenntnisse und Fähigkeiten vermittelt. Somit haben wir auf allen Stufen gut ausgebildete Leute. Ich denke also nicht, dass das Problem hier liegt.
Für einmal ist das Problem also nicht der Fachkräftemangel?
Global gesehen, soll es diesen Fachkräftemangel geben, und dies mag auch so stimmen. Für die Schweiz kann ich das nicht beurteilen. Es gibt einen globalen kompetitiven Markt, und es stellt sich für Unternehmen die Frage, ob man die Fachkräfte aus diesem Pool bekommt, die man braucht. Das ist ein Wettbewerb. Ich bin überzeugt, dass man mit einer guten Unternehmenskultur gute Leute an den Tisch bekommt.
Sind diese nicht schrecklich teuer?
Ich habe in meiner Karriere etliche Anstellungsgespräche geführt. Die herausragenden Fachkräfte fragen zuerst immer das Gleiche: «Wer ist hier drin besser als ich, von wem kann ich etwas lernen?». Das Gehalt ist bei (fast) allen zweitrangig. Die Firmenkultur und die IT-Umgebung müssen aber diese Denkweise zulassen. Ich kenne Security-Spezialisten die lieber in internationalen Technologie-Konzernen als in kleineren Firmen arbeiten. Die Begründung ist einfach: Es kann davon ausgegangen werden, dass das Management in diesen Unternehmen etwas von Technologie versteht. Diesbezüglich braucht es hierzulande tatsächlich ein Umdenken auf Management-Stufe, einen Kulturwandel: Ein Grundverständnis für Technologie ist essentiell – man muss mit den Fachkräften reden und sie verstehen können.
Unternehmen sollten letztlich also verstehen, dass IT-Security immer nur im Kontext des Geschäfts funktioniert und weit über die IT-Abteilung hinausgeht?
Wenn ich eine Maschine bediene, muss ich die Handgriffe beherrschen – wenn ich Emails lese, darf ich nicht auf Phishing-Anhänge klicken. Wir müssen in der Berufsausbildung sicherstellen, dass Cybersicherheitsaspekte, welche das jeweilige Berufsfeld betreffen, ausgebildet werden. In vielen Berufen ist die IT aufgrund der fortlaufenden Digitalisierung immer mehr der Motor des Geschäfts. Das Management eines Unternehmens muss das verstehen.
(win)