Nicolas Mayencourt, hätten Sie den Zug, mit dem ich nach Bern gefahren bin, mit einem Hackerangriff zum Stillstand bringen können?
Ja, das liegt im Bereich des Machbaren. Es gibt keine hundertprozentige Sicherheit. Meine Firma Dreamlab gehört zu den weltweiten Experten in diesem Bereich. Wir können Transportsysteme hacken oder auch in Autos oder Spitäler eindringen. Wir konzentrieren uns aber auf Embedded Security: Wir schützen kritische Infrastrukturen wie Wasserversorgung oder Strom vor Angriffen.
Welche Kunden haben Sie?
Wir nennen keine Namen. Aber einige erwähnen uns: Letztes Jahr wurde die Banco de Chile «ausgeraubt». Bei diesem Cyber-Angriff wurde viel Geld gestohlen. Zudem haben die Hacker alle Systeme lahmgelegt und es konnten keine Transaktionen im ganzen Land mehr durchgeführt werden. Wir haben die Spurensicherung übernommen.
Haben Sie auch Schweizer Kunden?
Selbstverständlich.
Welche?
Wie gesagt, Diskretion ist wichtig. Welche Bank würde schon gerne öffentlich zugeben, dass sie ein Problem mit ihrem E-Banking hat? Keine. Der Reputationsschaden wäre einfach zu gross.
Sie zeigen Unternehmen ihre Schwachstellen, indem Sie ihnen Geld klauen oder Geräte in Spitälern abschalten?
Genau, nach zehn Jahren gab es kaum mehr eine Bank, die wir nicht geknackt hatten. Deshalb haben wir angefangen, uns auf die wirklich kritischen Systeme unserer Gesellschaft zu konzentrieren, bei denen es um Menschenleben und die gesellschaftliche Stabilität und nicht nur um Geld geht. Selbstverständlich beraten wir nach wie vor auch Banken.
Heute sind aber durch das Internet der Dinge und künftig 5G alle und alles miteinander verbunden. Da wird es doch schwieriger, den Durchblick zu behalten?
In einem modernen Auto werden der Reifendruck und das Board-Entertainment über ein System kontrolliert und das Auto ist ständig online. Das ebnet Hackern den Weg. Dies betrifft auch öffentliche Verkehrsmittel, die Energie- und Wasserversorgung oder Spitäler. Die Schadenssumme bei Angriffen vervielfacht sich immer schneller. Irgendwann kann ein Unternehmen diese Kosten nicht mehr tragen. Ich bin überzeugt, dass Cyber-Angriffe bald zu einer Verlangsamung der Wirtschaft führen könnten.
Heute sind aber durch Internet der Dinge und künftig 5G alle und alles miteinander verbunden...das wird doch immer schwieriger, den Durchblick zu behalten?
In einem modernen Auto wird der Reifendruck und das Board-Entertainment über ein System kontrolliert und ist ständig online. Das ebnet Hackern den Weg. Dies betrifft auch öffentliche Verkehrsmittel, die Energie- und Wasserversorgung oder Spitäler. Die Schadenssumme vervielfacht sich immer schneller. Irgendwann kann ein Unternehmen diese Kosten nicht mehr tragen. Ich bin überzeugt, dass Cyberangriffe bald zu einer Verlangsamung der Wirtschaft führen könnten.
Jetzt übertreiben Sie aber.
Nein, ich nenne ein Beispiel: Vor rund einem Jahr wurde der Logistikkonzern Maersk gehackt. Von einem Tag auf den anderen hat die IT nicht mehr funktioniert. Das Unternehmen konnte kein Shipping von Containerschiffen mehr betreiben. Ihr Kerngeschäft war innerhalb von einem Tag gefährdet. Das Unternehmen hat über 250 Millionen Franken in die Schadensbegrenzung investiert, um den Betrieb einigermassen aufrechtzuerhalten. Cyber Security ist kein notwendiges Übel, sondern ein Marktvorteil. Sicherheit ist kein kritischer Erfolgsfaktor, sondern muss zwingend in die Unternehmensstrategie einfliessen. Wer gut und sorgfältig mit Daten umgehen kann, ist zukunftsfähig.
Was ist die grösste Bedrohung für KMU und Konzerne in der Schweiz?
Wenn von einem Tag auf den anderen alle Daten weg sind und man nicht mehr arbeiten kann. Das Perfide daran ist, dass diese Cyber-Angriffe gar nicht gewollt erfolgen müssen. So wie bei der Ransomware «Wannacry» oder «Petya». Der Virus hat sich wahllos ausgebreitet, es waren Zufallsinfektionen im Gange. Der Schaden ging in die Milliarden. Leider denken viele Unternehmen, dass es sie nicht betreffe und einige Firewalls genügten. Und wenn es passiert, dann wird etwa gestohlenes Geld einfach ersetzt. Weil wenn die Kunden von einem Zwischenfall erfahren würden, wäre das Vertrauen dahin. Ein solcher Schaden ist dann unbezahlbar.
Steigt die Gefahr von Viren durch den Einsatz von künstlicher Intelligenz?
Ja, Machine Learning ist vor allem wegen der Computerleistung so schnell geworden. Man hat das am Börsencrash 2010 gesehen, dem «Flash Crash». Dieser wurde wohl durch eine Maschine ausgelöst – oder zumindest verstärkt. Er hat zum grössten Punkteverlust geführt.
Kürzlich hat der Nahrungsmittelkonzern Mondelez die Zurich-Versicherung verklagt, weil sie die Schäden eines Cyberangriffs nicht bezahlen wollten. Werden solche Fälle in Zukunft zu nehmen?
Ja, weil zurzeit niemand die Haftung bei Softwareprodukten übernimmt. Wenn ein Programm gehackt wird, dann nimmt man meistens nicht den Hersteller in die Pflicht, sondern sucht nach Viren und Hackern. Das ist eigentlich unglaublich, denn alle anderen Produkte auf dieser Welt haben eine Herstellerhaftung. Ein Auto braucht eine Zulassung. Wenn die Bremse nicht funktioniert, dann ist der Autobauer schuld und muss Schadenersatz zahlen. Fällt die Software aber aus, dann weiss niemand, wer bezahlen soll. Versicherungen werden künftig mit viel höheren Summen konfrontiert werden.
Name: Nicolas Mayencourt
Funktion: Gründer und Chef Dreamlab Technologies, Bern
Alter: 42
Wohnort: Bern
Ausbildung: Gast-Dozent an diversen Hochschulen, School of Life
Wer sind denn die Angreifer?
Staaten, die sich im Cyberkrieg befinden, gibt es ja bereits. Das wissen wir. Dort ist eine grosse Aufrüstung im Gange, in den USA, China, Israel, überall. Es fallen zwar keine Kugeln, aber der elektronische Kanal ist heute in mehreren Dimensionen effizienter als die traditionelle Kriegsführung.
Wie kann man die Schweizer Unternehmen besser für das Thema Cyber Security sensibilisieren?
Wir versuchen mit der Konferenz in Freiburg die fachlichen Themen gesellschaftlich zugänglich zu machen. Wir zeigen Best Practices auf, damit ein Unternehmen auch versteht, warum Sicherheit elementar für das tägliche Geschäft in einer digitalisierten Welt ist und was sinnvollerweise gemacht werden muss.
Können Sie da konkrete Beispiele geben?
Ein Panel widmet sich dem Thema «Datensparsamkeit». Wenn Sie beispielsweise eine Druckerei betreiben, dann brauchen Sie nicht dauernd online zu sein. Es braucht nicht noch drei verschiedene Webshops. Auch muss die Kaffeemaschine nicht am Drucker angeschlossen sein, und diverse Webcams machen die Sache auch nicht leichter. Reduktion ist heute gefragt. Man sollte nur verwenden, was man wirklich braucht.
Sie sind also gegen die Digitalisierung?
Nein, ganz und gar nicht. Es geht um die richtige Sortierung der Geschäftsbereiche sowie die nötige Verschlüsselung und Sicherung. Unternehmen können das auch bei Cloud-Anbietern anwenden. Bei der Digitalisierung ist nicht die Schnelligkeit, sondern die Sicherheit, entscheidend. Es müssen nicht alle Geräte andauernd miteinander verbunden sein, weil sonst die Gefahr da ist, dass sie auch wichtige kritische Bereiche betreffen.
Aber anscheinend scheint niemand die Gefahren, die auf uns zukommen werden durch Hacking, richtig ernst zu nehmen...
Das Problem ist, dass wir Menschen keine Sensorik für diese Gefahren aufbringen können. Wenn eine Überschwemmung geschieht, dann ist allen klar, welche Gefahr auf uns zukommt. Bei Cybersecurity kaum. Und es geht jetzt nicht um Züge, die von Hackern gestoppt werden, Geräte, die auf einer Intensivstation ausgehen, sondern ganz simpel darum, dass Firmen bei einem Angriff ihre Ertragsströme aufs Spiel setzen. Deshalb versuchen wir, Daten auch sichtbarer und spürbarer zu machen, damit sie nicht nur abstrakt bleiben.
Die Swiss Cyber Security Days (SCSD) finden am 27. und 28. Februar 2019 erstmalig im Forum Fribourg statt. Neben Speakern wie Eugene Kapersky versammeln sich Unternehmen wie Cisco, Swisscom und IBM an der Konferenz.