CIO-Interview: «Faszinierend für mich ist die zusätz­liche Dimension der Kryptowährung»

«Swiss IT Magazine»: Herr Horvath, das Unternehmen Cryptix, für das Sie tätig sind, ist in den Bereichen Web3, Blockchain und Tokenization tätig. Das sind Themen, die für die meisten nach wie vor als Hype- und Buzzword-getriebene Bereiche gelten. Man hat über die Jahre sogar gelesen, dass Web3 – das dezentral aufgestellte Internet – die Zukunft des WWW sein soll. Viel hängengeblieben ist davon aber nicht. Ist der Hype nicht eigentlich schon vorbei?
Alexandre Horvath: Eine berechtigte Frage. Cryptix gibt es nun schon seit 2017 und während wir als Unternehmen zwar am Puls der Zeit sind, investieren wir nicht einfach in einen Hype. Blockchain und Kryptowährungen waren etwa 2021 beim Bitcoin-Allzeithoch und 2022 im Kryptowinter stark in den Medien. Im März 2024 wurde aber wieder ein neuer Rekord beim Bitcoin erreicht – den nächsten Hype erwarten wir damit 2024 oder 2025. Im Gegensatz zu 2021 baut dieser jedoch auf einem wesentlich stabileren Fundament auf. Auch die Technologie hat sich stark weiterentwickelt und wird zunehmend von grossen Unternehmen verwendet. Dennoch wartet die Welt immer auf das nächste grosse Ding, das grade abhebt, und im Moment ist das halt KI. Bei ChatGPT ist der Nutzen für den User greifbarer als die Dinge, die wir umsetzen.

…womit es schwerer wird, die eigene Nachricht nach aussen zu tragen. In der Tat macht es die mangelhafte Greifbarkeit so schwer, das ganze Web3-Thema wirklich einzuordnen.
Greifbar wird es, wenn man als Kunde die Effekte spürt. Wichtig ist es, grundsätzlich zu verstehen, dass man bei dezentralen Konzepten weniger Zwischenstellen in den Prozessen hat. Das macht diese in vielen Fällen auch kostengünstiger.


Vielleicht schaffen wir das mit der Greifbarkeit ja im Kontext von Cryptix. Was macht Ihr Unternehmen denn genau?
Cryptix ist ein Web3 Venture Builder. Wir unterstützen unsere Kunden Full-Service im Blockchain- und Web3-Bereich und bauen auch eigene Unternehmen auf, welche in aller Regel Blockchain-basierte Services anbieten. Beispiele dafür sind die Tokenisierung von Immobilien oder die Etablierung einer Blockchain mit eigener Kryptowährung. Mit all diesen Projekten und Ventures bauen wir ein eigenes Finanz-Ökosystem für Unternehmen wie auch für deren Kunden.

Auf Ihrer Website geht das Angebot dann aber weit darüber hinaus: Sie bieten neben dem Kerngeschäft auch IT Services, Cybersecurity, Applikationsentwicklung, Marketing & Communications, Schulungen und Trainings an. Dies, während sich der grösste Teil der IT-Welt, wenn überhaupt, immer gezielter spezialisiert. Wie geht das auf?
Das ist aufgrund der angesprochenen Ventures so. Cryptix bietet diesen neu gegründeten Unternehmen all diese ressourcenintensiven Services an, damit sie sich auf das jeweilige Kerngeschäft fokussieren können. Damit können wir nicht zuletzt auch gewährleisten, dass alle unsere Ventures auf einem hohen Standard sind – etwa bezüglich Cyber­security. Und damit sind wir in der Lage, diese Services auch externen Unternehmen anzubieten.

Ihr offizieller Titel bei Cryptix ist der des CISO. Für Ihre Schweizer Niederlassung übernehmen Sie zusätzlich noch operative Aufgaben in der IT. Wie sind Cryptix und Ihre Ventures IT-technisch aufgestellt?
Wir bewegen uns in einer Umgebung, in der viele moderne Technologien reinspielen und sind damit grösstenteils Cloud-native unterwegs. Bezüglich Cybersecurity hilft das natürlich ungemein – damit braucht man etwa kein eigenes Security Operations Center (SOC). Vor allem für kleine Unternehmen ist das heute fast eine Notwendigkeit – mit eigener On-Prem-Infrastruktur kann man das fast nicht mehr gewährleisten. Vor Cryptix war ich bei einer grösseren Versicherungsgesellschaft und habe Einblick in viele Schweizer Unternehmen bekommen. Es ist schockierend, was man bezüglich Security bei KMU hierzulande noch antrifft – wir sind nach wie vor weit entfernt von einem guten Basisschutz.

Wo sind denn die Lücken?
Wie soll ich wissen, was in meinem Netzwerk passiert, wenn dieses nicht permanent gescannt wird? Manche wissen schlicht nicht, ob nachts um 2 Uhr 50 Giga­byte nach Russland übertragen werden, das heisst ein permanentes Monitoring der Systeme wie auch Endpoints ist fundamental, um Cyberbedrohungen abzufangen.


Etwas überraschend ist für mich grade schon, dass Sie von Cloud und grossen MDR-Anbietern sprechen, denen man die wichtigsten Bereiche von IT-Umgebungen überlassen soll. Und dabei hat man doch immer wieder gelesen, dass Web3 und Dezentralisierung sozusagen die Antithese zu Big Tech sind.
Auch wenn Blockchain und Web3 von Dezentralisierung geprägt sind, ist es dennoch so, dass es ein breites Spektrum von Unternehmen in diesem Bereich gibt. Dieses Spektrum reicht von Projekten, welche völlig dezentral sind und bei denen es nicht einmal eine Organisation oder ein Unternehmen dahinter gibt, und geht zu regulierten Finanzunternehmen, welche die Blockchain verwenden, um Services zu vereinfachen und günstiger zu machen. Gerade im regulierten Bereich spielen Cybersecurity und Monitoring eine zentrale Rolle, auch getrieben durch Audits von Regulierungsbehörden. Aber auch im dezentralen Bereich ist es so, dass der Grossteil der Validatoren und Systeme in der Cloud gehostet sind.

Ist die Blockchain in Ihren Augen künftig die Standardtechnologie für unseren Bezahlverkehr?
Persönlich bin ich sicher, dass digitale Währungen in fünf Jahren deutlich verbreiteter sein werden und wir näher bei einem digitalen Äquivalent zum Schweizer Franken sein werden, wie auch immer das heissen wird. Aber diese Initiativen laufen bereits länger, fast jede Nationalbank entwickelt derzeit etwas in diese Richtung.

Wieso geht das so lange?
Weil die entsprechenden Stellen Angst haben, dass sie die Hoheit verlieren könnten (lacht). Weiter muss eine gewisse Akzeptanz da sein – am Beispiel Bitcoin: Das System funktioniert gut, die öffentliche Wahrnehmung ist aber schlecht, weil das dann eben auch für illegale Geschäfte genutzt wird und die meisten Schlagzeilen durch kriminelle Energie erzeugt werden.

Dass ein beliebiges Bezahlungsmittel auch für illegale Aktivitäten genutzt wird, liegt doch auf der Hand. Finden sich die Probleme des Bitcoins nicht woanders? Das System ist beispielsweise enorm energiehungrig.
Richtig, aber beispielsweise Ethereum wurde mit der Umstellung zu einem Proof-­of-Stake-System deutlich energieeffizienter. Und es gibt wie bei allem Vor- und Nachteile. Mit einer digitalen Währung würde sich Vermögen etwa sehr schnell, kostengünstig und selbstständig verschieben lassen.


Das ist sicher Ansichtssache – aber wäre das teilweise nicht auch problematisch?
Je nach Perspektive. Nehmen wir an, dass an einem Ort Krieg ausbricht und Menschen flüchten müssten, da wäre es aber beispielsweise eher ein Vorteil für die Flüchtenden.

Web3 wurde vielerorts als die Zukunft des Internets angepriesen; alles sollte und könnte auf der Blockchain und dezentralisiert laufen, so das Versprechen. Wie sehen Sie das heute – bleibts bei der Mischform zwischen Smart Contracts auf der Blockchain und zentralisierter Cybersecurity bei Big Tech?
Es wird wohl auch weiterhin eine Mischform geben, das kommt wie erwähnt massgeblich auf den Use Case an.

…und in Ihrer Rolle als CISO bei Cryptix und dem Einblick in die IT des Unternehmen treffen Sie mit Sicherheit viele verschiedene Use ­Cases an. Was umfasst ihr Aufgabenbereich?
Hauptverantwortlich bin ich in meiner Rolle für die Cybersicherheit und den Datenschutz bei Cryptix – das mache ich fürs globale Business. Am Schweizer Standort in Zug übernehme ich zudem operative Aufgaben in der IT. Zudem bieten wir Cybersecurity Services für unsere Kunden, insbesondere Beratung im Bereich ISO27001.

Welche operativen Tätigkeiten übernehmen Sie für den Zuger Standort?
Ich bestelle manchmal auch Rechner, setze diese auf, manage Firewalls et cetera. Wir sind vor kurzem innerhalb von Zug umgezogen, da stand etwa das Aufsetzen des Netzwerks wieder an.

Dann sind Sie CISO und IT Operations in einem?
Ja, bedingt durch unsere überschaubare Grösse in der Schweiz. Sobald es um Operations geht, übernimmt unser Team in Österreich, was auch Sinn ergibt.


Ist Ihnen das wichtig, dass Sie trotz Management-Position das Handwerk auch noch ausüben und neben der CISO-Arbeit auch Netzwerkkabel einstecken können?
Ich mochte das immer schon und habe das Handwerk auch von der Pike auf gelernt. Meine Rechner und kleineren Netzwerke habe ich immer selbst gebaut und habe es dann auch in der Armee in den IT-Krisenstab geschafft. Ich sehe das so: Man sollte nie zu weit von der Materie selbst weg sein. Man kann hunderte Bücher lesen, aber dann fehlt einem halt der praktische Ansatz. Ich mache auch gerne Kurse und Weiterbildungen, um am Ball zu bleiben, wenn es etwa um Hacker-Themen geht, und die besten Kurse haben einen praktischen Teil. Für mich ist ständiges Lernen und die andauernde Arbeit an der Fehlerkultur im Allgemeinen wichtig. Ich kann jedem empfehlen, selbst ab und zu an die Konsole zu sitzen.

Und daneben sind Sie CISO für Cryptix international und damit je nach Situation auch für die Ventures, die dazugehören?
Genau. Und dazu auch für Externe. Wir bieten auch CISO as a Service an, je nachdem kommt das dann also auch noch dazu.

Das klingt nach recht viel Arbeit und vielen verschiedenen Hüten.
Natürlich ist es das, aber gewissen Aufgaben – wie etwa die IT, die ich hier betreue – machen nicht so viel Arbeit. Und wenn es mal einen Wannacry-artigen Event gibt und alle Kunden gleichzeitig Hilfe brauchen, renne ich eben. Aber das ist dann unabhängig der Firmengrösse bei allen Betroffenen so. Und die gewonnene Erfahrung hilft enorm beim nächsten Fall.

Arbeiten Sie in der IT noch mit externen Anbietern zusammen?
Nur mit den Providern für Cloud und Internet. Wir sind dahingehend sehr schlank aufgestellt. Wenn man Cloud-native ist, kann man viel aus seinen Ressourcen rausholen.

Somit betreiben Sie, abgesehen von ­Ihren Clients, keine andere Hardware?
Nicht ganz – wir haben noch verschiedene Validatoren für Blockchain-­Projekte.


Sie betreiben also über den ganzen Erdball verteilt Blech für diese Nodes und verwalten diese selbst, die stehen also nicht bei einem Provider?
Richtig, davon gibt’s einige verschieden verstreut.

Ist der Betrieb solcher Nodes aus Sicht des CISO und der Unternehmensinformatik spannend? Gibt’s da speziellen Schutzbedarf oder Wissen, das für den Betrieb von Nodes relevant ist?
Es kommt auf das Netzwerk an, in dem sie dann betrieben werden. Gute Segmentierung ist natürlich wichtig, aber das ist bei Nodes oder einer anderen wichtigen Umgebung im Prinzip dasselbe.

Was bereitet Ihnen als CISO, also die Security betreffend, die meisten schlaflosen Nächte?
Es gibt verschiedene Baustellen. Mitarbeiterschulung und -sensibilisierung ist nach wie vor wichtig, weil die Fehlerquelle beim Nutzer leider immer noch recht gross ist.

Und auf technischer Seite?
Dort geht es in meinen Augen in eine immer bessere Richtung und der Schutz wird immer stärker, was entlastend wirkt. Spezifisch für unseren Bereich gibt es noch das Thema Digital Brand Protection.

Was ist darunter zu verstehen?
Bei gewissen unserer Ventures und Kundenprojekte ist der Schutz vor Betrug, etwa über gefälschte Websites, ein Thema. Beispielsweise wenn es um das Anpreisen von Aktionen rund um Krypto­währungen wie etwa E-Credits von einem unserer Ventures geht. Und gerade mit den vielen kleinen Screens, die heute genutzt werden, schauen die Nutzer oft weniger genau hin, als sie das auf dem Rechner tun würden.

Aber ist eine Fake-Seite, die Ihre Krypto­währung anpreist, Ihr Problem? Sie stellen diese gefälschte Website ja nicht.
Das Problem ist eher, dass es rufschädigend ist und damit trifft es potentiell auch unsere Kunden. Gewisse Nutzer sind dann eben doch der Meinung, dass so etwas die Schuld der Betreiber ist, wenn sie schlechte Erfahrungen machen. Aber natürlich können wir nichts dagegen machen, dass irgendwelche Leute auf falsche Links klicken – wir können nur darauf hinweisen und warnen.

Und das kommt so oft vor?
Via Social Media kommt da fast täglich irgendwas, ja. Aber man sieht oft schon bei den Followern dieser Accounts, dass da was nicht stimmt, wenn man ein bisschen genauer analysiert. Oft finden wir aber auch Fake-Websites und da gab es schon einige, die gefährlich gut gemacht waren.


Ist der Fachkräftemangel auch für Sie ein so grosses Problem wie für den Rest der Branche oder findet man innerhalb der Blockchain-Bubble einfacher Leute?
Es ist auch für uns schwierig, die guten Leute zu finden. Ein grosses Netzwerk zu haben und in den richtigen Gremien zu sitzen, hilft aber sehr.

Wenn sich dann mal jemand findet, gilt es ja, diesen für die eigene Sache zu begeistern. Was sagen Sie denen – was ist das Tolle an Ihrer Nische, warum sollte man sich da reinfuchsen?
Faszinierend für mich ist vor allem die zusätzliche Dimension der Kryptowährung. Wir schützen damit nicht nur Daten, sondern eben auch die Währung selbst, womit ich gerne argumentiere. Dazu kommt, dass es ein sehr spannendes Umfeld ist, in dem sich viel bewegt. Und drittens haben wir einen guten Standort – mit dem Crypto Valley hat sich die Schweiz gut positioniert, nachdem wir das Bankgeheimnis so lapidar abgetreten haben. (win)