In Zeiten, in denen digitale Angriffe immer raffinierter werden, zeigt Christophe Gerber, Leiter von ELCASecurity, wie Schweizer Sicherheit zum Bollwerk gegen Cyberkriminalität wird. Proaktive Strategien, digitale Abschreckung und lokale Souveränität sorgen dafür, dass Angreifenden gar nicht erst die Chance bekommen.
Herr Gerber, Sie sind Leiter von ELCASecurity, einem Unternehmen, das sich auf Schweizer Sicherheitslösungen spezialisiert hat. Was bedeutet «Schweizer Sicherheit» für Sie im digitalen Zeitalter?
Für mich hat die Schweiz historisch und traditionell einen besonderen Status als neutraler und vertrauenswürdiger Boden. Dies zeigt sich zunächst im physischen Bereich – denken Sie an Genf, an die internationalen Organisationen und an die Rolle, die die Schweiz in diplomatischen Angelegenheiten seit Jahrzehnten spielt. Dieses Vertrauen und diese Neutralität möchten wir auch in der Cybersecurity repräsentieren.
Überträgt sich dieses Vertrauen, das die Schweiz traditionell geniesst, Ihrer Meinung nach auch auf die digitale Sicherheit?
Wir sehen uns als neutralen und verlässlichen Partner auf dem Markt, der unabhängig agiert und gleichzeitig internationale Standards berücksichtigt. Unabhängigkeit ist für uns ein zentraler Wert. Dies betrifft nicht nur IT-Dienstleistungen wie Cloud-Services oder Software, sondern auch Sicherheitslösungen. Unser Anspruch ist es, einen starken Schweizer Geist in die digitale Welt zu tragen und dabei den Kundinnen und Kunden ein Höchstmass an Sicherheit, Vertrauen und Verlässlichkeit zu bieten.
Warum ist es aus Ihrer Sicht wichtig, dass Sicherheitslösungen in der Schweiz entwickelt und betrieben werden?
Heute verlieren wir teilweise unsere digitale Souveränität. Der IT-Markt wird stark von globalen Playern dominiert, die häufig in staatlicher Nähe stehen oder staatliche Unterstützung erhalten. Wenn man sich zum Beispiel Unternehmen aus dem Silicon Valley ansieht, erkennt man, dass deren Erfolg von Anfang an stark durch staatliche Rahmenbedingungen begünstigt wurde. In diesem Umfeld ist es entscheidend, dass wir als Schweizer Unternehmen die Kontrolle über unsere Daten und unsere IT-Umgebung zurückgewinnen.
Und welche konkreten Schritte sind nötig, um diese digitale Souveränität als Schweizer Unternehmen wiederzugewinnen?
Dazu gehört zunächst, genau zu wissen, wo unsere Daten gespeichert sind, wie sie verarbeitet werden und dass diese Verarbeitung im Einklang mit den Schweizer Gesetzen geschieht. Lokale Partner, die unsere Werte teilen, sind dabei essenziell. Auch wenn Anbieter über erhebliche finanzielle Mittel verfügen, können wir in der Schweiz ein lokales Ökosystem aufbauen, das unsere digitale Souveränität wiederherstellt. So schaffen wir die Grundlage, um international wettbewerbsfähig zu bleiben, ohne unsere Unabhängigkeit zu verlieren.
Wie stellen Sie sicher, dass Ihre Lösungen den hohen Datenschutzstandards der Schweiz entsprechen?
Als in der Schweiz operierendes Unternehmen sind wir verpflichtet, die lokalen Gesetze einzuhalten. Dazu gehört insbesondere das Schweizer Datenschutzgesetz, das sogenannte DSG. Dieses bildet die Grundlage all unserer Aktivitäten, wenn es um die Handhabung sensibler Daten geht. Gleichzeitig agieren wir international und berücksichtigen daher auch die Datenschutzgrundverordnung der EU, wo es erforderlich ist.
Mein Ziel ist es, dass die Schweiz einen sicheren Hafen im digitalen Raum bietet, ähnlich dem Vertrauen, das wir im physischen Raum geniessen.
Wie setzen Sie diesen gesetzlichen Vorgaben konkret in Ihrer täglichen Arbeit und bei Ihren Lösungen um?
Die meisten unserer Lösungen werden entweder in der Schweiz entwickelt oder betrieben. Unsere Mitarbeitenden arbeiten physisch in Schweizer Büros. Für weniger kritische Anwendungen nutzen wir gegebenenfalls Offshore-Büros, aber bei allen kritischen Systemen bleibt die Entwicklung und der Betrieb vollständig lokal. Das Management und das Eigentum von ELCASecurity sind vollständig in der Schweiz positioniert, sodass keine Abhängigkeiten von internationalen Akteuren bestehen. So stellen wir sicher, dass unsere Kundinnen und Kunden sowohl technische als auch organisatorische Souveränität geniessen können.
Sie betonen proaktive Sicherheitsmassnahmen. Wie unterscheidet sich dieser Ansatz von traditionellen reaktiven Methoden?
Traditionelle Sicherheitsmassnahmen sind meist reaktiv. Das heisst, ein Angriff wird erkannt, wenn er bereits in das System eingedrungen ist, erst dann wird agiert – mit technischen Mitteln, menschlichen Ressourcen oder organisatorischen Massnahmen. Dieser Ansatz birgt jedoch erhebliche Risiken. Ein Angriff kann die Produktivität für Tage oder Wochen lahmlegen, Kundendaten können kompromittiert werden. Für viele Unternehmen ist das existenzbedrohend.
Und welche Strategie verfolgen Sie?
Unser Ansatz ist proaktiv. Wir wollen zeigen, dass sich ein Angriff nicht lohnt. Dazu analysieren wir die potenziellen Angreifenden, identifizieren die Schwachstellen in unseren Systemen und setzen präventive Massnahmen ein. Ziel ist es, die Angreifenden frühzeitig zu erkennen und zu signalisieren, dass die Kosten eines Angriffs den potenziellen Nutzen übersteigen. Dies ist nicht nur eine technische Frage, sondern auch eine strategische Haltung. Wir wollen die Balance zwischen Angriff und Verteidigung von vornherein zu unseren Gunsten verschieben.
Können Sie ein konkretes Beispiel nennen, bei dem Ihre proaktive Strategie einen Sicherheitsvorfall verhindert hat?
Ein sehr anschauliches Beispiel ist der Eurovision Song Contest in Basel. Wir waren für die Gesamtsicherheit der digitalen Systeme verantwortlich. Schon neun Monate vor der Veranstaltung haben wir damit begonnen, potenzielle Bedrohungen zu analysieren, Strategien zu entwickeln und präventive Massnahmen umzusetzen. Dabei ging es nicht nur um technische Abwehr, sondern auch um ein tiefes Verständnis der potenziellen Angreifenden – von Hacktivist:innen bis hin zu staatlich unterstützten Akteuren. Dank dieser umfassenden Vorbereitung kam es während der Veranstaltung zu keinen nennenswerten Vorfällen. Niemand bemerkte unsere Arbeit und genau das ist das Ziel. Dass unsere Massnahmen im Hintergrund wirken, ohne dass es zu Störungen kommt. Die proaktive Sicherheitsstrategie hat hier den Unterschied gemacht.
Ihr Unternehmen setzt auf das Prinzip der «Cyber Deterrence». Was bedeutet diese Art von Abschreckung genau und wie wird das Konzept praktisch umgesetzt?
Cyber-Deterrence oder digitale Abschreckung bedeutet, die potenziellen Angreifenden davon zu überzeugen, dass ein Angriff zu aufwendig, teuer oder riskant ist. Um dies zu erreichen, beobachten wir die Bedrohungslandschaft, sammeln Informationen über potenzielle Angreifende und setzen Sicherheitsmassnahmen frühzeitig ein. Ziel ist es, dass der oder die Angreiferin schon an der Grenze unseres Systems erkennt, dass es zu schwierig wäre, weiter vorzudringen und sich stattdessen ein anderes Ziel sucht. Schon Sun Tzu hat in «Die Kunst des Krieges» betont, dass der Sieg ohne Kampf das Ziel ist. Dies ähnelt dem Prinzip der nuklearen Abschreckung im physischen Bereich – Prävention durch Stärke und Kommunikation.
Welche Rolle spielt die Zusammenarbeit mit anderen Unternehmen und Institutionen bei der Umsetzung von Cyber-Deterrence-Strategien?
Die Zusammenarbeit hängt stark vom Anwendungsbereich ab. Auf Unternehmensebene können technische Massnahmen und aktive Kommunikation ausreichen. Auf nationaler Ebene ist die Situation komplexer. Hier müssen technische Expert:innen, politische Entscheidungsträger:innen und Kommunikationsverantwortliche eng zusammenarbeiten. Abschreckung funktioniert nur, wenn sie sichtbar und glaubwürdig ist. Zudem ist die Zusammenarbeit innerhalb eines Landes und mit anderen Unternehmen im Ökosystem entscheidend, um klare Verhältnisse zu schaffen und gemeinsame Sicherheitsstandards zu etablieren.
Und zum Schluss: Wie sehen Sie die Zukunft der Sicherheit in der Schweiz in den nächsten fünf Jahren?
Cybersecurity wird zunehmend untrennbar mit physischer Sicherheit verbunden sein. Digitale Angriffe können heute direkte physische Konsequenzen haben – zum Beispiel in Krankenhäusern, an Flughäfen oder bei Grossveranstaltungen. Gleichzeitig wird künstliche Intelligenz eine grosse Rolle spielen. Wir verteidigen uns gegen automatisierte Angriffe, sogenannte Roboter, und setzen selbst automatisierte Systeme ein, um effizient reagieren zu können. Mein Ziel ist es, dass die Schweiz einen sicheren Hafen im digitalen Raum bietet, ähnlich dem Vertrauen, das wir im physischen Raum geniessen – von den Genfer Konventionen bis hin zu unserem Bankwesen. Wir haben die Kompetenzen, die besten Schulen und eine starke industrielle Basis, um in diesem Bereich führend zu sein. Die Digitalisierung bietet die Chance, dass die Schweiz ihre traditionell starke Position in Sicherheit und Vertrauen auch im digitalen Zeitalter ausbauen kann.
Schreibe einen Kommentar