Was der Schweiz fehlt, um zum Cybersecurity-Hub zu werden

Wer an Cybersecurity denkt, hat vermutlich sogleich Bilder von Israel im Kopf. Vielleicht auch von den USA, aber es ist vor allem das Land, wo Milch und Honig fliessen, das sich in der Branche einen Namen gemacht hat.

An der Cyber Week 2019 in Tel Aviv hat Ministerpräsident Benjamin Netanjahu verraten, was Israels Cybersecurity-Start-ups so erfolgreich macht. Die kurze Antwort: staatliche Investitionen, die Armee als Start-up-Inkubator und nicht zuletzt auch ein wenig Chuzpe. Die ausführliche Antworten können Sie hier im Eventbericht zur Cyber Week 2019 nachlesen.

An die Schweiz denken aber wohl nur die wenigsten, wenn ihnen Fragen rund um Malware und Co. durch den Kopf gehen. Aber warum eigentlich? An Start-ups, die sich mit der Materie auseinandersetzen, mangelt es hierzulande nicht. Dies zeigt etwa die "Swiss Cyber Security Technology Start-up Map" von Datastore. Die Karte listet 44 Schweizer Jungunternehmen aus der IT-Security-Industrie.

Um diese Frage nach dem Warum zu beantworten, lud die Netzmedien-Redaktion Chief Information Security ­Officers (CISO) und Vertreter von Schweizer IT-Security-Start-ups zum ersten CISO-Roundtable ein. Mitorganisiert wurde die Paneldiskussion vom Distributor Datastore.

Das ungenutzte Potenzial

Dass die Ausgangslage für die Schweiz sehr gut ist, wurde im Gespräch sehr schnell klar. Die USA oder China profitieren zwar von einem immens grossen Heimmarkt. Aber eigentlich wäre Europa der grössere Markt. "China und die USA sind zwar homogener", sagte einer der Gesprächsteilnehmer. "Mit über 700 Millionen Einwohnern ist Europa aber ein echter Super-Markt."

Cameron McNiff (l.) von Datastore und Bertram Dunskus von Upgreat. (Source: Netzmedien)

Und wenn man die Karte von Europa ansieht, liegt die Schweiz mittendrin. Nicht nur geografisch. "Niemand findet uns super lässig, aber auch niemand super blöd", sagte ein weiterer Teilnehmer. So gesehen, sei die Schweiz noch ein unbeschriebenes Blatt. Darum stünden alle Möglichkeiten offen. Möglichkeiten, die von ausländischen Firmen durchaus wahrgenommen werden. "Unternehmen wie Google kommen nun in die Schweiz, weil sie wohl die Nähe zur ETH und zur EPFL suchen."

Ausser mit Spezialisten könne die Schweiz aber auch noch mit einem weiteren Vorteil punkten: Neutralität. "Die politischen Voraussetzungen hierzulande garantieren – zumindest in den nächsten Jahren – eine stabile Lage für Entwickler. Es wird niemand aus Bern kommen, um Sie zu zwingen, irgendwelche Backdoors einzubauen oder Datenströme unbemerkt umzuleiten. Was dies betrifft, ist die Schweiz neutral." Einerseits könnten Soft- und Hardware­hersteller hierzulande relativ offen entwickeln. Andererseits müsse auch kein Staat fürchten, IT-Produkte aus der Schweiz seien mit der Absicht zu spionieren entwickelt worden. Diese Neutralität könne und solle man auch als Verkaufsargument verwenden.

Der bewegte Markt

Wie auch in anderen Ländern, geniesst die Schweizer Cybersecurity-Branche derzeit einen Aufwind. Denn auch in der Schweiz kann man dem Thema wahrlich nicht mehr entkommen. "Der Markt ist nicht gewachsen, weil es einfach immer mehr und immer bessere Produkte gibt", heisst es im Gespräch. "Der Markt ist gewachsen, weil auch in der Schweiz immer mehr Unternehmen angegriffen werden."

Dieses Wachstum brachte zwar Events, wie die Swiss Cyber Security Days hervor. Die nationale Fachmesse für IT-Security fand dieses Jahr erstmals statt und holte auch internationale Prominenz nach Freiburg – darunter etwa Eugene Kaspersky, den Gründer des russischen IT-Security-Anbieters Kaspersky.

Wer mehr zum Thema Cybercrime und IT-Sicherheit lesen will, kann dies im IT-Security-Blog von IT-Markt auf www.it-markt.ch/Security tun. Der Blog wird laufend aktualisiert.

Zugleich ist das Wachstum für die Branche aber auch ein zweischneidiges Schwert. Wer über IT-Security spricht, redet immer auch über Cambridge Analytica, Wannacry und Co. "Wir fokussieren uns sehr oft auf das Negative: die Risiken, der Schaden und was all das für die Opfer bedeutet", sagte ein Vertreter der Anbieterseite. "IT-Security wird darum vielerorts als ein Ärgernis oder gar ein Hindernis für die eigenen Geschäfte angesehen."

"Wir müssen aufhören, immer nur von Angriffen zu reden und anfangen aufzuzeigen, wie Unternehmen Sicherheitslösungen geschäftsunterstützend einsetzen können", ergänzt er. So könne eine Authentifizierungslösung auch die Firmenausgaben senken, wenn man dadurch etwa feststellt, dass man zu viele Lizenzen nutzt. Und auch die Cloud lässt sich nur in Geschäftsprozesse einbetten, wenn sie abgesichert wird.

Die ferne Feuerwehr

Ein gewisser Pessimismus machte sich auch in der Security-Start-up-Szene breit. "Schweizer Jungunternehmen fehlt es an Perspektiven", sagt einer der Gesprächsteilnehmer – selbst Start-up-Gründer. "Weil wir noch keine etablierte IT-Security-Industrie haben, fehlen die grossen Namen in der Schweiz." Wenn also Start-ups aufgekauft werden, sind die Käufer in der Regel US-amerikanische Firmen. "So wird die lokale Industrie von den USA absorbiert", ergänzt er.

Dabei spricht, gerade wenn es um Cybersecurity geht, viel für einen lokalen Anbieter. Für einen US-Anbieter seien sogar die grösseren Schweizer Firmen nur kleine Fische in einem sehr grossen Teich. "Sweden? Switzerland? US-Firmen wissen nicht mal, wo Europa ist!", sagte ein Teilnehmer – nur teilweise zum Scherz.

Es geht mir mehr um Regionalität als Nationalität.

Ein weiterer Diskussionsteilnehmer verglich die Branche mit der Feuerwehr. "Wenn es brennt, ist sie da. Zu diesem Zweck muss sie ein Feuer frühzeitig erkennen und rechtzeitig eingreifen können. Wenn aber die Feuerwehr erst noch aus Deutschland anreisen muss, ist das Haus abgebrannt, ehe sie vor Ort sind." Die Nähe sei darum sehr relevant – allerdings nicht nur die Nähe zum Kunden, sondern auch zum ganzen Ökosystem des Kunden.

Einer der teilnehmenden CISO pflichtete ihm bei. "Ich will, dass mein Security-Anbieter möglichst schnell reagiert, wenn ich einen Vorfall habe. Und ich will auch die Möglichkeit haben, mit ihm persönlich zu sprechen." Der CISO relativiert aber auch: "Ich mache da jedoch keinen Unterschied zwischen der Schweiz, Deutschland oder Frankreich. Es geht mir mehr um Regionalität als Nationalität."

Der Meinung war auch einer der Anbieter: "Swissness ist toll, aber damit alleine ist es noch nicht getan", sagte er. Schweizer Anbieter müssten sich etwa durch ihre Agilität und ihre Spezialisten auszeichnen. Wer seine Kunden finden und binden will, muss zeigen, dass er die Extra-Meile gehen kann und will.

Die grosse Hürde

Wer Kunden hat, findet weitere. Wer keine Kunden hat, hat es schwer, welche zu finden. Ein Early Adopter ist bedeutend schwieriger zu finden als ein Investor. Darin waren sich die teilnehmenden Start-ups einig. "Schon als kleines Start-up sehe ich mich gezwungen, eine Sales-Organisation aufzubauen und quasi von Tür zu Tür zu gehen, um meine Lösungen zu verkaufen."

Diese ersten Kunden sind für Start-ups besonders wichtig, denn sie haben eine Signalwirkung für andere. Die meisten Firmen in Europa zögen es allerdings vor, abzuwarten und zu sehen, was die anderen machen. Daher wagten es nicht viele Firmen, sich auf ein Start-up einzulassen. "Es wäre sicher hilfreich, wenn Schweizer Firmen etwas mehr auf Start-ups zugehen würden", sagte einer der Start-up-Vertreter.

Dahinter stecken zwei Probleme, wie die Diskussion zeigte. Erstens: Die Schweizer CISOs kennen die hiesigen Security-Start-ups nicht. "Wer kann sich in der Schweiz schon gut verkaufen?" Viel geschickter mache es die israelische Cybersecurity-Branche. Sie schicke regelmässig Vertreter auch in die Schweiz und gehe gezielt potenzielle Kunden und Partner an. Für jedes Problem oder Bedürfnis hätten sie die perfekte Lösung: ein israelisches Start-up oder auch mal ein Grossunternehmen. Um das Vertrauen zu gewinnen, würden sie gerne auch mal einen CTO oder einen CEO vorbeischicken. Bevor sie eine Lösung verkaufen, verkaufen sie sozusagen zunächst ihr Unternehmen. "In der Schweiz gibt es nur wenige Firmen, die eine vergleichbare Marketing-Tour durch Europa veranstalten könnten", sagte einer der Gesprächsteilnehmer. Aber genau das würde den Start-ups und dem Standort Schweiz enorm helfen, sichtbarer zu werden.

Zweitens: "Der Druck ist enorm gross", sagte einer der CISOs. Belegschaften werden verkleinert, Standorte geschlossen. Und vor diesem Hintergrund müssten sich CISOs entscheiden, entweder eine bekannte Firma einzukaufen, die in Gartners Magic Quadrant vertreten ist, oder ein Schweizer Start-up, das erst noch beweisen muss, dass es in drei Jahren noch auf dem Markt sein wird. "Dann pushen natürlich auch die übrigen Kollegen vom Management, lieber die bekannte Firma zu wählen", ergänzte ein weiterer CISO. Gewisse Firmen haben auch Einkaufsrichtlinien, die es verunmöglichen, First Adopter zu werden. "Um Abhängigkeiten zu vermeiden, darf ich bei keiner Firma Geld ausgeben, wo wir als Kunde zu gross wären", sagte einer der CISOs.

Wozu dies unweigerlich führt: "Für uns war es am Anfang einfacher, bei deutschen Firmen Termine zu erhalten als bei Schweizer Firmen", sagte einer der Start-up-Vertreter. Damit die Schweiz zur Security-Nation werden kann, muss sie zunächst ihre eigenen Security-Start-ups fördern – und dafür braucht es mehr als Awards, Inkubatoren und Business Angels. Dafür braucht es vor allem Kunden.

Die gestärkte Kooperation

Die Start-up-Vertreter gaben den CISOs Kontra. Zumindest die Jungunternehmen im Raum verfügten nach eigenen Angaben bereits über erste Referenzkunden. Ferner zeigten Studien, dass 90 Prozent der IT-Spin-offs der ETH nach fünf Jahren immer noch aktiv sind. Dies unterstreicht ein Problem: Anbieter und Anwender reden aneinander vorbei anstatt miteinander.

"Viele CISOs haben keine Ahnung, was technisch bei ihnen läuft", sagte einer der CISOs. Die meisten seien rein administrativ tätig: Sie könnten zwar Geld ausgeben, aber da sie die Risiken im Unternehmen nicht kennen, wissen sie gar nicht, was dagegen zu tun ist. Schuld daran ist unter anderem eine Inflation von Aufgaben. "Früher waren CISOs für die interne Sicherheit verantwortlich", sagte einer der Gesprächsteilnehmer. Das war noch überschaubar. Nun müssen sich die CISOs aber auch um sämtliche externe Schnittstellen kümmern, und von denen gibt es immer mehr. Sogar wenn eine Person alle Skills vereint, die der Job heute erfordert, wäre es ein enormer Spagat. "Und dazu kommt auch noch, dass der Tag nur 24 Stunden hat", ergänzte ein weiterer Diskussionsteilnehmer.

"Es gibt durchaus CISOs, die erkennen, dass wir über Know-how verfügen, das ihnen fehlt, und uns deshalb anheuern", sagte ein Vertreter aus der Start-up-Szene. "Aber wir haben alle auch schon andere Erfahrungen gemacht: CISOs, denen das Know-how fehlt und uns genau deshalb keine Plattform geben wollen. So wollen sie verhindern, dass ihre Kollegen erfahren, wie gefährdet ihr Unternehmen wirklich ist. "Wir sehen zum Teil wirklich fahrlässiges Verhalten."

Viele CISOs haben keine Ahnung, was technisch bei ihnen läuft.

Um möglichst erfolgreich zu sein, solle man darum eine zweigleisige Strategie fahren: Dem Business die Risiken aufzeigen und dem CISO die Lösungen. Auf diese Weise habe der CISO schon eine Antwort, wenn das Business besorgt auf ihn zukomme. So könnten Start-ups und CISOs gemeinsam aufzeigen, wie IT-Security die Geschäfte der Schweizer Unternehmen voranbringe, statt dem Business im Weg zu stehen. Und wenn CISOs dabei vermehrt ein Auge auf hiesige Security-Lösungen werfen, könne dies zugleich auch die Schweiz als Security-Nation beflügeln.

Die Teilnehmer des Podiums waren:

• Endre Bangerter, Threatray

• Bertram Dunskus, Upgreat

• Markus Happe, Exeon Analytics

• Rolf Hefti, Terreactive

• Marc Landis, Netzmedien

• Cameron McNiff, Datastore

• Andreas Schneider, Tamedia

• Sandra Tobler, Futurae

• Crispin Tschirky, e3

Zum Nachschlagen:

Das IT-Security-Glossar verschafft einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security - ohne Anspruch auf Vollständigkeit.

Das Who’s who der Malware gibt einen schnellen Überblick darüber, was hinter den Namen der einzelnen Schadprogrammen steckt. Mehr auf www.it-markt.ch/MalwareABC.