Wie diverse Studien aufzeigen, ist Cybersicherheit nicht mehr eine rein technische Angelegenheit, sondern ein strategisches Risiko und eine der drei grössten Herausforderungen für CEOs und Verwaltungsräte weltweit. Wie sehen Sie das?
Ja, das ist korrekt. Dabei umfasst die Cybersicherheit weit mehr als Technologie. Der "Global Risk Report" des World Economic Forum von 2017 führt Datendiebstahl und Cyberattacken als zwei der sechs grössten Hauptrisiken auf. Cyberrisiken sind sogar noch weiter verbreitet und eine Schlüsselkomponente bei mehr als der Hälfte der 25 wichtigsten Treiber von Risiken von neuen Technologien. In der Folge werden Cyberrisiken und damit die Cybersicherheit immer häufiger auch auf der Stufe CEO und Verwaltungsrat betrachtet. Sie gelten als Erfolgskomponenten eines Unternehmens.

Sicherheit zu 100 Prozent gibt es bekanntlich nicht. 99 Prozent der Sicherheit wird getragen von Technologien, Prozessen und Menschen. Der Rest ist Sache des Risikomanagements. Wie ist Ihre Erfahrung?
Prozentuale Anteile zu nennen, ist hier schwierig. Doch Sicherheitsrisiken und -chancen werden heute mehr denn je Bestandteil des Risikomanagements und Restrisiken müssen entweder getragen oder auf Versicherungen transferiert werden. Dabei geht es aus meiner Sicht um mehr als nur ein Prozent. Mit der zunehmenden Professionalisierung der Gefahren ist der Mensch immer stärker überfordert. Darum müssen die Unternehmen mehr Prozesse, Technologien und Services finden, die diese wachsende Lücke schliessen.

Wo steht die Schweiz – als Land und Standort von Managed-Services-Providern – jetzt und in Zukunft im internationalen Vergleich von Cybersecurity/Cloud-Sicherheit und Resilienz, zum Beispiel von kritischen Infrastrukturen?
Es existiert eine Diskrepanz zwischen der Wahrnehmung von dem, was in der Schweiz im Cyberspace vorfällt, und den Bereichen, in denen wir in Incident-Response-Aktivitäten involviert sind. Hier stehen wir im internationalen Vergleich meines Erachtens viel schlechter da, als allgemein angenommen wird. Da hilft es auch nicht, dass wir über Probleme und Herausforderungen wenig sprechen. Hinzu kommt, dass wir in der Schweiz keine allgemeine Meldepflicht bei Vorfällen haben. Es gibt auch keine zentrale Stelle, die überhaupt eine Übersicht hat. Während die Resilienz von kritischen Infrastrukturen bezüglich traditioneller Risiken recht gross ist, haben viele Unternehmen bei der Cybersecurity noch immer einen grossen Nachholbedarf. Wie sich das in Zukunft entwickelt, hängt wohl davon ab, wann (also weniger ob) es zu einem signifikanten Cybervorfall kommt und ob dann die entsprechenden Investitionen getätigt werden.
Bis jetzt blieben wir vor signifikanten Ausfällen, wie sie zum Beispiel in Grossbritannien bei WannaCry im Gesundheitswesen vorfielen, verschont. Das wird kaum so bleiben. Die Cloud-Sicherheit ist in diesem Zusammenhang übrigens nicht nur ein Risiko, sondern auch eine wichtige Chance. Die grossen Cloud-Provider investieren überproportional viel in die Sicherheit und bieten heute Dienstleistungen an, die viel sicherer sind als das, was eine Firma selber gewähren könnte. Die Umsetzung des ­Datenschutzes muss allerdings seriös betrachtet werden.