Cyberbedrohung als Chance für Innovation & Informatik

Die Medien sind mit Nachrichten über Cyberkriminalität überflutet. Die Bedrohungslage steigt, gleichzeitig herrscht ein enormer Fachkräftemangel. Ist die Lage aussichtslos? Christian Koch, Gastgeber der Veranstaltung und verantwortlich für Corporate Relations bei der FFHS, sieht darin Chancen für die Innovation und Informatik. Hierzu lanciert die FFHS ab Herbst 2023 einen neuen Studiengang, Bachelor of Cyber Security. Am Business Breakfast schilderten Fachexperten die aktuelle Sicherheitslage, mögliche Sicherheitsmassnahmen und warum solche Ausbildungsangebote dringend nötig sind.

Key Takeaways:

• Die Bedrohungslage steigt: Cyberattacken sind auch in der Schweiz täglich Realität geworden
• Die Komplexität der IT-Systemen nimmt zu: die Unternehmen sind anfälliger für Schwachstellen und somit für Angriffe
• Die Welt ist immer vernetzter: Die Cyberkriminalität hat nicht nur lokale Auswirkungen auf eine Firma, sondern auf mehrere Unternehmen und Länder
• Es gibt bereits effektive Lösungen: Bug-Bounty-Programme, Pentesting und Cyber Radare sind gute Sicherheitssätze
• Die Lösung? Awareness schaffen und in die Ausbildung investieren, mit gezielter Kompetenzaufbau und (Weiter)Bildung zu Cybersecurity

Warum ist Cybersicherheit wichtig?

Anna Mempel, COO der Firma Securnite, eröffnete mit einer Frage an den Teilnehmenden: Warum ist Cybersicherheit wichtig? Das fachkundige Publikum lieferte überzeugende Argumente über die Wichtigkeit von schützenswerten Daten, weltweite Auswirkungen der Cyberkriminalität, bis hin zu IoT (beispielsweise Herzschrittmacher).

Die Anzahl Akteure, sowie auch die Angriffsflächen wachsen ständig

Die Anzahl Bedrohungsakteuere und Angriffsformen nimmt stetig zu. Gleichzeitig wächst die Anzahl der Schwachstellen, die Eingriffstore für Angreifer. Unser Business-Umfeld wird immer grösser und komplexer. Es gelten nicht mehr die klassischen Perimeter des eigenen Netzwerks und die eigene Infrastruktur. Die Mitarbeitenden arbeiten überall: von zu Hause, vom Hotel, aus dem Café um die Ecke. Die Software kennen wir nicht mehr so genau. Bibliotheken werden von Open Source-Plattformen importiert. Man baut es ein und geht live – im stillen Vertrauen, dass es funktioniert. All diese Punkte vergrössern unsere Angriffsfläche.

Warum sollten wir uns schützen?

Mempel spricht von Kronjuwelen. Sie sagt: "Ob Daten, Geld oder Geheimnisse, die Kronjuwelen sind die wichtigsten Güter eines Unternehmens und müssen auf Verfügbarkeit, Vertraulichkeit und Integrität geschützt sein.” Geschieht dies nicht, können die finanziellen Folgen ruinös sein. Als Beispiel nennt sie den Velo- und E-Bike-Hersteller Prophete, bei dem eine Cyber-Attacke zu einer mehrwöchigen Betriebsstopp und schliesslich zur Insolvenz führte. Der Reputationsverlust nach einer Cyber-Attacke kann ebenfalls immens sein. Die Basis des Geschäfts ist Vertrauen. Ist dies einmal erschüttert, hat ein Unternehmen ganz schlechte Karten.

Wie können wir die Cybersicherheit gewährleisten?

Schwachstellen sind das Einfallstor für Cyberkriminelle. Rolf Wagner, COO von GObugfree erklärt, wie seine Firma GObugfree Unternehmen hilft, Schwachstellen so schnell wie möglich zu identifizieren und zu beheben, bevor diese von Angreifern ausgenutzt werden können. Dazu setzt GObugfree auf eine Community von Sicherheitsexperten und ethischen Hacker um Bug-Bounty-Programme durchzuführen.

In einem Bug-Bounty-Programm suchen Security Researcher, sogenannte “ethische Hacker” (bei GObugfree ”Friendly Hacker” genannt) nach “Bugs” (Schwachstellen) in IT-Systemen und Applikationen. Das Vorgehen ist streng reglementiert. Gültige Schwachstellen werden mit einem "Bounty" (Belohnung) vergütet.

Die Vorteile eines Bug-Bounty-Programms gehen über die Früherkennung von Fehlern hinaus. Oft führt ein Bug-Bounty-Programm zu erhöhtem Sicherheitsbewusstsein im Unternehmen, als auch bei Lieferanten. Da von aussen getestet wird und somit eine reale Attacke von Cyberkriminellen simuliert wird (kontinuierlicher Black-Box-Ansatz), werden so Lücken aufgedeckt, die sonst verborgen blieben. Die kollektive Intelligenz und Kreativität der Community mit ihren diversen Fähigkeiten ergänzen bestehende Sicherheitsmassnahmen wie Security Audits oder Pentesting perfekt.

Sicherheit ist kein Bremsklotz!

Sicherheit wird oft als Bremsklotz gesehen, eine Hürde, die es zu überwinden gilt. Wagner vergleicht eine starke Sicherheit mit guten Bremsen: “Stärkere Bremsen ermöglichen mehr Tempo: in der digitalen Transformation, sowie auch, um einen Service schneller freizuschalten. Sicherheit ist somit ein Enabler.”

Im Kern ist IT-Sicherheit Risiko-Management. Der Digitale Footprint eines Unternehmens wird immer grösser, es braucht einen ganzheitlichen und systematischen Ansatz, dies zu schützen. In diesem Kontext spricht Wagner von Vulnerability Management. Dazu gehören automatisiertes Scanning, Pentesting, Attack Surface Management (um überhaupt alle Systeme herauszufinden), Bug-Bounty-Programme und Vulnerability Disclosure Programme.

Die Schweizer Gesellschaft in Bewegung bringen

Für Dreamlab CEO Nicolas Mayencourt steht die holistische Betrachtung der Cyber-Landschaft im Vordergrund. Cyberrisiken betreffen alle. Jedes dritte Schweizer Unternehmen war schon Opfer von Cyberkriminalität, mit einem durchschnittlichen Schaden im Wert von CHF 6 Mio. Die tägliche Anzahl digitaler Delikte ist mit 83 nur leicht unter der Anzahl physischer. Es birgt aber ein enorme Dunkelziffer. Mayencourt spricht einen dringlichen Appell an alle aus: «Hör auf naïv zu sein!».

Warum tut die Schweiz zu wenig?

Die Schweiz gilt als innovatives Land. Seit einem Jahrzehnt stehen wir auf Platz 1 des Global Innovation Index von der Weltorganisation für geistiges Eigentum. Gleichzeitig stehen wir auf Platz 42 der Global Cyber Security Index, nach Zypern, vor Ghana. Wir investieren systematisch in die Grundforschung, tun aber zu wenig, um die Daten und die Stabilität unserer Systeme zu schützen.

Warum tun wir zu wenig? Mayencourt glaubt, es liegt an fehlendem Verständnis und einer falschen Einschätzung der Tragweite. Die Grundsensibilisierung ist vorhanden, jedoch glauben viele Unternehmen fälschlicherweise, dass sie zu wenig wichtig und deshalb kein Ziel seien. Mayencourt sagt: “Im Internet ist jeder ein Ziel. Cyberkriminelle sehen keine Menschen, sondern IP-Assets.”

Cyber: von allen physischen Limitationen befreit

Die Menschheit kann gut mit den Dimensionen Land, Wasser, Luft und All umgehen. Diese Bereiche haben wir weitgehend erforscht und unsere “Freeze, Fight or Flight Response” ist entsprechend darauf abgestimmt. Cyber liegt aber über all diesen Dimensionen und ist von allen physischen Limitationen befreit. Im hyper vernetzten Cyber-Raum sind wir alle miteinander verbunden, eingebettet und abhängig.

Das Cyber-Radarbild von CyObs liefert eine holistische Sicht über die Situation eines Unternehmens und zeigt die externen Angriffsfläche und Blind Spots auf. Bezogen auf die Schweiz als Land zeigt dieses Rander den Handlungsbedarf auf. 2019 wurden 42’220 bekannte kritische Sicherheitslücken gemessen; 2021 stieg die Zahl auf 113’780.

Was ist die Lösung?

In der von Oliver Ittig, Studiengangsleiter Informatik bei Fernfachhochschule Schweiz, geleiteten Diskussion sind sich die Referenten alle einig: Die Menschen müssen die Betroffenheit spüren. Hierbei hilft eine offene Fehlerkultur. Unternehmen sollten sich nicht über einen Cyberangriff schämen, sondern ihre Erfahrungen offen teilen, damit andere davon lernen können. Die Gesellschaft muss auch in die gezielte Aus- und Weiterbildung von Fachkräften investieren, mit bereichsspezifischen Kompetenzaufbau und Fokus auf Cybersecurity.

Informationen zum FFHS Studiengang, Bachelor of Cyber Security