Sicherheit ist eine Frage des Risikohungers
Sicherheit ist eine Frage des Risikohungers
4. April 2020 -
«Mr. Cyber» Florian Schütz ist der oberste Sicherheitsspezialist des Bundes. Im Interview erklärt er, was Schweizer KMU bezüglich IT-Security nicht missen sollten und warum Sicherheit niemals eine Schwarzweiss-Frage ist.
Artikel erschienen in IT Magazine 2020/04
Während Cybersicherheit für Unternehmen weltweit von Jahr zu Jahr wichtiger wird, ist das Thema zwangsläufig auch zur Staatssache geworden. Unternehmen erwarten von Vater Staat Regeln, Regulierung, Empfehlungen und Hilfe in der Not. Die helvetische Reaktion auf die anstehenden Herausforderungen im Bereich Cybersicherheit ist das Engagement eines Sicherheitsexperten – dem Delegierten des Bundes für Cybersicherheit –, der damit die Speerspitze dieser Anstrengungen in der Schweiz ist. Dieser Aufgabe stellt sich seit Sommer 2019 der 38-jährige Florian Schütz.
Schütz arbeitete vor seinem Engagement beim Bund als Leiter IT Risk & Security bei Zalando, davor war er acht Jahre lang für Ruag tätig, unter anderem als Leiter Cyber Security. Weiter verfügt Schütz über einen Master in Computerwissenschaft sowie einen Master of Advanced Studies in Sicherheitspolitik und Krisenmanagement der ETH Zürich. Ein ausgewiesener Security-Spezialist mit langjähriger Erfahrung. In seiner neuen Aufgabe übernimmt der Delegierte unter anderem die strategische Leitung des neu geschaffenen Nationalen Zentrums für Cybersicherheit (NCSC). Weiter soll er Ansprechperson für Politik, Medien und Bevölkerung sein und die interdepartementalen Gremien im Bereich Cyberrisiken leiten.
Auch die Zusammenarbeit mit der Wirtschaft gehört damit klar in seinen Verantwortungsbereich. Für «Swiss IT Magazine» ein Grund, mit Florian Schütz über seine Einschätzung zum Stand der Cybersicherheit und seine Empfehlungen für die Schweizer KMU-Landschaft zu sprechen.
Swiss IT Magazine: Dank viel Forschung und dem entsprechenden Kapital im Land sind Schweizer Unternehmen ein attraktives Ziel für Cyberangriffe. Welche Unternehmen und Branchen sind hierzulande besonders gefährdet, Opfer einer Cyberattacke zu werden?
Florian Schütz: Den typischen Angriff gibt es nicht. Angriffe unterscheiden sich je nachdem, welches Ziel die Angreifer verfolgen. Sie können dabei durchaus branchenspezifisch sein. Von Angriffen, bei denen der Abzug von geistigem Eigentum das Ziel ist, sind prinzipiell Firmen betroffen, die weltweites Interesse anziehen – Beispiele wären der Pharma- oder der Technologiebereich. Die meisten Angriffe, die wir beobachten, sind aber nicht zielgerichtet, sondern breiter gefasst. Manchmal sind die Angriffe auch sektorspezifisch, wie etwa bei der Malware Emotet im Finanzsektor. Kurz gesagt: Eine generelle Aussage ist hier äusserst schwierig.
Schütz arbeitete vor seinem Engagement beim Bund als Leiter IT Risk & Security bei Zalando, davor war er acht Jahre lang für Ruag tätig, unter anderem als Leiter Cyber Security. Weiter verfügt Schütz über einen Master in Computerwissenschaft sowie einen Master of Advanced Studies in Sicherheitspolitik und Krisenmanagement der ETH Zürich. Ein ausgewiesener Security-Spezialist mit langjähriger Erfahrung. In seiner neuen Aufgabe übernimmt der Delegierte unter anderem die strategische Leitung des neu geschaffenen Nationalen Zentrums für Cybersicherheit (NCSC). Weiter soll er Ansprechperson für Politik, Medien und Bevölkerung sein und die interdepartementalen Gremien im Bereich Cyberrisiken leiten.
Auch die Zusammenarbeit mit der Wirtschaft gehört damit klar in seinen Verantwortungsbereich. Für «Swiss IT Magazine» ein Grund, mit Florian Schütz über seine Einschätzung zum Stand der Cybersicherheit und seine Empfehlungen für die Schweizer KMU-Landschaft zu sprechen.
Swiss IT Magazine: Dank viel Forschung und dem entsprechenden Kapital im Land sind Schweizer Unternehmen ein attraktives Ziel für Cyberangriffe. Welche Unternehmen und Branchen sind hierzulande besonders gefährdet, Opfer einer Cyberattacke zu werden?
Florian Schütz: Den typischen Angriff gibt es nicht. Angriffe unterscheiden sich je nachdem, welches Ziel die Angreifer verfolgen. Sie können dabei durchaus branchenspezifisch sein. Von Angriffen, bei denen der Abzug von geistigem Eigentum das Ziel ist, sind prinzipiell Firmen betroffen, die weltweites Interesse anziehen – Beispiele wären der Pharma- oder der Technologiebereich. Die meisten Angriffe, die wir beobachten, sind aber nicht zielgerichtet, sondern breiter gefasst. Manchmal sind die Angriffe auch sektorspezifisch, wie etwa bei der Malware Emotet im Finanzsektor. Kurz gesagt: Eine generelle Aussage ist hier äusserst schwierig.
Wie schätzen Sie denn den Sicherheitsstandard beim Schweizer Mittelstand ein? Gibt es da Aufholbedarf und was sind die Herausforderungen?
Daten diesbezüglich liegen derzeit nur wenige vor. Meine Einschätzung ist aber, dass es in diesem Bereich Aufholbedarf gibt, vor allem bei der Umsetzung des Grundschutzes. Studien zeigen, dass ein Grossteil der erfolgreichen Angriffe über Schwachstellen erfolgen, die seit Monaten bekannt sind.
Lücken also, die längst hätten gepatcht werden können?
Ja, diese Lücken sind bekannt, Patches sind verfügbar. Wenn man den Grundschutz sauber umsetzt, kann man schon sehr viel abfangen. Wichtig ist, dass man entsprechende Prozesse eingerichtet hat.
Welche Schlüsse muss ein Schweizer KMU aus dieser Tatsache ziehen?
Hier muss man unterscheiden, um was für ein KMU es sich handelt: Sprechen wir zum Beispiel von einem kleinen Handwerkerbetrieb, welcher die IT nur für die Rechnungsstellung braucht, ist es möglich, dass das Know-how nicht vorhanden ist. In diesem Fall wäre etwa das Ausweichen auf Cloud-Lösungen möglich, da diese Cloud-Dienstleister die entsprechenden Security-Teams und -Vorkehrungen haben. Sprechen wir aber von einem High-Tech-Pharma-KMU mit eigener IT, welche mit eigenen Geräten Daten verarbeitet, Analysen macht et cetera, dann müssen die entsprechenden Prozesse selbst umgesetzt werden. Hier gibt es noch zu viel Schwarzweiss-Denken: Schützen oder nicht schützen? Das ist hier die falsche Frage.
Daten diesbezüglich liegen derzeit nur wenige vor. Meine Einschätzung ist aber, dass es in diesem Bereich Aufholbedarf gibt, vor allem bei der Umsetzung des Grundschutzes. Studien zeigen, dass ein Grossteil der erfolgreichen Angriffe über Schwachstellen erfolgen, die seit Monaten bekannt sind.
Lücken also, die längst hätten gepatcht werden können?
Ja, diese Lücken sind bekannt, Patches sind verfügbar. Wenn man den Grundschutz sauber umsetzt, kann man schon sehr viel abfangen. Wichtig ist, dass man entsprechende Prozesse eingerichtet hat.
Welche Schlüsse muss ein Schweizer KMU aus dieser Tatsache ziehen?
Hier muss man unterscheiden, um was für ein KMU es sich handelt: Sprechen wir zum Beispiel von einem kleinen Handwerkerbetrieb, welcher die IT nur für die Rechnungsstellung braucht, ist es möglich, dass das Know-how nicht vorhanden ist. In diesem Fall wäre etwa das Ausweichen auf Cloud-Lösungen möglich, da diese Cloud-Dienstleister die entsprechenden Security-Teams und -Vorkehrungen haben. Sprechen wir aber von einem High-Tech-Pharma-KMU mit eigener IT, welche mit eigenen Geräten Daten verarbeitet, Analysen macht et cetera, dann müssen die entsprechenden Prozesse selbst umgesetzt werden. Hier gibt es noch zu viel Schwarzweiss-Denken: Schützen oder nicht schützen? Das ist hier die falsche Frage.