Im Brennpunkt der Cybersicherheit: Ein Rückblick auf das Inside-IT Event vom August 2023
Cybersicherheit ist mehr als nur ein Schlagwort; es ist eine Notwendigkeit in unserer digital vernetzten Gesellschaft. Mit über 120 Teilnehmern und einer hochkarätigen Expertenrunde bot das August 2023 Inside-IT Event, “Cybersicherheit der und in der Schweiz” eine Plattform, um dieses komplexe und sich ständig wandelnde Thema zu diskutieren. In diesem Blogpost fassen wir die wichtigsten Erkenntnisse zusammen.
Meldepflicht und Reaktionsfähigkeit in der Cybersicherheit
Max Klaus vom NCSC sprach über die organisatorische Verschiebung des Bundesamtes für Cyber-Sicherheit (BAC) unter das Verteidigungsdepartement (VBS). Er betonte, dass es sich bei der Verschiebung vorerst um eine rein organisatorische Massnahme handele. Die Diskussion im Raum zeigte jedoch, dass die Meinungen zu dieser Entwicklung geteilt sind.
Klaus konnte sich separat dazu nicht zur kürzlich erfolgten Ransomware-Attacke auf Xplain äussern. Er unterstrich jedoch, dass Cyberangriffe, wie die DDoS-Angriffe im Juni '23, nicht neu sind. Die Einführung einer Meldepflicht für Cybervorfälle sieht er als Schritt in die richtige Richtung, um schneller auf neue Angriffsvektoren reagieren zu können.
Die Bedeutung von Risikomanagement
In seinen Kurzvortrag sprach GOBugfree CSO, Michael Schläpfer, darüber, wie essentiell es ist, eine ganzheitliche Sicht auf die Sicherheit zu haben. Risikomanagement ist das Herz der Cybersicherheit. Es beginnt damit, die potenziellen Risiken zu verstehen und zu identifizieren. Nur wenn diese bekannt sind, können Unternehmen bewusst entscheiden, wie sie diese Risiken minimieren, übertragen oder akzeptieren können.
Vertrauen als Schlüssel zum Erfolg
Martin Leuthold von Switch konzentrierte sich in seinem Vortrag auf die Notwendigkeit, das durch MELANI, NCS 1, 2, 3 geschaffene Vertrauen in der Cyber-Sicherheitsgemeinschaft aufrechtzuerhalten. Er lobte die Entscheidung, Florian Schütz als Leiter des BACS beizubehalten, betonte jedoch die Relevanz, wie potenzielle Interessenkonflikte die Glaubwürdigkeit und das Vertrauen in das zivile Bundesamt beeinflussen könnten.
Leuthold sprach sich klar für Transparenz und Zusammenarbeit aus. In einer Zeit, in der die Armee mit erheblichen Investitionen im Cyberbereich aufgerüstet wird, sieht er transparente Strukturen als unabdingbar an. Zudem betonte er, dass das zivile BACS durch die gesamte Security-Community unterstützt werden sollte, um effektiv auf die Herausforderungen im Bereich der Cybersicherheit reagieren zu können.
User-first-Sicherheit
Sandra Tobler, CEO von Futurae, betonte, dass starke Sicherheit nicht kompliziert sein sollte. Sie beleuchtete die alltäglichen Herausforderungen der Cybersicherheit mit einer persönlichen Anekdote. Nach dem Wechsel zu einem neuen Smartphone fand sie sich in einem Labyrinth aus Authentifizierungsschritten wieder, nur um ein Tram-Ticket über die ZVV-App zu kaufen. Diese Erfahrung brachte nicht nur Frustration mit sich, sondern auch die Erkenntnis: Starke Sicherheit muss nicht kompliziert sein. Tobler unterstrich, dass bis zu 50% der Kundensupport-Tickets bei Banken im Zusammenhang mit Authentifizierung und Login stehen — ein klares Indiz für Verbesserungsbedarf.
Ihr Appell war eindeutig: Die Benutzerfreundlichkeit muss in den Vordergrund gerückt werden, ohne dabei die Sicherheit zu vernachlässigen. Dabei warnte sie vor einem blinden Vertrauen in Biometrie und betonte die Bedeutung von kontextabhängigen Sicherheitsmassnahmen .Sie plädierte für einen user-first Ansatz, um die Akzeptanz von Sicherheitsmassnahmen zu erhöhen.
Top-Down-Support für Cyber-Resilienz
Konrad Zöschg, CIO bei Swissgrid, betonte die essentielle Rolle der Unternehmensführung bei der Förderung von Cyber-Resilienz. Vom Verwaltungsrat (VR) bis zur Geschäftsleitung (GL) muss die Überzeugung und das Handeln klar für die Stärkung der Cyber-Resilienz ausgerichtet sein. Dass diese Überzeugung nicht nur auf dem Papier existiert, machte Zöschg anhand der regelmässigen Cyber-Übungen deutlich, die im Unternehmen durchgeführt werden. Eine solche praxisnahe Vorbereitung ist entscheidend, um im Ernstfall handlungsfähig zu sein.
Im Hinblick auf die Schlüsselaspekte für die Umsetzung von Cyber-Resilienz erklärte Zöschg, dass eine effektive Abwehrstrategie auf drei Säulen ruht: einer von oben nach unten getragenen Unternehmenskultur, die Cyber-Resilienz fördert, mehrschichtigen Schutzstrategien und der Fähigkeit zur schnellen Reaktion auf neue Bedrohungen. Diese Aspekte bilden die Grundlage, um die enormen potenziellen Kosten eines Cyberangriffs — er erwähnte, dass ein eintägiger Blackout 2-4 Milliarden kosten könnte — effektiv abzuwenden.
No-Blame-Kultur
In der abschliessenden Paneldiskussion wurde die Bedeutung einer No-Blame-Kultur hervorgehoben. Es ist wichtig, dass Unternehmen eine Kultur fördern, in der Mitarbeiter sich trauen, Sicherheitsvorfälle zu melden, ohne Angst vor Bestrafung. Das Event bot nicht nur Gelegenheit für einen intensiven fachlichen Austausch, sondern auch für spannende Begegnungen. Die Cybersicherheitslandschaft ist im ständigen Wandel, und Veranstaltungen wie diese sind essentiell, um auf dem neuesten Stand zu bleiben.