Deshalb ist IT-Security Chefsache

Das Bewusstsein um Cybersecurity ist in der Schweiz gestiegen. Geschäftsleitungen schieben die Verantwortung oft auf die IT-Abteilung ab. Weshalb das Thema aber in die Chefetage gehört und wie man es dahin bringt, sagt Umberto Annino, Mitglied des Cybersecurity Advisory Board der SATW, im Interview.

Quelle: swisscybersecurity.net

Laut einer aktuellen Studie von Sophos ist die IT-Sicherheit in der Schweiz noch nicht in der Chefetage angekommen. Die IT-Abteilung trägt die Verantwortung. Ist das ein Problem? Die IT-Abteilung versteht doch am meisten von Security.

Umberto Annino: Das ist nicht nur in der Schweiz ein Problem. Identifiziert und bemerkt haben die Geschäftsleitungen das Thema allerdings unterdessen. Aufgrund der gesellschaftlichen Entwicklung und der aktuellen medialen Präsenz des Themas war dies auch die logische Folge. Zugleich stelle ich aber fest, dass man sich auf Stufe Geschäftsleitung noch nicht ausreichend mit der Security auseinandersetzen kann oder will. Typischerweise besteht das C-Level aus Betriebswirtschaftlern und Juristen, nicht aus Ingenieuren. Daher fehlt wohl schlicht das Verständnis für das Thema. Aus diesem Grund wollen heutzutage viele Firmen einen Chief Information Security Officer (CISO). Aber: Wo fügt man diesen in die bestehende Hierarchie ein?

Wie ist dieses mangelnde Verständnis zu erklären?

Das Thema wird noch immer als sehr technisch wahrgenommen. Am Ende des Tages geht es aber um Informationssicherheit und nicht nur um IT-Sicherheit. Somit ist die Verantwortung in der IT-Abteilung am falschen Ort. Es ist ein übergreifendes Thema, das über reine Technikfragen hinausgeht.

Wie kommt es, dass die Verantwortung der IT überlassen wird?

Die IT-Abteilung ist für Geschäftsleitungen oft noch eine Blackbox. Irgendwo im Keller – heutzutage wohl eher irgendwo in der Cloud – passiert etwas und dann läuft alles. Mehr will das C-Level auch nicht wissen. Es soll einfach funktionieren. Das führt dann zu einer „Die IT kümmert sich darum“-Haltung. Aber bei Security handelt es sich eben nicht um ein IT-Problem. Die IT liefert bloss das Instrumentarium, um damit umzugehen. Die Verantwortung der IT-Abteilung zu überlassen, greift daher zu kurz. Die IT soll grundsätzlich Kosten sparen und alles effizienter machen. Security wird aber oft als Kostenfaktor wahrgenommen. Das beisst sich schnell. Zugleich ist es auch das C-Level, das die Risiken ignoriert und die nötigen Budgets für die Security nicht freigibt.

Was sagt dies über das Cyberrisikobewusstsein in der Schweiz aus?

Das Risikobewusstsein ist durchaus da. Aber Risiken sind von Natur aus abstrakt und hier geht es zudem um immaterielle Assets wie Daten und Informationen. Wenn man das zusammenführt, hat man gar nichts Handfestes mehr. Man kann die Risiken nicht fassen und daher auch nicht richtig einordnen. Wird ein Auto gestohlen, ist es weg. Werden jedoch Daten gestohlen, befinden sie sich noch immer in der eigenen Datenbank. Wenn man das Problem nicht versteht, könnte man sich also fragen, wo überhaupt das Problem ist.

Wie hat sich dieses Risikobewusstsein in der Schweiz in den vergangenen Jahren verändert?

Wir sind sicher auf dem richtigen Weg. Meiner Meinung nach könnte es aber viel schneller vorwärtsgehen. Ich bin seit über 20 Jahren im Security-Bereich tätig. Erst jetzt kommt langsam an, was wir in der Branche schon seit Jahren predigen. Und trotzdem kämpfen wir noch immer mit denselben Problemen, mit deren Lösung wir schon vor 20 Jahren hätten beginnen können. Das frustriert mich manchmal ein wenig: Es scheitert noch immer an denselben Gründen. Wir haben uns aber auch in diese Situation hineinmanövriert.

Wie meinen Sie das?

In den vergangenen Jahrzehnten war Security bestenfalls ein Hintergedanke, den man nach dem Release auf etwas draufgepatcht hat. Den „Security by Design“-Ansatz hat man komplett verschlafen und das rächt sich jetzt zunehmend. Das sehen Geschäftsführungen etwa, wenn sie ein Assessment machen. Diese Berichte sind nicht unbedingt positiv und eher ernüchternd. Dann realisiert man beispielsweise, dass die angeblich beste Software doch nicht so toll ist. Die Architektur wurde vor 30 Jahren entwickelt, danach wurden bloss neue Module draufgeklebt und das GUI etwas aufgehübscht. Dann müssen Unternehmen in den sauren Apfel beissen und das ganze IT-Fundament ersetzen. Die Kosten dafür sind jenseits!

Inwiefern zeugt das Unverständnis von einem Desinteresse am Thema Cybersecurity auf der Führungsebene?

Ich würde es nicht als „Desinteresse“ bezeichnen. Das Problem liegt nicht darin, dass das C-Level das Thema nicht versteht. Das ist ja auch nicht ihre Kernaufgabe. Wenn man es aber nicht versteht, muss man den Mitarbeitenden vertrauen, die es verstehen. Bei der Kommunikation sind beide Seiten gefordert. Bei Security-Risiken handelt es sich um Businessrisiken. Entsprechend muss man es auch der Geschäftsleitung zielgruppengerecht kommunizieren. Im Business-Slang und nicht in Bits und Bytes. Hier müssen auch die Techies aufholen.

Wie bringen wir die IT-Sicherheit auf die Chefetage?

Der einfachste Weg ist, das C in CISO gebührend zu respektieren. Das heisst, der CISO ist auch Mitglied der Geschäftsleitung. Der andere Weg ist eben die Kommunikation. Man muss von unten her sicherstellen, dass man oben versteht, wo die Probleme sind und wie man sie anpacken muss. Die Technikverliebtheit kann man weiterhin zelebrieren. Aber wenn man mit dem C-Level spricht, muss man in dessen Sprache sprechen. Und die einzige Sprache, die das C-Level versteht, sind Risiken. Wenn man eine Firewall für 100’000 Franken beantragt, reagiert die Geschäftsleitung mit Unverständnis. Wenn man aber drei Risiken präsentiert, die dem Unternehmen eine Millionen Franken kosten könnten, ist eine Firewall für 100’000 Franken eine vernünftige Lösung. So sprechen Techies und C-Level dieselbe Sprache.

Ein CISO kann helfen, zwischen der IT und der Geschäftsleitung zu vermitteln. Aber was machen KMUs, die sich keine CISO-Position leisten können?

Das ist ein grosses Problem, das man sowohl in der Verbandslandschaft als auch generell identifiziert hat. KMUs haben andere Bedürfnisse und andere Budgets. Hier lohnt es sich auch, zu prüfen, ob man einen externen Dienstleister beanspruchen sollte. Wenn ein KMU eine CISO-Stelle mit 20 Prozent schafft, kriegt das Unternehmen auch nur Teilzeit-Security. Für dasselbe Geld kann man aber auch einen Dienstleister beauftragen. So hat man 100-prozentige Security, aber in dem Umfang, den das KMU benötigt. Hier ist Hilfe zur Selbsthilfe wichtig. Mit wenigen einfachen Schritten kann man schon viel erreichen – wie etwa die 80/20-Regel. Das ist vielen KMUs nicht bewusst. Also sind Dienstleister gefragt, um dies den KMUs aufzuzeigen.

Weshalb gehört Cybersecurity auf die Traktandenliste der Geschäftsführung und des Verwaltungsrats?

Aufgrund der Integrationstiefe und der Allgegenwärtigkeit der IT. Inzwischen stellt man überall, wo man es kann, einen Computer auf. Sinnvoll ist das nicht immer – nur weil man etwas vernetzen kann, muss man es nicht zwingend tun.

Können Sie ein Beispiel nennen?

Wenn ich einen Babymonitor kaufe, achte ich darauf, dass es ein Closed-Circuit-Modell ist. Es gibt aber auch vernetzte. Mal abgesehen vom Cyberrisiko geht da auch der Use Case für mich nicht auf. Was bringt es mir, wenn ich im Büro sitze und sehe, dass mein Kind zuhause heult? Aber es gibt diese Geräte und es gibt auch Abnehmerinnen und Abnehmer dafür. Heute ist alles smart und vernetzt, und das macht das Thema nur noch abstrakter. Früher sah man ein Kabel und wusste, dass die Daten irgendwohin gehen. Heute ist vielen wohl gar nicht bewusst, wie viele Schnittstellen und Protokolle im Hintergrund kommunizieren. Das sind wieder mehr technische Details. Muss ein CEO das alles wissen? Nein, aber er muss wenigstens jemanden haben, der ihm sagt, was die Risiken sind.

Welche rechtlichen Aspekte bezüglich der Verantwortung bei Cybervorfällen gibt es zu bedenken?

Allen voran die Sorgfaltspflicht. Als CEO kann man schon sagen, dass man von der Technik nichts wusste, dass es die Aufgabe der IT war oder die Verantwortung des Providers. Haften tut am Ende trotzdem die Geschäftsleitung und der Verwaltungsrat. Die Technik im Griff zu haben, gehört heutzutage zur Sorgfaltspflicht dazu.

Wie stehen Sie der Idee einer allgemeinen Meldepflicht gegenüber?

Eine Meldepflicht könnte helfen, das Problem besser zu erfassen. Aus dieser Perspektive begrüsse ich es. Der repressive Teil – man muss etwas melden – gefällt mir weniger. Erfahrungsgemäss führt das oft zu mehr Compliance als zu mehr Security. Man macht es, damit man es gemacht hat, weil man es machen muss. Den Zweck dahinter sieht man nicht und erfüllt man daher auch nicht. Wenn man eine Meldung machen muss, fragt man sich vielleicht nur, warum man sich jetzt melden muss. Man fragt sich aber nicht, wie man es schafft, gar nie in die Situation zu kommen, in der man etwas melden muss. Und das wäre ja das eigentliche Ziel. Daher begrüsse ich grundsätzlich eine niederschwellige Meldepflicht. Unternehmen sollen Vorfälle melden können, ohne Repressionen fürchten zu müssen. Von mir aus können die Meldungen auch anonym sein. Es geht nicht darum, die Schuldfrage zu klären, sondern darum, ein Lagebild in Echtzeit zu erstellen. Dann können wir auch besser eruieren, wo und wie KMUs Hilfe benötigen.

Was sollten Schweizer Unternehmen jetzt tun, um ihre IT-Sicherheit zu steigern?

Das Fundament muss gestärkt werden – der Grundschutz. Da gibt es nichts zu diskutieren; das muss einfach gemacht werden. Es ist nicht so einfach, dieses Fundament lückenlos stabil hinzukriegen. Darum sollte man simpel starten und seine Hausaufgaben machen. Die Security-Branche hilft hier nicht immer.

Können Sie das noch etwas erläutern?

Das Buzzword-Bingo ist leider stark in der Branche. Next Generation hier, künstliche Intelligenz da – es ist halt alles fancy, was neu ist. Viele grundlegenden Massnahmen wurden lange Zeit versäumt. Diese nachzuholen ist wichtiger, als die nächste und die übernächste Lösung zu kaufen. Zero Trust und Cyberresilience sind zwar toll. Aber zuerst muss man sozusagen die Primarschule bestehen, bevor man auf diesen Abschluss aufbaut.

Was darf bei keinem Cyberrisikomanagement fehlen?

Ein Inventar! Vor allem ein Daten- und Informationsinventar. Was will ich überhaupt schützen? Wo sind meine Daten? Und wo sind sie sonst noch abgespeichert? Auf welchem Computer, auf welchem Drive, auf welchem USB-Stick? Wo habe ich es noch zuhause abgespeichert? Und wo ist es zusätzlich noch ausgedruckt? Wenn man sich diese Gedanken nicht im Voraus macht, muss man später immer hinterherrennen. Dann hat man immer irgendwo noch eine Lücke, etwas, an das man noch nicht gedacht oder noch gar nicht gewusst hat. Es ist leider langweilig. Aber es scheitert eigentlich immer an diesen Basics.

Was gehört sonst noch zu diesen Basics?

Zwei weitere wichtige Fragen lauten: Was ist mein Problem und wer sind meine Feinde? Man spricht immer von den bösen Geheimdiensten. Aber ist eine Firma wirklich interessant für diese, bloss weil beim Googeln drei Einträge zu der Firma erscheinen? Wohl kaum. Deswegen sollte man sich fragen, wer wirklich ein Interesse an den eigenen Daten haben könnte. Klar, wenn ein Unternehmen politisch exponiert ist, ändert sich die Bedrohungslage. Und auch wenn der Krieg in der Ukraine die Schweiz nicht direkt betrifft, könnten trotzdem Querschläger bei uns landen. Komplett ignorieren sollte man diese Gefahr daher nicht.

Um auf einer positiven Note zu enden: Was hat sich bezüglich Cybersecurity bei Schweizer KMUs in den vergangenen Jahren schon spürbar verbessert?

Ich sehe durchaus einen positiven Aktivismus. Es ist schön, dass ich das noch erleben darf! Die Unternehmen tauschen sich untereinander aus. Man hat erkannt, dass Vertrauen ein wichtiger Faktor ist, und man versucht, sich aktiv zu helfen. Wirklich jeder hat erkannt, dass man etwas machen muss. Das ist natürlich super für die Security-Branche – da herrscht eine gewisse Goldgräberstimmung.