Herr Cortesi, im vergangenen April wurde der Verein Swiss Financial Sector Cyber Security Centre, kurz Swiss FS-CSC, gegründet, in dem Sie als Vertreter der Assekuranz mitwirken. Warum brauchen die Finanzdienstleister eine eigene Vereinigung, die sich um ihre Cybersicherheit kümmert?
Der Schweizer Finanzplatz ist tagtäglich vielfältigen Cyberrisiken ausgesetzt, dies mit stark steigender Tendenz. Der Swiss FS-CSC ist essenziell, damit sich Banken und Versicherer den gemeinsamen Gefahren stellen können. Zudem unterscheidet er sich von anderen Initiativen, weil er als Public-Private Partnership aufgestellt ist.
Was bedeutet das?
Wir nutzen die Strukturen des Nationalen Cyber Security Center NCSC und können von dessen Kompetenz profitieren. Aber wir können uns untereinander auch spezifisch zum Thema zusammentun und Wissen austauschen.
Sind die Herausforderungen im Bereich Cybersicherheit für Versicherer und Banken denn dieselben?
Wir haben ähnliche Herausforderungen, weil beide Branchen in einem Reputationsgeschäft tätig sind. Wir müssen weltweit die Erwartungen unserer Kundinnen und Kunden erfüllen und ihre Daten sowie Vermögen entsprechend schützen. Bei einer systemischen Cyberattacke würde das Vertrauen jeweils in beiden Branchen nachhaltig beschädigt.
Weil wir immer vernetzter sind, gibt es immer mehr gemeinsame Risiken. So arbeiten wir in gewissen Schritten unserer Wertschöpfungskette zum Teil mit gemeinsamen Providern zusammen. Werden diese angegriffen, haben wir alle ein Problem.
Diesen Herausforderungen müssen sich Banken und Versicherungen gemeinsam stellen, und zwar auf allen Ebenen. So auch in der Prävention oder in der Reaktionsfähigkeit.
Bis dato galten Banken und Versicherer nicht unbedingt als beste Freunde. Hat die gestiegene Zahl an Cyberangriffen bei der Annäherung mitgeholfen?
Bei diesem Zusammengehen stehen die operativen Risiken im Vordergrund, die wir gemeinsam angehen wollen. Unter Sicherheitsverantwortlichen ist es unerheblich, ob jemand bei einer Versicherung arbeitet, in einer Bank oder in der produzierenden Industrie. Wir unterhalten uns über operationelle Risiken, über das Krisenmanagement – hier haben wir ähnliche Fragen.
Bei den vielen Gemeinsamkeiten scheint es etwas seltsam, dass es so lange gedauert hat, bis man es geschafft hat, sich zusammenzuschliessen …
Es brauchte ganz klar den Anstoss von aussen. Entstanden ist die Idee für ein gemeinsames Vorgehen im vom Bundesrat eingesetzten Beirat Zukunft Finanzplatz. Der Finanzplatz und die Behörden, insbesondere das NCSC, haben diese Initiative dann aufgenommen und den Verein ins Leben gerufen. Eines der sieben Ziele der nationalen Cyberstrategie lautet, dass mehr Public-Private Partnerships im Bereich Cybersicherheit entstehen sollen. Dass die Finanzdienstleister das als Erste umsetzen, hat sich angeboten. Zusammenschlüsse in der kritischen Infrastruktur oder Grossindustrie sind aber genauso wichtig und werden folgen.
Wie lange hat es gedauert, bis das Konzeptpapier umgesetzt und der Verein gegründet wurde?
Womöglich hätten wir schneller sein können. Uns war es aber wichtig, die Qualität vor die Geschwindigkeit zu stellen. Zudem hatten wir uns zum Ziel gesetzt, eine gute Abstimmung mit allen beteiligten Behörden, Institutionen und Verbänden sowie deren Mitgliedern zu erreichen. Das ist uns gelungen.
Was hat Sie daran gereizt, sich als Vertreter des SVV für den Vorstand zu melden?
Gestalterisch tätig zu sein und nicht verwalterisch! Der branchenübergreifende Austausch mit den Banken, den Bundesbehörden und dem NCSC; Letzteres verfügt eben auch über weltweite Informationen. Das hilft uns als Versicherer, über den Tellerrand hinauszuschauen.
Sie haben die Vernetzung angesprochen – diese ist einerseits positiv, macht aber auch verletzlich. Ist es bei der heutigen Vernetzung überhaupt möglich, eine hohe Sicherheit zu etablieren?
Eine absolute Sicherheit gibt es nicht, vor allem nicht in einer vernetzten Welt. Das heisst, wir müssen uns der Risiken bewusst sein und diese entsprechend managen.
Was meinen Sie damit?
Es ist zentral, die Angreifer zu verstehen und zu erkennen, was und wo diese angreifen wollen. Dadurch können wir ihnen das Leben schwer machen, denn deren Angriffe zu verlangsamen, gehört auch zur Cybersecurity.
Zudem ist aus meiner Sicht auch die Zusammenarbeit enorm wichtig, denn die Cyberkriminellen haben sich schon lange zusammengeschlossen. Daher müssen wir uns weiter vernetzen, und zwar nicht nur in der Finanzbranche, sondern in der Wirtschaft generell.
Wie können die einzelnen Versicherer von diesem Zusammengehen profitieren?
Die Maturität bezüglich Cybersicherheit ist bei den Banken am höchsten. Unmittelbar danach folgen die Versicherer – daher können wir von den Banken einiges lernen.
Wo liegen denn die Lernfelder?
Bei den technischen Lösungen und spezifisch auch beim Cyber-Krisenmanagement. In diesen Bereichen können wir viel von den Banken lernen. Das merken wir auch aus den strategischen Übungen, die wir zusammen machen.
Was sind die wichtigsten Dos and Don’ts im Zusammenhang mit Cybersicherheit?
Es ist zentral, ein Bewusstsein für die Cyberrisiken zu haben und zu wissen, dass diese auch nicht mehr verschwinden. Ignoranz ist das grösste Don’t – leider ist dieses noch immer weit verbreitet. Im falschen Glauben zu verharren, dass es einen nicht betrifft, ist das Schlimmste, was man machen kann.
Daraus ergibt sich auch ein Do: Man muss die unternehmensspezifischen Risiken kennen. Damit meine ich nicht nur die Bedrohungslage, sondern auch, welche Daten für das Unternehmen essenziell sind und was deren Verlust für das Überleben der Organisation bedeuten würde. Sich auf einen Ernstfall vorzubereiten, ist ein weiteres Must. Hierzu lohnt es sich, Unterstützung von aussen zu holen. Wichtig ist auch zu wissen, dass Cybersicherheit nicht nur ein technisches Thema ist, sondern die gesamte Organisation betrifft: operativ, taktisch und strategisch.