Raphael Reischuk: IT-Sicherheit ist keine Checklisten-Disziplin, sondern dreht sich um Menschen und Prozesse. Über 80 Prozent der Cyberangriffe beginnen bei der «Schwachstelle Mensch». Ein einzelner Klick auf eine infizierte E-Mail kann gravierende Folgen haben. Natürlich sind technische Vorkehrungen sehr wichtig, doch häufig wird schlicht vernachlässigt, alle Mitarbeitende für Cybersicherheitsthemen zu sensibilisieren.
In vielen Unternehmen fehlt heute eine zeitgemässe Sicherheitskultur. Um dies zu ändern, kann beispielsweise ein Geschäftsleitungsmitglied im Geheimen einen Penetrationstest in Auftrag geben. Dabei wird ein gutmütiger Hackerservice beauftragt, die Prozesse im Unternehmen auf Schwachstellen zu prüfen und sich in die Unternehmensnetzwerke einzuklinken. In den meisten Fällen rüttelt es die Belegschaft auf, wenn sie sieht, welch leichtes Spiel Hacker haben. Die Ausund Weiterbildung der Mitarbeitenden ist ein Dauerbrenner im Cybersicherheitsbereich.
Die 100-prozentige Sicherheit werden Sie nie erreichen. Hacker sind vielen IT-Sicherheitsfachleuten technisch in der Regel einen Schritt voraus. Während die Verteidiger alle möglichen Einfallstore beschützen und dafür Geld und Zeit investieren, winken den Angreifern saftige Gewinne, sobald sie eine einzelne offene Türe finden. Das ist ein typisches Oneto-many-Problem. Wenn Unternehmen einen bestimmten Minimalstandard einhalten, gelingt es allerdings, die meisten Attacken abzuwehren. Ähnlich wie Einbrecher gerne dort zuschlagen, wo die Haustüre weit offensteht, ist es für Hacker lukrativer, jene Unternehmen anzugreifen, die ihre Infrastruktur schlecht schützen. Oft ist es daher ausreichend, besser geschützt zu sein als der Durchschnitt. Dem Hacker ist es ja prinzipiell egal, ob er seinen Gewinn von Ihrem KMU kriegt oder von einer Firma im Ausland.
Cybersicherheit ist ein Prozess und er muss tief in der Unternehmenskultur verankert sein. Kulturveränderungen und Prozessanpassungen können Sie nicht auslagern. Manchmal verunmöglichen festgefahrene Personenkonstellationen allerdings das Vorwärtskommen. Solch ein Stillstand kann verheerend sein, da die Angreifer ihre Strategien regelmässig neu erfinden. Oft erlebe ich in solchen Situationen, dass externe Fachpersonen nötig sind, um Blockaden zu lösen und dringende Prozesse anzustossen. Das ist wichtig, denn bei der Cybersicherheit geht es für viele Unternehmen ums blanke Überleben. Machen Sie das Thema zur Chefsache, aber vergessen Sie nie, dass jeder einzelne Mitarbeiter, vom CFO bis zum Empfangspersonal, eine entscheidende Rolle spielt.
Dazu kann niemand eine seriöse Generalaussage machen, denn Daten und Systeme in der Cloud zu speichern, kann ambivalente Auswirkungen haben. Auf der einen Seite investieren die meisten Cloudbetreiber grosse Summen in die Sicherheit ihrer Produkte. Daten in der Cloud sind oft überdurchschnittlich gut geschützt. Auf der anderen Seite zentralisieren Unternehmen oft wichtige Systeme und grosse Datenmengen an einem Ort, was die Cloud für Angreifer zu einem attraktiven Ziel macht. Falls eine Attacke gelingt, sind auf einen Schlag viele wichtige Abläufe gefährdet. Viele Unternehmen, die Cloud-Lösungen nutzen, müssen mit dem Paradox leben: Das Risiko wird kleiner, doch die Verletzbarkeit grösser.
«Es gibt zwei Arten von Firmen: Jene, die gehackt wurden, und jene, die es noch nicht bemerkt haben.»
Cloud ja oder nein ist meines Erachtens die falsche Frage. Überlegen Sie lieber, wie weit Sie den Unternehmen und Organisationen in Ihrer digitalen Supply Chain vertrauen. Da es selbst für Experten manchmal unmöglich ist, die Cybersicherheit von Lieferanten einzuschätzen, diskutieren wir in Fachkreisen heute über standardisierte Sicherheitstests und Gütesiegel für IT-Sicherheit.
Mit der zunehmenden Vernetzung wird der Cyberspace für Kriminelle immer attraktiver. Um nun den explodierenden Kosten für die Abwehr Einhalt zu gebieten, müssen wir Systeme entwickeln, die «secure by design» sind. Inhärent sichere Systeme erreichen wir, indem wir Cyberrisiken schon zu Beginn des Entwicklungsprozesses berücksichtigen. Das Wettrüsten zwischen Angreifern und Verteidigern werden wir allerdings nie ganz beenden können, weil Menschen niemals «secure by design» sein werden.
Die Scriptkiddies von vor zwanzig Jahren haben gehackt, um damit anzugeben und in der Szene Anerkennung zu finden. Mittlerweile geht es bei Hackern aber vor allem um Geld. Hacker kann heute ein Beruf sein, der ein regelmässiges Einkommen abwirft. Es greifen also nicht nur Jugendliche an freien Abenden an, sondern Organisationen mit professionellen Strukturen. Ausserdem kann man auf dem Schwarzmarkt, beispielsweise im Darknet, jede Art von Kriminalitätstool einkaufen. Sie können einen Hacker auf Ihren Konkurrenten ansetzen oder fixfertige Programme herunterladen, mit denen selbst Laien erfolgreiche Angriffe durchführen.
Geheimdienste sind ein weiteres Problem: Unter Einbezug der besten Mathematiker der Welt finden sie Schwachstellen in weitverbreiteter Software. Hackergruppen ist es gelungen, diese Information bei den Geheimdiensten zu stehlen. Der Pfad zur Eintrittstüre zu Millionen von Geräten wird dann auf dem Schwarzmarkt für Millionensummen verkauft.
Eigentlich gibt es heute nur zwei Arten von Unternehmen: Jene, die gehackt wurden, und jene, die den Angriff noch nicht bemerkt haben. Laut Schätzungen dauert es im Durchschnitt 200 Tage, bis ein Unternehmen einen Cyberangriff entdeckt. Die Frage ist, wie gut Sie vorgesorgt haben und wie Sie den Angriff verarbeiten.
Das kommt auf das Kosten-Nutzen-Verhältnis der Police und die Risikoempfindlichkeit des einzelnen Unternehmens an. Auf keinen Fall sollten sich versicherte Unternehmen aber in falscher Sicherheit wiegen. Denn die Versicherung kann keine verlorenen Daten zurückbringen und macht auch Reputationsschäden nicht ungeschehen. Darüber hinaus steht ein wegweisendes Urteil im Versicherungsbereich noch aus. Der US-Nahrungsmittelkonzern Mondelez hat den Versicherer Zurich verklagt, da sich Zurich geweigert hatte, die Schäden in der Höhe von 100 Millionen Dollar im Zuge der NotPetya-Cyberattacke aus dem Jahr 2017 auszugleichen. Es handelt sich um den ersten grossen Rechtsstreit in dem Bereich. Gewinnt Zurich, müssen geschädigte Unternehmen damit rechnen, dass sich Versicherer auf Ausstiegsklauseln berufen und Schäden nicht bezahlen.
Genau. Versicherungspolicen sollten auch als Anreiz für gute Cyberhygiene verstanden werden. Neben vergünstigten Prämien ist der Einsatz von Evaluationsplattformen sinnvoll, die Versicherungsgebern und -nehmern tägliche Rückmeldung über die individuellen Risiken und die individuelle Bedrohungslage geben. Die Herkunft von Cyberangriffen und die Erfassung der tatsächlichen Bedrohungslage stellt die Versicherungsbranche vor neue Herausforderungen, da traditionelle Modelle nicht adäquat sind. Neben verteilten technischen Messpunkten schliessen wir neuerdings den Faktor Mensch bei der Berechnung von Cyberrisiken ein.
Auf der einen Seite werden wir mehr schwerwiegende Cyberangriffe auf Gegenstände und Personen sehen, die mit dem Internet der Dinge verbunden sind. Sabotage, Erpressung und Spionage werden stark zunehmen. Heute können «intelligente» Lampen beispielsweise dazu verwendet werden, die Stabilität des Stromnetzes zu gefährden, Medizingeräte können falsche Dosierungen verabreichen, und manipulierte Messungen können Kontrollsysteme zu falschen Handlungen bringen. Das ist die Schattenseite einer immer stärker vernetzten Welt. Auf der anderen Seite werden gefälschte Informationen aufgrund des enormen Potenzials künstlicher Intelligenz massiv zunehmen. Die Möglichkeiten der KI werden heute völlig unterschätzt. Die Debatte um Fake-News und gefälschte Videos, die wir heute führen, ist erst der Anfang eines grossen Trends zu einer Welt, in der wir nie sicher sein können, ob unser Gesprächspartner tatsächlich der ist, der er vorgibt zu sein.
Der Beschützer Raphael Reischuk leitet die Cyber Security Services beim Innovationsdienstleister Zühlke und ist auch Vizepräsident der Cyber-Security-Kommission von ICT Switzerland. Davor hat er an der ETH Zürich, dem Helmholtz-Zentrum für Informationssicherheit (Cispa) in Saarbrücken und an der Cornell University in New York an Cybersicherheitsthemen geforscht und gelehrt.