Sie befassen sich seit über zwanzig Jahren mit dem Thema Cyber und beraten Unternehmen in Sachen Cyberrisiken. Wie hat sich der Markt verändert?
Vor 15 Jahren war das Cyberrisiko primär ein Bankenthema. Die meisten anderen Firmen waren zufrieden, wenn sie gewisse grundlegende Sicherheitsmassnahmen eingeführt hatten. Doch dann wurde Cybersicherheit ein Thema von mehr und mehr Industrien, wobei Grosskonzerne den Wandel angeführt hatten. Mittlerweile sind praktisch alle Kunden an dem Thema interessiert und wissen, dass sie etwas machen sollten. Es ist wirklich ein globales Phänomen geworden.
Parallel dazu sind die Prämien von Cyberversicherungspolicen durch die Decke gegangen. Wird sich dieser Trend so fortsetzen?
Die Versicherer haben in der Zwischenzeit viel gelernt, und einige Anbieter haben bereits öffentlich zugegeben, dass sie sich aus dem Cybergeschäft lieber zurückziehen würden, da es nicht rentabel ist. Andere sind zum Schluss gekommen, dass sie die Preise deutlich erhöhen müssen, um die Kosten decken zu können.
«Ransomware ist zum ‹Killer Use Case› geworden.»
Sollten Unternehmen eine eigene IT-/Cyber-Security aufbauen und pflegen oder eine Versicherung abschliessen?
Schon aus reinem Selbstinteresse sollte man beides machen. Zumal ein Unternehmen heute auch keine Versicherung mehr findet, wenn es sich nicht selbst um die IT-Sicherheit kümmert.
Wie wichtig ist die Thematik Cyber im Risk-Management von Schweizer Unternehmen? In manchen Rankings steht das Cyberrisiko ganz oben in der Hitliste der am meisten gefürchteten Risiken.
Da ist es auch zu Recht platziert. Denn im Vergleich mit anderen Risiken handelt es sich bei den Cyberrisiken um ein universelles Risiko. Fast jede Firma hängt mittlerweile in sehr grossem Umfang von ihren digitalen Infrastrukturen ab. Und dadurch unterscheidet sich das Cyberrisiko vermutlich ein Stück weit von vielen anderen Risiken: Ohne Informationstechnologie funktioniert heutzutage kein Betrieb mehr, und mehr als alle anderen Risiken bedroht Cyber die IT.
Der Spezialist
Name: Klaus Julisch
Funktion: Leiter Risk Advisory und Cyber Security, Deloitte Schweiz
Familie: verheiratet
Wohnort: Zürich
Ausbildung: Promotion in Informatik an der Universität Dortmund, MBA-Abschluss von der Universität Warwick.
Karriere: Seit vier Jahren in der aktuellen Position. Zuvor als Lead Partner für Cyber Security bei Deloitte tätig.
Unternehmen: Das Prüfungs- und Beratungsunternehmen Deloitte bietet branchenspezifische Dienstleistungen an, unter anderem in den Bereichen Audit & Assurance, Financial/Risk Advisory sowie Tax & Legal.
Jedes Unternehmen? Auch derGaragist mit zwanzig Mitarbeitenden oder der Metallbauer mit hundert Angestellten?
KMU glaubten lange Zeit, dass sie nichts zu verlieren hätten, daher depriorisierten sie das Thema. Das hat sich jedoch geändert: Ransomware ist zum «Killer Use Case» geworden – wenn man es so nennen möchte –, der Cybersicherheit für alle Unternehmen relevant gemacht hat, bis hin zum Garagist. Denn auch deren Geschäft ist mittlerweile sehr IT-lastig – und wenn sie keine Verträge mehr aufsetzen können, keine Aufträge mehr fakturieren können und die Buchhaltung nicht funktioniert, spüren sie, wie wichtig es gewesen wäre, die IT vor einem Hackerangriff zu schützen. Für Hacker sind KMU vielleicht nicht so lukrativ, weil weniger Lösegeld gefordert werden kann. Aber viele Angreiferinnen sind auch opportunistisch unterwegs: Sie schauen, wo sie mit geringem Aufwand zu ihrem Geld kommen.
Erpressung mit Ransomware dürfte den meisten Unternehmen ja bereits ein Begriff sein. Doch neuerdings verbreitet sich dank einiger KI-Tools auch das Problem der Deepfakes. Wie kann sich ein Unternehmen dagegen schützen?
Es ist eine mächtige Angriffsmethode, wenn sich ein Hacker oder eine Hackerin Zutritt ins Netzwerk einer Firma verschafft und beispielsweise vom Account des CEO aus ein falsches E-Mail mit vertrauten Formulierungen sowie im Kontext der Firma an den Chef der Buchhaltung schickt und ihn anweist, eine Summe X auf ein bestimmtes Konto zu transferieren. Das ist nichts Neues und machen Hackerinnen und Hacker heute schon, aber die KI ermöglicht es, solche Betrügereien besser zu skalieren und noch realistischer zu machen, beispielsweise mittels gefälschter Sprachnachrichten. Das ist ein grosses Problem und wird noch an Brisanz zunehmen, davon bin ich überzeugt.
Woran man ein Ransomware-Betrugsmail erkennt, wissen vermutlich die meisten mittlerweile. Aber wie kann man so eine Fake-Mail als Betrugsversuch identifizieren?
Dafür brauchen Sie eine richtig gute Nase! Und Sie müssen natürlich erst einmal überhaupt Kenntnis davon haben, dass so etwas passieren kann. Viele Mitarbeitende sind sich noch nicht bewusst, dass eine Nachricht, die von einem legitimen Absender kommt, die gut formuliert und fehlerfrei geschrieben ist, ein Angriffsszenario darstellen kann.
Wie bleiben Sie ständig auf dem neuesten Stand der Technologie?
Der Vorteil, den wir als Berater haben, ist, dass wir auch in Firmen, die ein gewisses Thema sehr schnell angehen und führend sind, mitarbeiten können und dadurch auch bei gewissen Themen schneller lernen. Dieses Wissen können wir dann weitergeben an Firmen, die weniger schnell unterwegs sind.
«Jede Software weist früher oder später Schwachstellen auf.»
Wagen Sie eine Prognose dazu, welche Bedeutung das Thema Cyber-Risk für Firmen in zwanzig Jahren haben wird?
In den letzten zehn bis zwanzig Jahren hat die Bedeutung enorm zugenommen, das sehen wir auch anhand vieler neuer Regularien sowie in den Diskussionen, die wir mit Verwaltungsräten und in den Geschäftsleitungen führen. Mittlerweile ist sich jeder und jede bewusst, dass es sich bei Cyberrisiken um existenzielle Risiken handeln kann. Daran wird sich auch nichts ändern. Alle Charakteristiken, die Cyberrisiken zu dem gemacht haben, was sie heute sind, sind weiterhin vorhanden. Zudem wird die Abhängigkeit vom Digitalen immer grösser – und auch dies auf immer wieder neue und überraschende Art.
Wie meinen Sie das?
Zuletzt hat Covid der Digitalisierung einen überraschenden Schub gegeben, jetzt haben wir das Thema künstliche Intelligenz. Auch das wird einen riesigen Schub auslösen. Und ich bin sicher, wir sind noch lange nicht am Ende der Überraschungen, die uns die Digitalisierung beschert. Solange sich die Digitalisierung weiter so entwickelt, wie sie sich in der Vergangenheit entwickelt hat, wird das Thema Cyber-Security weiter an Bedeutung gewinnen.
Gilt das auch für die Entwicklungen im Web 3.0 und im Metaverse?
Jede Software, die geschrieben wurde, weist früher oder später Schwachstellen auf, die dazu verwendet werden können, das Programm zu hacken. Das Metaverse wird zudem interessante Herausforderungen im Hinblick auf den Datenschutz mit sich bringen. Denn in diesen digitalen Parallelwelten werden zunehmend persönliche Daten gesammelt.
Und was ist mit der Blockchain-Technologie und mit ihren Smart Contracts, die als absolut sicher gelten?
Die grosse Herausforderung in der Informatik ist die Lücke zwischen Theorie und Praxis. In der Theorie sind viele Probleme gelöst, und die Mathematik auf dem Blatt Papier ist bombensicher. Fehler passieren dann, wenn man die Mathematik tatsächlich in Software umwandelt, denn viele Softwares werden komplexer als erwartet, oder sie werden in Situationen eingesetzt, an die man nicht gedacht hat. Oder sie werden auf ungeplante Art und Weise mit anderer Software verknüpft – und so weiter. Es liegt in der Komplexität der Realität, dass Fehler passieren. Theoretisch ist die Blockchain-Technologie schon bombensicher, doch in der Praxis ist es wieder bloss eine Software, die von Menschen programmiert wurde und auf Infrastrukturen läuft, welche viele der bekannten Betriebssysteme und Softwarekomponenten verwenden. Und in diesen Komponenten und Schnittstellen treten immer Schwachpunkte auf. Auf solche Art wurden vergangenes Jahr zum Beispiel Milliardenbeträge an Kryptowährungen gestohlen, wobei der Konkurs und Diebstahl bei FTX einer der bekanntesten dieser Fälle ist.