Marcel Zumbühl: «Cybersicherheit ist mittlerweile zur DNA der Post geworden»

Die Post verbindet man in der Schweiz noch immer vornehmlich mit Brief- und Paketversand. Doch sie gehört auch zu den Betrieben, für die Cybersecurity in mehrfacher Hinsicht absolut essenziell ist. Marcel Zumbühl, Konzern-CISO der Post, erklärt, worauf dies zurückzuführen ist. Und warum so viele Cyberattacken mit gefälschtem Namen der Post verübt werden.

Herr Marcel Zumbühl, das Thema «Cybersicherheit» ist für Unternehmen aller Branchen und Grössen relevant. Inwiefern betrifft es die Schweizerische Post?

Wir sind sogar in hohem Masse davon betroffen. Dies einerseits, weil es sich bei der Post um eine systemkritische Infrastruktur handelt. Der Schutz vor Attacken aus dem Web muss dementsprechend hohe Priorität für uns haben. Und andererseits wird die Post leider häufiger als jedes andere Schweizer Unternehmen als Vehikel benutzt, um Menschen mit Betrugsnachrichten anzugreifen.

Aus welchem Grund wählen denn Cyberangreifenden gerade die Post so häufig als vermeintlichen Absender von Betrugsnachrichten?

Das hat mit der – an sich äusserst positiven – Tatsache zu tun, dass wir in der Bevölkerung ein hohes Mass an Vertrauen geniessen. Und wer mithilfe von Phishingmails an vertrauliche und sensible Informationen gelangen möchte, versucht natürlich, sich diese durch Vertrauen zu erschleichen. Dafür nutzen viele unseren etablierten Markennamen. Dies betrifft im Übrigen nicht nur uns: Seit der Coronapandemie werden sämtliche nationalen Postservices hierfür missbraucht, von Japan bis in die USA. Natürlich wollen wir die Leute so gut es geht vor solchen Angriffen schützen, weswegen Cybersecurity ein essenzielles Thema für uns darstellt.

Von wie vielen solchen Angriffen, die fälschlicherweise im Namen der Post verübt werden, sprechen wir?

Wir registrieren pro Monat bis zu 280 «Angriffswellen». Und jede davon trifft zumindest einige Personen. Meist werden Nachrichten versendet, welche die Empfängerinnen und Empfänger dazu anhalten, einen Link anzuklicken. Auf der verlinkten Landingpage werden dann Handynummer, Kreditkarteninfos usw. nachgefragt. Genau hier setzen wir an: Unsere IT- und Cybersecurity-Profis nehmen pro Tag bis zu fünf solcher Seiten vom Netz. Dann führt, selbst wenn jemand einen solchen Link anklickt, der Angriff ins Leere. Cybersicherheit ist mittlerweile zur DNA der Post geworden. Dies auch, weil wir die nationale Nummer zwei im öffentlichen Verkehr sind, E-Voting anbieten, als Dienstleister für das Digitale Patientendossier agieren sowie als Finanzdienstleister tätig sind. In all diesen Bereichen spielt die Cybersecurity eine essenzielle Rolle. Und auch unsere eigenen Infrastrukturen gilt es zu schützen: Die Schweizerische Post betreibt über zehn grosse Brief- und Paketcenter sowie zwei Rechenzentren. Um auf einer so breiten Front die bestmögliche Sicherheit zu gewährleisten, haben wir immer wieder neue Ideen aufgegriffen und Pionierleistungen erbracht.

Können Sie hierfür ein Beispiel anführen?

Wir gehörten zu den ersten Unternehmen, die im Rahmen von Bug-Bounty-Programmen die eigenen IT-Infrastrukturen rund um die Uhr durch Hackerinnen und Hacker auf Herz und Nieren prüfen liessen. Wir prüfen aber nicht nur IT auf Lücken, wir schauen uns auch Fahrzeuge an. So haben wir mithilfe von Experten die Cybersecurity unserer Postautos untersucht. Wir versuchen also, Gefährdungsszenarien gezielt weiterzudenken. Hierfür nehmen wir einerseits die Perspektive unserer Kunden ein und betrachten die Fälle andererseits auch aus der Sicht der Angreifenden. Wir erachten Cybersecurity also nicht einfach als einen Zustand, den man erreicht und dann aufrechterhält. Vielmehr handelt es sich um einen fortlaufenden Prozess mit dem Ziel, eine echte, kundenzentrierte Sicherheit bieten zu können.

Man hört aus Fachkreisen immer wieder, dass wir es mit einem Wettrennen zwischen Cyberkriminellen und Unternehmen bzw. anderen potenziellen Zielen zu tun haben.

Aus genau diesem Grund dürfen wir hinsichtlich Sicherheit nie stehen bleiben. Viele Angriffe laufen heute automatisiert ab, sprich, die Cyberkriminellen kaufen die entsprechenden Dienstleistungen einfach ein. Es handelt sich hierbei um eine eigene Form der Ökonomie. Die Frage lautet daher nicht, ob ein unternehmerisches System sicher ist, sondern wie eine Organisation «Sicherheit» als Teil ihrer Kultur pflegt.

Wie machen Sie denn bei der Post «Sicherheit» zum Teil der Unternehmenskultur?

Ich sehe den Menschen als das wichtigste und stärkste Glied in der Sicherheitskette. Denn wir Menschen können ein Sensor sein für Abläufe, die sich nicht richtig anfühlen. Doch damit Angestellte und Teammitglieder diese Rolle ausüben können, müssen wir eine Kultur schaffen, die Fehler nicht straft, sondern eine transparente Kommunikation fördert. Bei der Post trainieren wir deshalb regelmässig, ob unsere Mitarbeitenden Phishing-Angriffe erkennen – und ob sie es melden, wenn sie fälschlicherweise einen Link angeklickt haben. Eine von drei Personen meldet uns das zurück. Und ja: Auch mir als CISO (Chief Information Security Officer) ist es schon passiert, dass ich einen solchen Link betätigt habe. Solange ich aber transparent kommuniziere und alarmiere, können wir ein Learning daraus ziehen und Massnahmen einleiten. Das muss der Kern einer jeden Sicherheitskultur sein.

Apropos: Was zeichnet einen guten CISO aus?

Ich denke, ein CISO muss ganz viele Aspekte erfüllen, was den Job ebenso spannend wie anspruchsvoll macht. In dieser Funktion muss man sich zum Beispiel tagtäglich mit Risiken, Chancen sowie komplexen unternehmerischen Themen auseinandersetzen. Auch die Psychologie spielt eine zentrale Rolle, schliesslich besteht eine Aufgabe des CISO darin, zu einer gesunden Sicherheitskultur beizutragen. Daher bin ich der Ansicht, dass der grundlegende Antrieb der Wille sein muss, etwas zu bewirken. Das bedingt auch ein proaktives Denken über das Thema «Angriffe» hinaus: Wie entwickelt sich das Thema weiter? Wie können wir stetige, kundenzentrierte Sicherheit gewährleisten? Solche und ähnliche Fragen stehen dabei im Fokus. Und zu guter Letzt befindet man sich auch in der Vermittlerrolle, denn man hat mit allen Teilen der Unternehmung zu tun, vom Factory Floor bis zum Verwaltungsrat. Und natürlich stehen mein Team und ich auch mit unseren Kundinnen und Kunden im Kontakt.

Wie also sensibilisieren Sie die Kundschaft der Post für ein sicheres Verhalten im Web?

Zum einen müssen wir dem Sicherheitsaspekt von Anfang an in unseren Produkten und Dienstleistungen Rechnung tragen. Und zum anderen geht es darum, unseren Kundinnen und Kunden zu vermitteln, worauf sie achten müssen, wenn sie sich online bewegen. Hierzu führen wir regelmässig Informationskampagnen durch. Ein Thema, das wir künftig sicherlich vertieft behandeln werden, betrifft Deepfakes und KI. Hier lautet eine unserer aktuellen Empfehlungen etwa, dass man bei einem Video darauf achten sollte, ob kleine Fehler auftauchen, wie eine verschwindende Hand vor dem Gesicht, Fehler bei Profilbildern etc. Denn noch sind die KI-Deepfakes nicht perfekt.

Sehen Sie im Bereich KI auch Potenzial, um Cybersecurity zu verbessern?

Sicherlich, allerdings ist KI im Sicherheitsbereich noch immer ein sehr «zartes Pflänzchen». Doch die Chancen sind enorm, etwa wenn es darum geht, Hilfsmittel für bestehende Skills zu schaffen. Die Post führt ein Security-Center für ihre Kerndienste sowie eines fürs Banking Geschäft. Die Menschen dort werden wir sicherlich nicht durch KI-Lösungen ersetzen. Doch wir eruieren, wie man die Technologie nutzen kann, um den Menschen in den Sicherheitsschaltzentralen zu helfen, ihren Job noch besser zu machen.

Welche künftigen Trends und Entwicklungen zeichnen sich allgemein im Bereich Cybersecurity am Horizont ab?

Zum einen wird uns der Umgang mit neuen Technologien beschäftigen. Ein aktuelles Beispiel liefert das Thema Quantencomputing. Diese Technologie macht die Verschlüsselungsverfahren von heute obsolet. Dies wird vielleicht zum Ende der Dekade der Fall sein. Daher müssen wir uns schon heute mit neuen Verschlüsselungsverfahren auseinandersetzen. Anderseits bietet die Quantentechnologie auch die Chance, Informationen über grosse Distanzen abhörsicher zu übertragen. Wie bei jeder Technologie bieten sich also Chancen und Risiken. Ein weiteres Thema der Zukunft ist die identitätsbasierte Sicherheit. Unternehmen werden immer durchlässiger, sowohl was Menschen, aber auch Systeme anbetrifft, weswegen Unternehmen laufend prüfen müssen, wer sich darin aufhält und ob diese Menschen wirklich diejenigen sind, die sie zu sein vorgeben. Eine Eingangskontrolle reicht dafür nicht mehr aus, sondern man wird laufende Verifizierungsprozesse implementieren müssen. Ferner werden wir uns mit persönlichen KI-Assistenten beschäftigen: In naher Zukunft wird eine KI etwa für eine Firma den Einkauf erledigen und direkt die Logistiker beauftragen können. Unsere Kunden von morgen sind also vielleicht gar nicht mehr nur Menschen, sondern auch künstliche Intelligenzen. Dies muss man in den eigenen Prozessen berücksichtigen.