Tatort Wirtschaft

Experten sind sich einig: Die Cybersicherheit muss in vielen Belangen massiv verbessert werden. Allein in der Schweiz bestehen Tau- sende an bekannten verwundbaren Syste- men – und darunter befinden sich z.B. fernge- wartete Maschinen mit offenen Schnittstel- len bis hin zu Finanzdienstleistern, die ihre Betriebssysteme nicht mit den neuesten Si- cherheits-Upgrades ausgestattet haben. Dar- auf wies Nicolas Mayencourt von Dreamlab Technologies AG schon an den Swiss Cyber Security Days, die am 27./28. Februar in Frei- burg stattfanden, hin. Am Tag der Schweizer Qualität wird er über globale und lokale IT- Sicherheit referieren. Und dazu kann er ein- drückliche Zahlen liefern: «Die Top-10-Inter- netfirmen machen 500 Milliarden US-Dollar Gewinn pro Jahr. Die Gewinne aus Narco- Traffic, also Drogenhandel, schätzt man auf 750 Milliarden US-Dollar pro Jahr. Cyberkri- minalität ‹erwirtschaftet› 1500 Milliarden, also dreimal mehr als jene Internetfirmen mit all ihren schönen Produkten.» Kurz: Cyber- kriminalität ist durchaus ein Wirtschaftsfak- tor, wenn auch auf der «falschen Seite».

Gut organisierte Kriminalität
Nicolas Mayencourt ist eigentlich ein Hacker. Er bzw. seine Firma Dreamlab Technologies AG dringt in fremde Computersysteme ein. Nicolas Mayencourt verkörpert aber die «gute Seite» und testet mit seinen Hacks Systeme auf ihre Sicherheit. Und mit dieser Sicherheit steht es nicht überall gleich gut. Doch wer sind denn die Leute, welche diese Sicher- heitslücken für kriminelle Machenschaften ausnützen? Worum geht es ihnen? «Üblicher-weise um Geld», so Nicolas Mayencourt. Er unterscheidet verschiedene Typen von Cy- berkriminellen. Da sei zunächst einmal der Cyberaktivist. «Er entwickelt aus verschie- densten Motiven kriminelle Aktivitäten. Da geht es etwa um sogenannte Web Deface- ments, also das unberechtigte Verändern von Websites, z.B. mit einschlägigen politischen Botschaften. Dies erlebten wir etwa im Vor- feld der Minarett-Initiative oder 2017.» Ganz anders jene, welche einfach fremde Com- putersysteme hacken und diese auf verwert- bare Informationen abklopfen. Mit solchen Informationen – Kreditkarten-Daten, Inter- net-Identitäten, «offene» IP-Adressen, ge- leakte Social-Media-Profile und anderes mehr – setzen mafiaähnlich organisierte Netzwerke etwa im Darknet viel Geld um.

«Diese Organisationen arbeiten hoch profes- sionell und sind mit höchster Qualität und Resilienzfähigkeit ausgestattet», weiss Nicolas Mayencourt. «Man könnte von ihnen durch- aus auch lernen.»

Kleine Ursache, grosser Schaden
Als eigentliche «Evergreens» bezeichnet der Cybersecurity-Experte Phishing und Trick- betrügereien aller Art. «Da werden die Täter immer raffinierter. Über geleakte Social-Me- dia-Profile können sie sich z.B. als CEO ausge- ben, imitieren seine Wortwahl und bringen so schon mal einen CFO dazu, schnell mal eine Million an einen bestimmten Ort zu überweisen», skizziert Nicolas Mayencourt ein immer häufiger vorkommendes Szenario. Und davon betroffen sind oft auch KMU. Sie werden Opfer eines zuweilen etwas zu non- chalanten Umgang mit persönlichen Infor- mationen im Netz. Doch auch ganz zufällig holt man sich eine «dumme» Infektion, wie es etwa dem Logistik-Konzern Maersk 2017 pas- siert ist: Das Computervirus «Notpetya» führ- te zu einem kompletten Datenverlust. Das Unternehmen war völlig lahmgelegt. Mithilfe der Kunden – sie waren ja auf die Lieferungen angewiesen – musste von Hand und analog jeder einzelne Container wieder richtig zuge- wiesen werden. «Innerhalb von drei Monaten hat Maersk 250 Millionen Euro allein in die reine Schadensbewältigung investieren müs- sen. Und dabei ging es nur darum, die IT wie- der funktionsfähig zu machen, nichts weiter», weiss Mayencourt. Grund genug für den Maersk-CEO mit diesem Fall an die Öffent- lichkeit zu gehen und zu zeigen: Hey, wacht auf, das alles könnte jeder Firma passieren, investiert also mehr in die Cybersicherheit!

Cybersicherheit ist ein Wettbewerbsvorteil
Ein Aufruf, den Nicolas Mayencourt nicht ge- nug wiederholen kann: Man darf IT-Sicherheit nicht mehr länger nur als Kostenfaktor sehen, sondern als Investition in den Wettbewerbs- vorteil. «Klar sieht man es nicht gerne, wenn etwas halt 1000 Franken mehr kostet, nur da- mit es wirklich sicher ist. Aber Qualität auch in der Sicherheit ist ein Wettbewerbsvorteil.» Der Staat, die Medien, die Wirtschaft seien hier in der Pflicht, mehr für Cybersicherheit zu sensi- bilisieren. Er mahnt: «Wir stehen mitten im Digitalisierungszeitalter, 5G steht kurz vor der Einführung, nichts wird mehr funktionieren ohne die digitale Welt. Und wenn diese digita- le Welt nicht sicher ist, stürzt sie in sich zusam- men.» Die Schweiz tut also gut daran, auch in Sachen Cybersicherheit ihren Ruf in Sachen Qualität nicht aufs Spiel zu setzen.

Nicolas Mayencourt im Gespräch
Selbstverantwortung wird in der Schweiz ja gross geschrieben. Ihre Beispiele in Sachen mangelnder Cybersicherheit zeigen aber: Der Weg zur Fahrlässigkeit ist da nicht weit, und das Risiko für die gesamte Volkswirt- schaft ist erheblich. Was würde es bedeuten, wenn halt der Staat gewisse Massnahmen, die eigentlich unter die Selbstverantwor- tung fallen sollten, letztlich «befehlen» muss?

Nicolas Mayencourt: Cyber macht auch an Kantonsgrenzen nicht halt. Cyber ist es zu- dem egal, ob Sie zivil oder militärisch unter- wegs sind. Unser Datenschutz ist sehr gut ausgebaut, fast schon Goldstandard, auch die Gewaltenteilung funktioniert sehr gut. Wir haben ein sehr stabiles politisches System. Nun ist es eben so, dass Cyber diese Grund- konzepte infrage stellt. Das dürfen wir nicht zulassen. Das heisst: Wir müssen mehr Infor- mationen miteinander teilen und wir müs- sen gemeinsame Standards festlegen. Ob dies

«Das ‹Doing› lässt sich delegieren, Verantwortung nicht»

nun per Dekret von oben oder von unten kommt, spielt eine untergeordnete Rolle. Cyber verbindet alle von uns. Wenn wir alle nicht dasselbe Niveau haben und uns nicht gegenseitig helfen, dann bringt jede Mass- nahme nichts. Wenn ich etwa in meiner Fir- ma eine hohe Sicherheit habe, aber die Strom- versorgung in unserem Kanton ausfällt, dann bringt mir diese Sicherheit nicht mehr viel. Wir sollten deshalb eine öffentliche Debatte starten darüber, wie wir unsere Gewalten- trennung weiterhin aufrechterhalten, aber trotzdem gewisse Informationen teilen, auch mit der Wirtschaft, und den Informations- fluss – in beide Richtungen – mandatieren. Es geht darum, wie wir ein gemeinsames Sicher- heitsniveau erreichen.

Es geht also um den Informationsaustausch, um den Transfer auch von Daten. Sie haben unseren gut ausgebauten Datenschutz erwähnt. Da steht man sich aber gegenseitig im Weg, nicht?
Richtig, das ist ein Widerspruch. Wir werden nicht darum herumkommen, gewisse Aus-nahmen und Regeln zu definieren, die dem Datenschutz widersprechen – für bestimmte Verwendungszwecke.

Das heisst: Es geht um eine Nutzenabwä- gung, was höher zu gewichten sei: Der Datenschutz oder die Sicherheit?
Darin besteht die grosse Herausforderung.

Schaut man etwa auf die «Risikolandkarte» eines durchschnittlichen KMU: Aus welchen Richtungen droht die grösste Gefahr?
Ransomware, Phishing-Attacken, Trickbetrü- gereien werden nicht aufhören. Mit der fort- schreitenden Digitalisierung werden aber die Auswirkungen immer fataler. Die Wahrschein- lichkeit, per Zufall in eine Infektion reinzu- rasseln, wird zunehmen.

Sich  also  hinter  Antiviren-Programmen und Firewalls zu verschanzen, wird je länger je weniger funktionieren …
… das hat auch noch nie 100-prozentig funk- tioniert und wird es auch nie. Sie haben hier gerade das Sicherheitskonzept der ersten Ge- neration beschrieben, das wir seit 1994 prak- tizieren. Inzwischen sind wir bei der vierten Generation angelangt. Der Mensch spielt eine sehr kritische Rolle. Alle KMU sollten jetzt aufwachen und sensibilisiert werden, ange- fangen vom Verwaltungsrat bis hinunter zum einfachen Angestellten. Alle müssen eine Cy- ber-Awareness entwickeln. Sonst wird man dann einfach Opfer von CEO-Fraud oder Phishing. Darauf gibt es in der Industrie noch keine genügend wirksame Antworten bzw. Produkte, die uns erlauben, nicht mehr selbst denken zu müssen.

Mir scheint aber gerade diese Awareness noch nicht überall vorhanden zu sein. Man delegiert Cybersicherheitsfragen einfach mal an die IT-Abteilung oder den Internet- Provider …
Das geht so natürlich nicht. «Doing» lässt sich delegieren, Verantwortung nicht. Ich verste- he nicht, weshalb wir als Gesellschaft hier noch nicht weiter sind. Wir haben fantas- tische Technologien. Aber seit 30 Jahren wenden wir diese Technologien in den sen- sibelsten Bereichen an, ohne zu überlegen, was wir da eigentlich tun. Ist dies gut genug, «verhebt’s», um es auf Schweizerdeutsch zu sagen. Jetzt ist die Technologie da, wegma- chen lässt sie sich nicht mehr. Aber sie siche- rer zu machen, wäre klug. Sicherheit ist letztlich eine Frage des Überlebens, sei es wirtschaftlich oder absolut.

Wie sollte denn ein Risikomanagement ausgestaltet sein?
Schulung, Awareness, Kontrolle. Eine Bedro- hung von «aussen» oder «innen» gibt es eigentlich gar nicht mehr. Die Grenzen ver- wischen. Wenn ich auf meinem privaten Smartphone eine Infektion habe und damit in die Firma gehe, dann ist «draussen» gleich «drinnen». Bei einem Schutzdispositiv ist es deshalb   wichtig,   das   «drinnen»   auch  als «draussen» zu betrachten und auch so zu be- handeln. Risikoprofile sollten so zoniert wer- den, damit man die Zonen-Übergänge über- wachen kann. Ein Schutzdispositiv unter- scheidet auch nach Rollen. Es ist eigentlich nichts anderes, als eine professionelle Orga- nisation auch auf den Bereich Cyber abzubil- den. Da hinken wir der Realität hinterher. Alles, was wir in der realen Welt schon gut gemacht haben, wenden wir in der Cyberwelt zu wenig an. Es wäre eigentlich so einfach: Wenn ich mein Organigramm mit Sicher- heitszonen auch technisch abbilde, dann bin ich schon einen grossen Schritt weiter. Dass ein Marketing-Assistent nicht auf Finanz- transaktionen zugreifen soll, ist in der «analo- gen Welt» logisch, sollte aber auch in der Cy- berwelt selbstverständlich sein. Das Best- Case-Szenario besteht darin, auf Qualität und Sicherheit zu setzen, indem wir uns etwas entschleunigen, das heisst, uns vielleicht ein oder zwei Jahre mehr Zeit nehmen, um etwas zu tun und dies dafür richtig, bis es stabil und sicher läuft und uns jenen Nutzen bringt, den wir uns davon versprechen ohne Kollate- ralschäden. Die Rezepte dafür sind mehrheit- lich bekannt.