"Die Gefahr ist unreife Software auf verletzlicher Hardware"

Die Medienberichte aus dem Sommer 2019 vor Augen, hat man den Eindruck, dass Cyberangriffe auf Firmen in der Schweiz zugenommen haben. Müssen wir in Zukunft verstärkt mit solchen Fällen rechnen?

Michael Dobler: Ja, müssen wir. Und wir müssen darauf vorbereitet sein. Es liegt im Trend, immer schneller Geräte wie Smartphones und Pads auf den Markt zu werfen, mit teilweise unreifer Software. Die laufen dann auf CPUs mit bekannten Schwachstellen, die nicht einfach schnell gepatcht werden können. Ich habe also unreife Software auf verletzlicher Hardware. Diese Kombination ermöglicht es Kriminellen, Angriffe zu fahren.

Was sind konkret die drei wichtigsten Dinge, die eine Verwaltung oder ein Unternehmen beherzigen kann, um gegen Cyberangriffe gewappnet zu sein?

Das Erste ist sicher: Misstrauisch sein, nicht alles glauben und anklicken. Zweitens: Wenn es irgendwie geht, das Back-up offline halten. Und zuletzt: Software prüfen! Braucht es die App wirklich und ist sie aktuell? Mit diesem Dreier-Set hat man sicher eine gute Basis.

Wenn solche Cyberangriffe häufiger und ausgeklügelter werden, was kann ich dann dagegen tun? Wie kann ich mein Unternehmen davor schützen?

Erstens kann ich technisch aufrüsten: Clients können zum Beispiel mit einer Endpoint Protection aufgerüstet werden. Ein SOC/SIEM kann Anomalien erkennen und so Systeme, Anwendungen und Netze schützen. Zweitens helfen Awareness-Kampagnen mit Phishing-Tests und Informationen zu aktuellen Phishing- oder Malware-Fällen. Und drittens muss jede Organisation mittels eines Massnahmeplans für den Fall der Fälle vorbereitet sein, ein Cyber-Opfer werden zu können.

Wo sehen Sie derzeit die grössten Herausforderungen in Sachen Cybersecurity?

Heute beginnen Angriffe meist mit einer Bewerbungs-E-Mail an die Personalabteilung, einer Rechnung für die Buchhaltung, einer Reservierungsbestätigung für den Hotelgast. Natürlich müssen diese Empfänger die E-Mails bearbeiten: Wie also soll der Benutzer entscheiden können, ob er die E-Mail öffnen darf? Selbst die bekannten Regeln, um zum Beispiel Spam zu erkennen, versagen bei gutgemachten Cyberangriffen. Wir müssen je länger desto mehr auf intelligente Systeme setzen, die uns helfen, uns vor solchen Angriffen zu schützen. Der Einsatz eines solchen intelligenten Systems wäre eine grosse Hilfe, unter dem strengen Blick des Datenschützers jedoch eine Herausforderung.

Auch die öffentliche Hand bleibt von Cyberangriffen nicht unverschont, etwa durch Malware. Wo sehen Sie hier derzeit den grössten Nachholbedarf?

Ein einheitliches Schutzniveau, wie dies der ICT-Minimalstandard des Bundesamts für wirtschaftliche Landesversorgung aufzeigt, würde das schwächste Glied in der Security-Kette eliminieren. Für Angreifer wird es dann schwieriger, eine Lücke zu finden. Heute sind in der Leistungserbringung noch unterschiedliche Dienstleister beteiligt, die verschiedene Vorstellungen von Sicherheit haben.

E-Government wird mehr und mehr zur Realität. Welche neuen Herausforderungen bringt das mit sich, und wie können sie gelöst werden?

Was dem E-Government einen Schub verpassen würde, wäre eine standardisierte digitale Identitätskarte. Eine solche offizielle E-ID für alle interessierten Bürgerinnen und Bürger würde definitiv viel Rückenwind verleihen. Der Lösungsarchitekt könnte sich darauf verlassen, dass ein einheitliches Indentity Management vorhanden ist und dieses in seine Lösung einbauen.

Mit welchen aktuellen Trends in der IT-Security beschäftigen Sie sich? Ist Cloud ein Thema?

Die Cloud ist ein permanentes Thema, vor allem wenn es um Datenschutz, Compliance und Sicherheit geht. Eine Lösung kann aus Sicht des Datenschutzes compliant sein, sicher muss sie deswegen jedoch noch lange nicht sein. Diese Herausforderung stellt sich vor allem bei Cloud-Anbietern aus Staaten, die von ihren Unternehmen die (Kunden-)Datenherausgabe verlangen, egal, wo sich diese Daten auf der Welt befinden und egal, welche Gesetze dort gelten.