Interview von SMA

«Es ist nicht förderlich, wenn man Mitarbeitenden ständig sagt, dass sie der grösste Risikofaktor sind»

Die Digitalisierung hat längst sämtliche Lebensbereiche erfasst. Dadurch stellt sich die Frage, wie man sich in diesen Sphären effektiv und nachhaltig vor Cyberangriffen schützen kann. «Fokus» sprach hierzu mit Marco Wyrsch, Chief Security Officer bei der Swisscom. Und erfuhr unter anderem, was es mit der «Fünf-Finger-Regel» auf sich hat.

Die Digitalisierung hat längst sämtliche Lebensbereiche erfasst. Dadurch stellt sich die Frage, wie man sich in diesen Sphären effektiv und nachhaltig vor Cyberangriffen schützen kann. «Fokus» sprach hierzu mit Marco Wyrsch, Chief Security Officer bei der Swisscom. Und erfuhr unter anderem, was es mit der «Fünf-Finger-Regel» auf sich hat.

Herr Wyrsch, welche spezifischen Herausforderungen sehen Sie in der heutigen Bedrohungslandschaft für Unternehmen – und wie begegnen Sie diesen Herausforderungen?

Es handelt sich hier um ein äusserst breites Feld. Innerhalb dieser Thematik gibt es drei zentrale Bereiche, auf die ich fokussiere. Der erste betrifft die Motivation der Angreifer. Wir sehen etwa bei den Angreifern, die auf Ransomware setzen, ganz klar einen kommerziellen Antrieb. Daneben gibt es auch die staatlichen Hackergruppen sowie die ideologisch motivierten Angreifer. Letztere versuchen oft, mit ihren Aktionen ein gewisses Statement zu untermauern oder Destabilisierung und Unsicherheit zu erreichen. Doch die breite Masse der Cyberkriminellen besteht aus organisierten Teams, die mit ihren Attacken Geld verdienen möchten. Die Gegenseite und ihre Motivation nachvollziehen zu können, ist für Unternehmen aller Art essenziell.

Welches ist demnach der zweite wesentliche Themenbereich innerhalb der Cybersicherheit?

Dieser betrifft unsere zunehmende Abhängigkeit von Technologie. Dieser Umstand stellt ebenso eine Chance wie auch ein Risiko dar. Dessen muss man sich bewusst sein. Ein gutes Beispiel hierfür bietet Generative AI: Diese Form der künstlichen Intelligenz eröffnet für Firmen aller Branchen und Grössen enorme Chancen. Gleichzeitig muss man sich aber auch die Risiken, die daraus entstehen können, vor Augen führen. Gleiches gilt für die Cloudtransformation, die für zahlreiche Unternehmen ein weiteres Hot Topic darstellt. Denn gerade beim Wechsel in die Cloud sollte man die Lösung vorgängig richtig konfigurieren, anstatt einfach eine «Out-of-the-Box-Anwendung» zu nutzen. Dafür muss man sich im Vorfeld ausgiebig mit der Technologie auseinandersetzen, was zeit- und ressourcenaufwendig ist – aber, wie gesagt bei richtiger Umsetzung eine enorme Chance für Firmen bietet. Der dritte und letzte Securityschwerpunkt betrifft den gesellschaftlichen Wandel.

Welche Herausforderungen ergeben sich dort?

Die Unternehmenslandschaft verändert sich sowohl organisatorisch als auch kulturell. Dies stellt uns als Securityorganisation vor die Frage, wie wir uns an die neuen Gegebenheiten anpassen sollen und können. Natürlich wollen wir unsere Businesskunden zum Handeln befähigen – dennoch muss es sicher sein. Zwar nimmt die generelle Awareness für Security zu, sowohl auf privater, unternehmerischer als auch politischer Ebene. Doch wie man Sicherheit konkret gewährleisten kann – das ist oft die Knacknuss.

Welche Technologien oder Ansätze erachten Sie demnach als nützlich, um mit den heutigen Sicherheitsbedrohungen Schritt zu halten?

Wir befinden uns in einem konstanten Wettrennen – oder fast schon einem Wettrüsten – zwischen Angreifern und Unternehmen. Um am Ball zu bleiben, benötigt man in erster Linie fähige und motivierte Leute, die bereit sind, sich auf diesen Wettstreit einzulassen. Erst dann kommen die von Ihnen erwähnten Technologien zum Tragen. Mit Generative AI etwa lassen sich enorme Mengen an Information verarbeiten. So ist diese Form der KI unter anderem in der Lage, Angriffsmuster zu erkennen sowie zu detektieren, ob man in der Vergangenheit bereits auf diese Weise attackiert wurde. Dies erhöht die Schnelligkeit deutlich, mit der man passende Massnahmen ergreifen kann. Bei Swisscom nutzen wir seit Jahren eine KI-Komponente, genauer gesagt die Möglichkeiten des Machine-Learnings. Damit analysieren wir unsere Datensätze, um die sicherheitsrelevanten Punkte eruieren zu können. Auch Phishing-Webseiten kann man auf diese Weise entlarven, denn auch dort zeigen sich wiederkehrende Muster, weswegen ein KI- oder Machine-Learning-System gut unterstützen kann. Selbst auf einem Endpoint, sprich einem User-Mac oder PC detektieren solche Systeme Muster und können so Gefährdungen aufdecken. Letztlich geht es darum, mithilfe von Technologie das «Grundrauschen» aus den Daten herauszufiltern, damit man die eigenen Ressourcen zielgerichtet dort einsetzen kann, wo es notwendig und sinnvoll ist. Dafür braucht man aber nicht immer die neuste und beste Technologie, manchmal reichen bereits die Basics aus – zum Beispiel das Installieren von Patches. Die «gehypten» Themen wie KI und Co. muss man verfolgen, aber darüber sollte man die Grundlagen nicht vernachlässigen.

Wir befinden uns in einem konstanten Wettrennen – oder fast schon einem Wettrüsten – zwischen Angreifern und Unternehmen. Um am Ball zu bleiben, benötigt man in erster Linie fähige und motivierte Leute, die bereit sind, sich auf diesen Wettstreit einzulassen.

Zentrale Bedeutung für eine sichere digitale Umgebung kommt den Userinnen und Usern zu. Inwiefern integriert Swisscom menschliche Faktoren in die Sicherheitsstrategie?

Eine positive Sicherheitskultur beginnt bereits bei der Grundmessage: Es ist nicht förderlich, wenn man den Mitarbeitenden ständig sagt, dass sie der grösste Risikofaktor sind. Wir wollen bei Swisscom eine Sicherheitskultur schaffen, die es den Leuten ermöglicht, auch in diesem Feld ihr Potenzial zu erkennen. Deshalb möchten wir unsere Mitarbeitenden dazu motivieren, sich zu melden, wenn ein Vorfall eintritt – sei dieser selbst verschuldet oder nicht. Denn wenn es sich tatsächlich um ein sicherheitsrelevantes Vorkommnis handelt, können wir den Schaden dann eingrenzen. Dies setzt ein Betriebsklima voraus, in dem sich Menschen trauen, über Erfahrung und Vorkommnisse zu sprechen. Gleichzeitig müssen wir unseren Teams Werkzeuge anbieten, die nicht zu kompliziert sind. Das ist unsere Aufgabe als Unternehmen – und stellt eine konstante Herausforderung dar. Denn einerseits streben wir ein möglichst hohes Sicherheitsniveau an, möchten andererseits aber keinen zu grossen Impact auf das Arbeiten der Leute bewirken. Diese Balance beschäftigt uns täglich.

Ist das nicht aufreibend?

So würde ich es nicht bezeichnen, allerdings ist es in der Tat so, dass ich keinen langweiligen Tag habe (lacht). Glücklicherweise werde ich von einem grossartigen Team unterstützt. Eine Einheit befasst sich tagtäglich damit, unsere Leute «draussen» zu unterstützen. Sie eruieren, verbessern und vereinfachen Dinge kontinuierlich. Zudem haben wir viele Leute vor Ort in den verschiedenen Geschäftsbereichen der Swisscom, die ihrerseits zur Sicherheit beitragen. Denn nur an einem zentralen Punkt möglichst viele Security-Fachleute zu konzentrieren, reicht nicht aus. Idealerweise befindet sich in jedem Entwicklerteam jemand, der oder die über das entsprechende Sicherheits-Know-how verfügt und damit als Multiplikator dient. Wir müssen Menschen befähigen, diese Rolle einnehmen zu können und zu erkennen, wo in ihrer Tech und in ihrem Bereich mögliche Gefahren lauern.

Was sind einfache Sicherheitslösungen, die wir als Enduserinnen und -user in unseren Alltag einbauen können?

Oft sind es die gleichen Themen wie im Business; Basissachen im Grunde: Man sollte neue Technologien mit Neugier nutzen, sich aber auch kritisch mit der Frage auseinandersetzen, wo das Risiko liegen könnte. Neugier, aber auch eine gesunde Skepsis, sind letztlich entscheidend. Und Unternehmerinnen und Unternehmern empfehle ich, sich an den Weisungen des Bundesamts für Cybersicherheit zu orientieren: Nehmen Sie Backups vor, installieren Sie regelmässig Patches, richten Sie eine Zweifaktor-Identifizierung ein. Cybersicherheit kann man sich zudem ideal mithilfe der Fünf-Finger-Regel vor Augen führen.

Die Fünf-Finger-Regel?

Ganz genau. Wir starten beim Daumen: Dieser steht für das Identifizieren der relevanten Aspekte. Der Zeigefinger zeigt dann auf die Punkte, die man in den Griff bekommen möchte und muss. Den Mittelfinger zeigt man den Angreifern im Netz – sprich, er steht für die Vorbereitung für den Ernstfall. Der Ringfinger symbolisiert wie bei einer Ehe Verantwortung und Verpflichtung: Wenn man einen Angriff erkannt hat, muss man reagieren und Verantwortung übernehmen. Nur so lässt sich Schaden minimieren. Kundinnen und Kunden, Mitarbeitende etc., die davon betroffen sein könnten, muss man ebenfalls informieren.

Hat der kleine Finger auch eine Funktion in dieser Metapher?

Er steht für die vielen kleineren Dinge, die man gerne im Alltag vergisst, wie Backups oder die Etablierung von Notbetriebslösungen. Diese Fünf-Finger-Regel eignet sich gut, um die Resilienz eines Unternehmens zu erhöhen.

Welche künftigen Entwicklungen und Trends sehen Sie im Bereich Cybersicherheit auf uns zukommen?

Unsere Welt durchläuft einen derart starken Wandel, dass man unbedingt flexibel sein muss. Die Motivation der Angreifenden wird hoch bleiben und gar zunehmen. Sie werden immer wieder neue Türen und Schlupflöcher finden. Ferner denke ich, dass die ideologisch motivieren Attacken zunehmen werden. Zudem durchlaufen gerade viele Firmen ihre Cloud-Transformation. Dies erhöht die Sicherheit auf der einen Seite, man muss auf der anderen Seite aber auch die Sicherheitsthematik im Auge behalten. Gleiches gilt für den KI-Bereich. Was zudem leider oft unterschätzt wird, sind die Abhängigkeiten von Firmen innerhalb ihrer eigenen Supply Chain: Denn dort müssen sie klären, wie Dritte ihre Daten nutzen und weitergeben. Man muss daher der Frage nachgehen, wie es um den Security-Zustand der Zulieferer und Partnerbetriebe bestellt ist. Im gesamtgesellschaftlichen Kontext sind wir meines Erachtens gut unterwegs, die Awareness zum Thema Cybersicherheit steigt. Wir als Expertinnen und Experten müssen dieses Thema immer wieder forcieren und erklären. Desinformation und Destabilisierung werden uns ebenfalls beschäftigen, gerade im Zeitalter von KI. Letztlich denke ich, dass diejenigen, die Neugier und Skepsis miteinander verbinden, in der Lage sein werden, Chancen zu nutzen und Risiken zu erkennen. Das ist entscheidend.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

15.05.2024
von SMA
Vorheriger Artikel Juristinnen Schweiz: «Das Gleichstellungsgesetz sollte bekannter sein»
Nächster Artikel «Vertrauen» ist im Bereich Cybersecurity ein kritischer Schwachpunkt