«Traditionelle IT-Sicherheitslösungen genügen nicht mehr»

Die erste nationale Plattform für Cyber-Security in der Schweiz ging mit den Swiss Cyber Security Days (SCSD) am 28. Februar im Forum Fribourg zu Ende. Mit über 2200 nationalen und internationalen Teilnehmern an zwei Tagen übertrafen die Besucherzahlen die Erwartungen der Organisatoren. Die SCSD stellten die wachsenden Bedrohungen durch Cyberattacken mit einer Messe und Referaten mit rund 60 namhaften internationalen und nationalen Persönlichkeiten aus Politik, Wirtschaft und Forschung ins Zentrum.

Informationsplattform für Experten und Nutzer

Initiiert wurde der zweitägige Anlass durch Daniel Berger, ehemaliger persönlicher Berater des Vorstehers VBS und VR-Präsident von Securserv Technologies AG. Zusammen mit Experten und Meinungsführern im Bereich IT-Sicherheit fing er 2017 an, ein Konzept zu entwickeln. Es sollte sowohl Entscheidern – vor allem auch Vertretern von Behörden – wie auch Experten und vor allem den Nutzern als Informationsplattform dienen. Denn im Zuge mit der fast schon totalen Vernetzung ist der Umgang mit Cyber-Risiken eine Notwendigkeit. «Man muss von unten Druck machen, damit oben etwas passiert», so Daniel Berger anlässlich eines Medienroundtables.  Die Cyber-Situation in der Schweiz, die Entwicklung von Blockchains, die Risiken von Smart Cities und der Einfluss des Dark Webs waren denn auch nur einige der vielen Themen, die in Fribourg diskutiert worden sind.

Nationale und internationale Top-Spezialisten

Den Organisatoren ist es gelungen, namhafte Experten aus aller Welt als Referenten und Keynote-Speakers nach Freiburg zu holen. Hacker wie etwa Charlie Miller, der auf etliche Sicherheitslücken in der Fahrzeug-Elektronik hinwies – was übrigens durch die argentinische Sicherheitsforscherin Sheila A. Berta eindrücklich am Objekt demonstriert worden ist – oder IT-Spezialisten wie Eugene Kaspersky, CEO des IT-Sicherheitsdienstleisters Kaspersky Lab zeigten dem Publikum anhand zahlreicher Beispiele auf, wo Cybersicherheit eine Rolle spielen muss. Erschreckend die Erkenntnis: Nahezu überall. «Heute erfassen wir 380’000 neue Malware-Codes pro Tag. 1998 waren es noch 50, 2008 bereits 14’500 Schadcodes», so Eugene Kaspersky. Und mit Industrie 4.0 und dem Internet of Things würden wir erst am Anfang von möglichen Cyberbedrohen stehen. «We need to protect everything», so der Aufruf des russischen Spezialisten. Da genügen traditionelle IT-Sicherheitslösungen nicht mehr. Viel mehr müsse es um «Cyber-Immunität» gehen. «Der Aufwand, um Schaden anzurichten, muss höher sein, als der ausgelöste Schaden», so Kaspersky.

Wenn auch das VBS seine Sicherheitslücken hat…

Cybersicherheit betrifft alle, aber nicht im gleichen Umfang. Die Sicherheitsbedürfnisse sind unterschiedlich und werden auch unterschiedlich wahrgenommen. Einigkeit herrschte an den beiden Tagen darüber, dass die Cybersicherheit in vielen Belangen massiv verbessert werden muss. Allein in der Schweiz bestehen Tausende an bekannten verwundbaren Systemen – und darunter befinden sich z.B. ferngewartete Maschinen mit offenen Schnittstellen bis hin zu Finanzdienstleistern, die ihre Betriebssysteme nicht mit den neuesten Sicherheits-Upgrades ausgestattet haben, wie etwa Nicolas Mayencourt von Dreamlab AG, einem global agierenden Unternehmen für Beratung in kritischen IT-Sicherheitsfragen ausführte. Und auch Sicherheitsbehörden sind nicht davor gefeit, dass Namen von Mitarbeitenden bzw. deren E-Mail-Adressen geleakt worden sind und heute im Dark Web frei zirkulieren.

„Der Staat muss sensibilisieren“

In der Pflicht für mehr Cybersicherheit stehen denn auch alle: Der Staat, die Wirtschaft aber auch die einzelnen Bürger. Dies war auch die Quintessenz einer Podiumsdiskussion zwischen Fachexperten und Exponenten aus der Politik. Am Podium nahmen Monique Morrow, Präsidentin von The Humanized Internet, Damir Bogdan, Digital Transformation Advisory bei Actvide,  Ständerat Josef Dittli, Präsident SIK-S, Damian Müller, jüngstes Ständeratsmitglied, und Marc Furrer, Senior Partner der Monti Stampa Furrer & Partners AG und ehemaliger Bakom Direktor teil. Josef Dittli appellierte an die Selbstverantwortung der Bürger, Hauptaufgabe des Staates sei es, zu sensibilisieren. Stärker als zuvor gefordert sei er aber beim Schutz kritischer Infrastruktur und auch in der Cyber-Landesverteidigung. Sensibilisierung hinsichtlich der Thematik, Bildung und eine engere Zusammenarbeit zwischen den Organisationen sind Schlüsselfaktoren, um die Cyberkriminalität einzudämmen, war ein weiteres Fazit der Tagung.

Bewusstsein der User schärfen

Sensibilisierung ist also oberste Prämisse, um die Risiken zu minimieren. So erläuterte der Finne Mikko Hyppönen, ein renommierter Forscher im Feld Cyberkriminalität, dass für ihn das Bewusstsein der User für die Gefahren der wichtigste Weg ist, damit Cyberkriminalität nicht die Überhand gewinnt. Und Cyberkriminalität ist nicht nur eine Bedrohung, die Staaten oder Unternehmen betrifft. Das Internet kann auch wörtlich die eigene Gesundheit gefährden. Über online angebotene Gen-Tests ist heute selbst die persönliche DNA nicht mehr privat. Der Schutz von Gesundheitsdaten ist deshalb ein Bereich, der mit besonderem Fingerspitzengefühl angegangen werden muss. Aber auch da wird häufig in Sachen Risikobewusstsein mit zweierlei Ellen gemessen, wie Prof. Dr. Jean-Pierre Hubaux von der EPFL darlegte. Einerseits werden höchste Sicherheitsansprüche beim elektronischen Patientendossier gefordert, andererseits würden über Wearables oder Fitness-Apps Gesundheitsdaten ins Netz geladen, die man sonst höchstens in einem engen Personenkreis privat teilen würde…

Die nächsten Swiss Cyber Security Days finden am 12. und 13. Februar 2020 statt.