1. Februar 2021

«Die Pandemie hat gezeigt, dass unvorhersehbare Ereignisse tatsächlich eintreffen können»

Die swissICT Redaktion hat mit Max Klaus, Stv. Leiter Operative Cybersicherheit OCS und Stv. Leiter Melde- und Analysestelle Informationssicherung MELANI des Nationalen Zentrums für Cybersicherheit NCSC beim Eidg. Finanzdepartement EFD, gesprochen.

Aufgrund der Corona Pandemie sind aktuell digitale Technologien, auch als Unterstützung weiterer Geschäftsmodell-Transformationen und Innovationen, für die Verwaltungsräte eine der obersten strategischen Geschäftsprioritäten. Dazu gehören auch die Investitionen in optimiertes Kundenerlebnis bzw. Kundenbindung und die Verwaltung, Unterstützung und Schutz der Remote-Belegschaft in deren verstärkten HomeOffice-Phasen.

Beinahe parallel zu den bisherigen Corona-Wellen – oder gar eher mittels grösseren Tsunamis – machten sich auch die Cybercrime-Akteure noch verstärkter und erfolgreicher an deren sehr lukrativem Werk mit grösserer krimineller Energie und immer ausgefeilteren Angriffsstrategien.

Die möglichst sichere Digitalisierung, Geschäftsmodell-Transformationen und speziell auch die digital unterstützte, abgesicherte Home-Office-Arbeit ist offenbar ebenfalls angesteckt worden von der Corona-Pandemie. Mit was für digitalen Nebenwirkungen müssen wir rechnen aus Sicht?

Max Klaus: Insbesondere während des Lockdowns (Wochen 12 – 19/2021) kam es zu zahlreichen Cybervorfällen, welche sich die Pandemie zunutze machen wollten. Das NCSC hat unverzüglich ein Monitoring hochgefahren, um betrügerische und/oder schadhafte Websites mit .ch-Domain zu identifizieren. Nach eingehender Prüfung aller Domains wurden nachweislich schadhafte und/oder betrügerische Websites in Zusammenarbeit mit den Providern und mit Switch vom Netz genommen.

Angreifer machen sich oft aktuelle Ereignisse (Pandemie, Naturkatastrophen, sportliche Grossanlässe usw.) zunutze, um mit ihren betrügerischen Mails (z.B. Phishing) mehr Glaubwürdigkeit zu erreichen und somit den Kreis potenzieller Opfer zu vergrössern.

Bezüglich Home-Office liegen die Herausforderungen für viele Unternehmen vor allem in einer sicheren Verbindung ins Unternehmensnetzwerk. Zu Beginn der Pandemie waren viele Unternehmen diesbezüglich überfordert, weil sie sich nicht mit solchen Szenarien auseinandergesetzt hatten. Ein weiterer wichtiger Punkt in diesem Zusammenhang ist der Umgang mit Unternehmensdaten auf privaten Geräten. Hier ist es unerlässlich, dass Unternehmen klare Prozesse und Vorschriften definieren, wie mit solchen Daten resp. mit privaten Geräten umzugehen ist, zum Beispiel wenn diese entsorgt werden sollen. Das NCSC hat auf seiner Website eine Checkliste für den sicheren Umgang mit Home-Office publiziert.  

Die Digitalisierung von Prozessen in allen Branchen und in der Verwaltung schreitet mit grosser Dynamik voran. Es entstehen laufend neue Möglichkeiten, Prozesse, Abhängigkeiten, neue Chancen, aber auch Risiken. Was für Empfehlungen oder Erfahrungen sehen Sie zu dieser Dynamik?

Max Klaus: Die Pandemie hat gezeigt, dass unvorhersehbare Ereignisse tatsächlich eintreffen können. Deshalb sollte sich jedes Unternehmen regelmässig mit Risiken aller Art befassen und die Eintretenswahrscheinlichkeit definieren. Schlanke Prozesse helfen, auch kurzfristige Strategieanpassungen effizient vorzunehmen. Insbesondere für unternehmenskritische Systeme sollten laufend Risikoanalysen durchgeführt werden. Risikomanagement gehört als Thema in die Geschäftsleitung, die auch die bewusst in Kauf genommenen Restrisiken abzusegnen hat.

Bisherige Best Practices werden mitunter obsolet. Alles entwickelt sich sehr dynamisch, zum Beispiel wird Privacy by Design wichtiger. Genügen eher statische Regulatorien wie das neue Schweizer Datenschutzgesetz oder die EU-Datenschutzgrundverordnung noch oder braucht es andere Werkzeuge?

Max Klaus: Regulierungen auf Gesetzesstufe sind zwar statisch, sind aber sehr wichtige Grundlagen. So ist es beispielsweise sehr wichtig, dass es Datenschutzbestimmungen gibt. Wichtig ist nachher die Auslegung. Der Datenschutz darf zum Beispiel nicht zu Täterschutz verkommen. Ebenfalls ist Rechtssicherheit wichtig. Gerade bezüglich DSGVO herrscht bei vielen Schweizer Unternehmen Unsicherheit, weil es schwierig abzuschätzen ist, ob beispielsweise ein Onlineshop eines Schweizer Unternehmens der DSGVO unterliegt.

In diesen Bereich fällt auch die Frage nach einer Meldepflicht für Cybervorfälle, die es in der Schweiz aktuell noch nicht gibt. Davon ausgenommen sind gewisse regulatorische Bestimmungen, wie zum Beispiel diejenige der finma für den Finanzplatz Schweiz. Der Bundesrat hat aber im Dezember 2020 darüber informiert, dass es künftig in der Schweiz eine Meldepflicht für kritische Infrastrukturen geben soll. Die Ausgestaltung dieser Meldepflichtist zur Zeit Teil von Abklärungen innerhalb der Bundesverwaltung.

Technische Vorkehrungen reichen längst nicht mehr aus zugunsten einer optimierten Angriffs- und Betriebs-Sicherheit. Diese müssen umfassend auch mit prozessualen und methodischen Massnahmen unterstützt und speziell sensibilisiert werden. Auf was für spezielle Aspekte sollten Organisationen entsprechend achten und auditieren in deren «Riskmanagement» und «Incident Response & Business Recovery System»?

Max Klaus: Das kann von Unternehmen zu Unternehmen sehr unterschiedlich sein. Von zentraler Bedeutung ist die Erkenntnis, dass technische Massnahmen allein nicht mehr ausreichen. Organisatorische Massnahmen wie zum Beispiel BCM oder Krisenkommunikationskonzept sollten in allen Unternehmen implementiert und laufend angepasst werden.

Hochspezialisiertere Managed Security Services und Security Operations Center (SOC) – auch unterstützt mit künstlicher Intelligenz KI – sind effektive und proaktive Vorkehrungen im fortwährenden Kampf gegen die dynamischen Bedrohungslagen. Wo sehen Sie hier den Status, Chancen und Trends?

Max Klaus: In den letzten paar Jahren sind insbesondere SOC wie Pilze aus dem Boden geschossen. Für Unternehmen bieten solche Dienstleister die Chance, spezialisierte IT-Sparten an entsprechende Anbieter auszulagern statt diese selber aufzubauen, Personal zu rekrutieren usw. Vor Vertragsabschluss sollten aber zwingend Fragen zum Umgang mit der Security geklärt werden, zum Beispiel wer hat Zugang/Zugriff zu den Informationen; wie sieht der physische Schutz aus; usw.

Die digitale Mündigkeit und Maturität der Schweizer Bürger und digitale Souveränität der Schweiz im globalen Cyberraum und Globalisierung sind relevante Säulen im global umkämpften Markt und Zeiten von Cyberwar und Industriespionage. Wie steht es in diesen Aspekten um die Förderung, Aufklärung und Sensibilisierung der Schweizer Bürger und der möglichst sicheren Schweiz?

Max Klaus: Der Bund hat schon sehr früh die Notwendigkeit der Sensibilisierung und Ausbildung erkannt. In der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS 2018 – 2022) wird diesem Thema denn auch sehr viel Platz eingeräumt. Aktuell konnten dank der NCS bereits zahlreiche Ausbildungen im Bereich Cybersicherheit geschaffen werden:

  • Abschluss als ICT Security Expert mit eidgenössischem Diplom
  • Cyber Security Specialist mit eidgenössischem Fachausweis
  • Cyber Defence Campus der Schweizer Armee

Ausführliche Informationen finden sich auf der Website des NCSC.

Viele Unternehmen sind immer noch zentralisiert und hierarchisch unterwegs, die Märkte und Globalisierung sind aber eher dezentral und mitunter chaotisch. Ist die Dezentralisierung oder Demokratisierung einer der nächsten «Game Changer»?

Max Klaus: Ich bin der Auffassung, dass dies nicht unbedingt Einfluss auf die Cybersicherheit haben muss, solange die Unternehmen ihre Hausaufgaben machen. Insbesondere dezentrale Strukturen verlangen noch bessere Prozesse, um die Cybersicherheit im Griff zu behalten.

 

Zum Interviewpartner: Max Klaus ist seit 2002 für die Bundesverwaltung tätig und verfügt über einen Fachhochschulabschluss in Informatiksicherheit. Er arbeitete zunächst für die Projekte «Guichet Virtuel» und «Vote électronique» der Schweizerischen Bundeskanzlei. Nach 18 Monaten als Informatiksicherheitsbeauftragter im VBS ist er seit dem 1. September 2008 stellvertretender Leiter der Melde- und Analysestelle Informationssicherung MELANI. Seit dem 1. Juli 2020 ist er ausserdem stellvertretender Leiter Operative Cybersicherheit im Nationalen Zentrum für Cybersicherheit NCSC. In diesen Funktionen ist er hauptsächlich für die Öffentlichkeitsarbeit zuständig.

Disclaimer: Fridel Rickenbacher ist Senior Consultant bei eXecure AG, die zur Swiss IT Security Group gehört, die wiederum Firmenmitglied von swissICT ist. Fridel ist Mitglied der Arbeitsgruppe Redaktion. Möchtest Du auch im Redaktionsteam mitarbeiten? Dann freuen wir uns über eine Kontaktnahme.

Autor:in

Redaktion

Zum Kurzporträt der Arbeitsgruppe.
Mehr erfahren

Ähnliche Artikel

«Digitalisierung?! – Ein Themenwechsel ist nötig, auch für die Psyche»

15. April 2019:

Die swissICT Redaktion hat den SRF3-Haussatiriker und Psychoanalytiker Peter Schneider mit den heisstesten Fragen rund um die Digitalisierung konfrontiert.

Zum Artikel

«Wenn etwas unserem Glück im Weg steht, dann sollten wir den Mut zu radikalen Entscheiden haben»

15. Januar 2019:

Die swissICT Redaktion hat mit Cédric Waldburger, einem radikalen Minimalisten und Digital-Unternehmer, gesprochen.

Zum Artikel

«Chancen der Digitalisierung werden in den Vordergrund gestellt, Risiken leider bagatellisiert»

1. November 2018:

Interview mit der Konsumentenschützerin Sara Stalder über die Herausforderungen des Persönlichkeits- und Datenschutzes von Konsumentinnen und Konsumenten.

Zum Artikel

Mit Ihrem Besuch auf unserer Website stimmen Sie unserer Datenschutzerklärung und der Verwendung von Cookies zu. Dies erlaubt uns unsere Services weiter für Sie zu verbessern. Datenschutzerklärung

OK