Interview mit Sascha Maier, Head of IT IWC

Nahezu wöchentlich lesen wir von Cyberattacken auf namhafte Schweizer Unternehmen. Dabei gelten Ransomware Angriffe und Cyberattacken auf Cloud Services als die aktuell grössten Risiken.

Interview mit Sascha Maier

Sascha Maier

Sascha Maier ist Head of IT & Cyber Resilience bei IWC, dem Schweizer Luxusuhrenhersteller mit Sitz in Schaffhausen. Zuvor leitete er die Abteilung Security und Cloud Services bei SwissCloud. Der Wirtschaftsinformatiker ist zudem als Dozent an verschiedenen Instituten zum Thema IT-Sicherheit tätig und engagiert sich in verschiedenen Organisationen. Im November 2020 ist sein Fachbuch zum Thema «Business Risk Cybersecurity» im Springer Verlag erschienen.

Im Herbst 2020 ist die Swatch-Gruppe Angriff eines Cyberangriffs geworden. Könnte das bei der IWC auch vorkommen?

Betrachtet man die aktuelle Lage zum Thema Cybersicherheit, so ist insbesondere in den letzten Wochen des Jahres 2020 sowie im Januar 2021 ein starker Anstieg von Angriffen zu verzeichnen. So berichtet das Nationale Zentrum für Cybersicherheit NCSC von über 300 Meldungseingängen pro Woche. Nach einer Mehrheit von allgemeinen Betrugsvorfällen liegen die Phishingangriffe auf Platz 2. Und hier handelt es sich lediglich um die bekannt gewordenen Vorfälle, die auch gemeldet wurden. Viele Fälle von Erpressung, z.B. infolge einer Ransomware-Attacke bleiben im Dunkeln, meist aus Angst vor Reputationsverlust. Die Lage hat sich durch Corona deutlich verschärft, da viele Prozesse digitalisiert wurden. Auch wir bei IWC haben dieser Situation Rechnung getragen und unsere bereits vorhandenen Massnahmen intensiven Prüfungen unterzogen und die Sicherheit verstärkt. Eine endgültige Sicherheit gibt es jedoch nie. Daher ist es umso wichtiger das gesamte Unternehmen auf einen Cyberangriff vorzubereiten. Im Ernstfall muss der Schaden begrenzt werden und die Durchgängigkeit von Prozessen schnellstmöglich und sicher wieder hergestellt werden. Dafür bedarf es nicht nur technologisch gestützter Werkzeuge, eines ausgeklügelten und aussagekräftigen Monitorings. Vor allem muss die Organisation mit allen Mitarbeiterinnen und Mitarbeitern vorbereitet sein.

Was sind deiner Meinung nach die grössten Risiken für Schweizer Unternehmen im Bereich der Cybersecurity?

Neben den bereits bekannten Bedrohungen wie DDoS-Angriffen rücken auch immer bessere und schwerer aufzudeckende Phishingattacken und Betrugsvorfälle wie CEO-Fraud in den Vordergrund. Besonders stark im Kommen ist aktuell die Verbreitung von Ransomware. Im letzten Jahr war eine regelrechte Welle von Angriffen auf Schweizer Firmen zu verzeichnen. Und da sind wir auch schon bei einem der wichtigsten Themen: die grösste Schwachstelle, der aus meiner Sicht noch mehr Aufmerksamkeit gewidmet werden muss, ist der «Faktor Mensch». Die technische Absicherung eines Unternehmens kann noch so gut sein, ist jedoch geschwächt oder gar nutzlos, wenn mithilfe von Social Engineering Menschen wissentlich oder unwissentlich dazu verleitet werden, sicherheitsrelevante Informationen an Aussenstehende preiszugeben. Auf dieses Einfallstor für Cyberangriffe müssen wir auch in Schweizer Unternehmen unser Augenmerk legen.

Aktuell, seit Corona haben sich die Risiken auch noch einmal verändert im Vergleich zur Situation vorher. Wer im Homeoffice arbeitet, muss einen sicheren Arbeitsplatz zur Verfügung haben. Die Nutzung von Heimnetzwerken und evtl. auch privaten Geräten wie Druckern oder Smartphones sollte den Anforderungen des eigenen Unternehmens genügen. Mitarbeiterinnen und Mitarbeiter benötigen daher klare Vorgaben und Richtlinien, aber auch praktische Unterstützung bei der Arbeit von zu Hause aus.

Welche Massnahmen sollten Unternehmen treffen, um diese Risiken zu minimieren?

Wir haben bei IWC bereits lange vor Corona begonnen, unsere Kolleginnen und Kollegen mit digitalen Werkzeugen auszustatten und zu schulen. Insbesondere ältere Kolleginnen und Kollegen sind eventuell unsicher im Umgang mit neuer Technik und sollen die IT der IWC Schaffhausen als verlässlichen Partner wahrnehmen: Wir lassen unsere Kollegen hier nicht alleine und sind auch nicht vor allem ausschliesslich Regelgeber, die im Falle eines Verstosses bestrafen. Im Gegenteil, wir unterstützen aktiv, geben Rat und leisten konstruktive Hilfe bei der Vereinfachung (= Digitalisierung) der Arbeitsabläufe. Ich rate Unternehmen dringend an, Ihre Mitarbeiterinnen und Mitarbeiter als Partner im Kampf für Cybersicherheit zu sehen.

Die Technik alleine zu betrachten, reicht im Jahr 2021 definitiv nicht mehr aus. Es muss einen harmonischen Dreiklang geben von Technik, Mensch und Organisation. Was meine ich damit? Cybersicherheit, nichts, was statisch und einmalig hergestellt werden kann. Sie ist ein längerer Prozess und muss stets aufs Neue erkämpft und auf den Prüfstand gestellt werden. Es sollte selbstverständlich sein, dass ein Unternehmen ein vom obersten Management Beauftragten für das Thema Cybersicherheit ernennt. Diese Funktion darf allerdings kein Feigenblatt sein. Alle Unternehmensbereiche müssen in den Schutz der eigenen «Kronjuwelen» eingebunden werden. Ein Team von Beteiligten muss unternehmensweit die spezifischen Bedrohungen kennen und die eigenen Kolleginnen und Kollegen unterstützen, sich dagegen zu wappnen. Welche konkreten Massnahmen ergriffen werden, muss von der Unternehmensstrategie abgeleitet und in der Unternehmenskultur verankert werden.

Welchen Maturitätsgrad haben, deiner Meinung nach, die meisten Schweizer Unternehmen im Bereich Cybersecurity? Wo siehst du Potenzial?

Im Grossen und Ganzen sind wir in der Schweiz auf einem guten Weg, denke ich. Im Gespräch mit vielen Kolleginnen und Kollegen aus der IT-Sicherheit in anderen Schweizer Unternehmen erfahre ich, dass dem Thema Cybersicherheit immer mehr Aufmerksamkeit zukommt. IT-Sicherheitsteams werden verstärkt und auch die Investitionen in Massnahmen werden verstärkt – sicherlich nicht zuletzt wegen des starken Anwachsens von Heimarbeitsplätzen.

Auch politisch ist das Thema in der Schweiz angekommen. Denken Sie z.B. an die Verabschiedung der «Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) 2018–2022» und der Ernennung eines dedizierten «Delegierten des Bundes für Cybersicherheit» im Jahre 2019. Ich persönlich halte es für sehr wichtig und sinnvoll, die Ziele und Massnahmen über alle Kantone hinweg zu verknüpfen und sowohl Wirtschaft als auch Hochschulen einzubinden.

Wie bereitet sich ein Unternehmen auf einen Ernstfall vor?

In unserem Buch «Geschäftsrisiko Cyber-Security. Leitfaden zur Etablierung eines resilienten Sicherheits-Ökosystems», das Ende letzten Jahres bei Springer Gabler erschien, führen Sandra Aengenheyster und ich in 5 aufeinander aufbauenden Schritten zu einem widerstandsfähigen und für Cyberangriffe unempfindlicheren Unternehmen. Wie der Untertitel bereits vermittelt, muss der Ernstfall von langer Hand bekämpft werden. In Kürze sind es diese fünf folgenden Schritte.

Schritt 1: Ziele definieren
Zunächst müssen Schutzziele identifiziert und bewertet werden. Die sich daraus ergebenden Risiken müssen evaluiert werden, am besten wie bereits erwähnt in einem definierten Projektteam, um alle unternehmensrelevanten Aspekte zu berücksichtigen. Gemeinsam kann dann die weitere Vorgehensweise festgelegt werden.
Schritt 2: Maturität & Delta erheben
Erheben Sie den Status Quo, z.B. Anzahl der gemessenen Angriffe, Anzahl zu schulender Mitarbeiter, verfügbare Kommunikationskanäle/-mittel etc. Aus diesen Informationen lässt sich erheben, wie weit man vom angepeilten Ziel entfernt ist und welcher Aufwand in die Erreichung des Zielzustandes investiert werden muss.
Schritt 3: Lösungen & Fahrplan ableiten
Man kann sich nun an die Lösungsentwicklung begeben, jeweils anhand der zuvor identifizierten Handlungsfelder. Die Lösungen sollten im Vorfeld bewertet werden, insbesondere auf die Faktoren Machbarkeit sowie Aufwand und Nutzen. Im Anschluss kann der konkrete Fahrplan zur Durchführung der Lösungen erstellt werden.
Schritt 4: Massnahmen umsetzen & Prozesse verankern
Im Vorfeld zur kompletten Umsetzung aller Massnahmen sollten sinnvollerweise Pilotprojekte durchgeführt werden, um deren Akzeptanz und Wirksamkeit zu testen. Überprüfen Sie in der Umsetzungsphase auch regelmässig, ob die Massnahmen greifen und verstanden werden. Ganz wichtig ist in dieser Phase auch die aktive und sichtbare Beteiligung des Managements. Dieses sollte die gesendeten Botschaften verstärken und vorleben.
Schritt 5: Ergebnisse über-wachen & optimieren
Dieser Schritt wird häufig vergessen, ist jedoch enorm wichtig. Die Messung und Auswertung des Erfolgs mithilfe von Kennzahlen gibt Aufschluss darüber, ob die erwünschten Ziele erreicht werden konnten. Gegebenenfalls haben sich Anforderungen geändert? Dann muss die Marschrichtung korrigiert werden. Nicht zuletzt sollte im Sinne von „lessons learned“ erhoben werden, was die nächsten Schritte sind und welche weiteren Verbesserungen umgesetzt werden können.

Welche bewährte Vorgehensweisen und Methoden empfiehlst du, um die Resilienz der Unternehmen gegen Cyberattacken nachhaltig zu stärken?

Wie bereits gesagt, ist es ein langer Weg hin zu einem gegenüber Cyberattacken widerständigen Unternehmen. Um die drei Kernelemente Technik, Mensch und Organisation nachhaltig aufzubauen und zu verbinden, hat aus meiner Sicht das Thema Awareness nach wie vor die Priorität. Awareness-Kampagnen sind ein beliebtes Mittel, um Cybersicherheit Schritt für Schritt im Unternehmen zu verankern. Dabei darf man es keinesfalls bei kurzfristigen und einzelnen Aktivitäten belassen. Vielmehr tragen kontinuierliche, aufeinander aufbauende Kampagnen zu einer langfristigen Steigerung der Effizienz bei. Bei IWC haben wir 2013 mit unserer ersten Kampagne begonnen, damals vor allem mit dem Fokus auf Informations- und Arbeitsplatzsicherheit. 2018 haben wir auf diese Grundlagen aufgebaut und unsere erweiterte Awareness-Kampagne «WATCH IT» an den Start gerollt. Wir haben den Fokus erweitert, ein Team von Multiplikatoren über mehrere Unternehmensbereiche hinweg etabliert und diese aktiv in die Kampagne eingebunden. Veränderung und die Verfestigung von neuen Verhaltensweisen geschieht nicht über Nacht. Awareness-Massnahmen müssen durchdacht, nahe an der Praxis und dauerhaft gut kommuniziert werden. Daher sind alle unsere Themen gut aufeinander abgestimmt und wir bedienen uns der unterschiedlichsten Methoden und Kommunikationskanäle.

Wir haben Präsenzveranstaltungen wie Lunch&Learn-Sessions oder Schulungen abgehalten (in diesen Tagen allerdings ausschliesslich online), geben ein digitales Magazin heraus, das einmal pro Quartal erscheint (unsere Kolleginnen und Kollegen aus der Produktion können die Inhalte übrigens auf Infoscreens verfolgen). Wir veröffentlichen regelmässige Intranet-Beiträge, in denen z.B. in kurzen Postings über aktuelle Cyber-Bedrohungen informiert wird usw.

Am 3. März 2021 dürfen wir zusammen mit dir ein Praxis-Webinar durchführen mit dem Titel: «Geschäftsrisiko Cybersecurity – Wie packe ich es strategisch an?». Was können die Teilnehmer lernen?

Ja, ich freue mich schon sehr auf das Seminar. Inhaltlich werde ich zum einen näher auf die bereits beschriebenen 5 Schritte eingehen, die es braucht, um ein resilientes Sicherheits-Ökosystem im eigenen Unternehmen zu verankern. Ganz praktisch, mit Tipps und bewährten Massnahmen. Zum anderen werde ich noch mehr auf das Thema «Awareness» eingehen. Welche Rolle spielt das Management? Wie kann ich dauerhaft die Aufmerksamkeit für das Thema Cybersicherheit erhalten? Wie gelingt die richtige Kommunikation?

Danke Sascha Maier für das spannende Interview. Wir freuen uns bereits sehr auf das Webinar und sind gespannt, welche Tipps du unseren Kunden noch mit auf den Weg geben wirst.

Kontakt

Bei Fragen kannst du dich gerne melden.

Christoph Ratavaara

Chief Information Security Officer
Dipl. Wirtschaftsinformatiker HF

christoph.ratavaara@isolutions.ch