Herr Schütz, ist die smarte Fabrik in Gefahr?
Florian Schütz: Im Gegenteil! Die smarte Fabrik ist eine Chance. Wie sonst soll man wettbewerbsfähig werden? Es ist jedoch zentral, dass entsprechendes Risikomanagement nicht nur im operativen Geschäft, sondern auch strategisch gemacht wird. Ausserdem braucht es kompetente Mitglieder der Geschäftsleitung, die diese Risiken kritisch prüfen, gegebenenfalls das Geschäftsmodell anpassen und strategische Leitlinien setzen können. Kurzum: Cybersicherheit ist Chefsache.
Wie schätzen Sie die Situation in den Schweizer Unternehmen ein? Alles gut oder Grund zur Sorge?
Florian Schütz: Das Spektrum reicht von Firmen, die das Thema sehr ernst nehmen bis hin zu solchen, welche ungenügend geschützt sind oder das Risiko sogar negieren. Schwerwiegender ist jedoch, dass es Unternehmen gibt, die das Problem erkannt haben, aber nicht genau wissen, was sie tun sollen. Hinzu kommen oft knappe Budgets. Und die Herausforderung wird noch dadurch grösser, dass der Markt im Bereich Cybersicherheit sehr laut ist und von den Anbietern nicht nur professionell argumentiert wird.
Was können Unternehmen tun, um die Sicherheit ihrer digitalen Systeme im Griff zu haben?
Florian Schütz: Wenn die Geschäftsleitung ein rigoroses Risikomanagement unter Einbezug der Cyberrisiken betreibt und entsprechend die wichtigsten organisatorischen und technischen Massnahmen einleitet, ist bereits ein wichtiger Schritt getan.
Ich empfehle, mit den technischen und organisatorischen Massnahmen zunächst dort anzusetzen, wo wenig Aufwand und Zeitbedarf erforderlich ist. In einem zweiten Schritt sollten die höchsten Risiken adressiert werden. Klar geregelte Zuständigkeiten sind ebenfalls wichtig, ob man dabei nun auf interne Sicherheitsspezialisten setzt oder die Aufgaben extern an ein Unternehmen auslagert. Unabhängig davon, welche Lösung zum Zug kommt: die Verantwortung für die Cybersicherheit ist und bleibt Aufgabe der einzelnen Unternehmen oder Institutionen.
«Als KMU stehen wir nicht im Fokus von Cyberangriffen» - was sagen Sie dazu?
Florian Schütz: Diese Aussage ist falsch. KMU sagt nur etwas über die Grösse der Firma aus, jedoch nichts über ihr Geschäftsfeld oder den Digitalisierungsgrad. Vereinfacht kann man sagen, dass Firmen mit einer fortgeschrittenen Digitalisierung auch entsprechend exponierter sind. Geopolitische Relevanz vergrössert das Risiko von Angriffen durch staatliche oder staatlich gesponserte Akteure, ein hoher Firmenwert erhöht die Angriffe durch kriminelle Akteure. Es sind aber auch Firmen betroffen, die auf den ersten Blick nicht attraktiv erscheinen. Denn es gibt Angreifer, die im Massengeschäft tätig sind. Diese versuchen, möglichst viele Ziele zu erreichen, die zwar einzeln wenig Gewinn abwerfen, aber eben auch wenig Aufwand für den Angriff erfordern.
Aktuell ist in den Medien immer wieder von Cyberbedrohungen oder Cyberangriffen die Rede. Spitzt sich die Situation zu?
Florian Schütz: Mit der fortschreitenden Digitalisierung und der damit verbundenen Berichterstattung hat sich die Sensibilität von Unternehmen und Privatpersonen für das Thema Cybersicherheit erhöht. In der Folge werden Vorfälle eher gemeldet und Opfer von Angriffen gehen vermehrt an die Öffentlichkeit.
Nebst der erhöhten Transparenz hat das NCSC in den letzten Monaten aber tatsächlich auch eine Zunahme an Meldungen registriert. Insbesondere diejenigen über Ransomware-Angriffe sind angestiegen. Wir vermuten den Grund einerseits darin, dass sich das Geschäft leider für die Angreifer lohnt, weil die Opfer teilweise bezahlen, und andererseits sind wohl die Hürden für erfolgreiche Angriffe zu tief.
Was macht der Bund in diesem Thema?
Florian Schütz: Mit der Schaffung des NCSC vor gut anderthalb Jahren hat der Bund ein klares Zeichen gesetzt, dass die Cybersicherheit ein Thema von wachsender Bedeutung ist.
Der Bund muss in erster Linie die Rahmenbedingungen schaffen, damit sich die Unternehmen selber besser schützen können, denn die Verantwortung für den sicheren Betrieb der IT-Infrastrukturen liegt in der Schweiz bei den Unternehmen.
So hat das NCSC zum Beispiel letztes Jahr ein Schwachstellenmanagement aufgebaut, welches zwischen Sicherheitsforscherinnen und Firmen vermittelt, wenn Schwachstellen in Produkten gefunden werden.
Aktuell läuft eine Vernehmlassung zur Einführung einer Meldepflicht für kritische Infrastrukturen. Damit liesse sich besser abschätzen, welche Infrastrukturen am meisten gefährdet sind. Zudem könnten Cyberangriffe frühzeitig entdeckt, ihre Angriffsmuster analysiert und Betreiber von anderen kritischen Infrastrukturen rechtzeitig gewarnt werden. Die Meldepflicht würde einen wesentlichen Beitrag zur Erhöhung der Cybersicherheit in der Schweiz leisten.
Zusammengefasst kann man sagen, dass viel angegangen wurde. Nun gilt es jedoch diese neuen Strukturen zu festigen und weiter auszubauen. Den Umfang wird die Politik bestimmen müssen.
Wo gibt es Einfallstore für Cyberangriffe?
Florian Schütz: Die Liste ist lang. Ich sehe die wichtigsten Gefahren jedoch in den nicht aktuell gehaltenen Systemen, bei grossen Schatten-IT-Systemen, von welchen man nicht weiss, dass man sie hat, bei Fehlkonfigurationen, Phishing E-Mails oder bei CEO-Betrug und dessen Varianten.
Unsere Branche ist stark exportorientiert: Entsteht mit internationalen Lieferketten für Unternehmen eine grössere Angriffsfläche?
Florian Schütz: Lieferketten führen nicht zwingend zu weniger Sicherheit – je nach Vertrauenswürdigkeit der Partner. Sie machen jedoch das Risiko schwieriger kalkulierbar und schränken die eigene Handlungsfähigkeit durch externe Abhängigkeiten ein. Dies muss im Lieferantenmanagement berücksichtigt werden.
Weiter bin ich der Meinung, dass sowohl Verbände wie auch die Politik sich überlegen müssen, wo Schweizer Firmen in den globalen Lieferketten eine Schlüsselrolle einnehmen können. Speziell in Branchen, die von Geopolitik betroffen sind, kann dies einen Hebel geben um sicherzustellen, dass die Vereinbarungen auch eingehalten werden. Ein interessantes Beispiel ist die Firma ASML aus den Niederlanden. Sie ist die einzige Firma weltweit, welche Maschinen zur Produktion von modernsten Logik-Chips herstellt. Obwohl die Niederlande selbst nicht direkt Chips produzieren, haben sie dadurch die Möglichkeit zu reagieren, sollten ihnen Lieferungen verwehrt bleiben oder manipulierte Chips zugestellt werden.
Lassen sich bei der Cyberkriminalität Trends feststellen? Was sind die neuesten «Maschen»?
Florian Schütz: Cyberkriminelle sind sehr innovativ und bringen immer neue Angriffsszenarien hervor. Das NCSC berichtet wöchentlich in seinen Rückblicken auf der Website über neue Angriffsmethoden.
Weiter nimmt die Professionalisierung der Angreifer zu. Einzelne Gruppen spezialisieren sich auf Teilbereiche innerhalb der ganzen Kaskade an kriminellen Arbeitsschritten. Einige Gruppierungen suchen beispielsweise gezielt nach Schwachstellen.
So wie sich die Hacker an aktuelle Begebenheiten anpassen, müssen auch Unternehmen regelmässig ihre Sicherheitsprozesse überprüfen und aktualisieren.