Dario Perfettibile, Mitgründer und CEO Totemo AG, im Interview
Von Karin Bosshard
Moneycab.com: Herr Perfettibile, Sie sind bereits 2001 mit Ihrer Lösung zur E-Mail-Verschlüsselung gestartet. Zu einer Zeit, wo die Sensibilisierung dafür kaum vorhanden war. Wie war diese Anfangszeit rückblickend?
Dario Perfettibile: Manche hielten uns für verrückt, gerade 2001 nach dem Platzen der Dotcom-Blase, ein neues IT-Unternehmen zu gründen. Uns war klar, dass wir kein Kapital kriegen und es wahrscheinlich ein steiniger Weg wird. Aber wir waren von der Technologie überzeugt und auch der Meinung, gerade unter den besonders um Privatsphäre bemühten Schweizer Banken und Finanzdienstleistern ausreichend Kunden zu finden.
Wie hat sich Ihr Business rund um das Thema sichere E-Mail-Kommunikation in den letzten Jahren verändert?
Schon seit einigen Jahren – meiner Meinung nach getrieben durch die Cloud und speziell Office 365 – führt E-Mail-Verschlüsselung kein Nischendasein mehr und ist insbesondere bei grossen Unternehmen und Organisationen angekommen. Dabei gibt es immer noch Branchenunterschiede, aber auch die traditionell nicht so um Datenschutz und Privatsphäre bemühten Branchen holen auf.
«Manche hielten uns für verrückt, gerade 2001 nach dem Platzen der Dotcom-Blase, ein neues IT-Unternehmen zu gründen.»
Dario Perfettibile, Mitgründer und CEO Totemo AG
Was kennzeichnet eine moderne Lösung für E-Mail-Verschlüsselung?
Aus unserer Sicht sind das insbesondere Benutzerfreundlichkeit, ein hoher Automatisierungsgrad, das Anbieten möglichst aller gängigen Verschlüsselungsstandards wie S/MIME, OpenPGP und TLS, sowie alternativer Verfahren für Kommunikationspartner ohne eigene Verschlüsselung, denn das ist gerade unter Privatanwendern gang und gäbe. Ausserdem sollte die Verschlüsselungslösung technologieunabhängig sein, also auf allen Plattformen laufen und eine hohe Funktionsbreite haben, ich denke da an die Anbindung von Geschäftsapplikationen, wie HR- und CRM-Systeme, die auch viel über E-Mail kommunizieren.
Trotz aller Gefahren setzen rund ein Viertel der KMUs noch keine E-Mail-Verschlüsselung ein. Worauf führen Sie das zurück?
Oft werden die notwendigen Ressourcen erst bewilligt, wenn bereits ein Sicherheitsvorfall stattgefunden hat oder die Strafen durch die Nichtbeachtung von Datenschutzvorschriften höher sind als der Aufwand, den man für die Umsetzung von E-Mail-Verschlüsselung betreiben muss. Da hat durch die DSGVO und die hohen möglichen Strafen mittlerweile in der EU ein Umdenken stattgefunden.
Bei KMU ist ausserdem die besondere Herausforderung, dass gerade personell nicht die erforderlichen Ressourcen vorhanden sind. Da ist die Hürde dann noch grösser, weil man Hilfe von Dritten braucht. Auch aus diesem Grund haben wir gerade eine Cloud-Variante unserer Lösung lanciert. Dabei brauchen Unternehmen keine eigene Infrastruktur für E-Mail-Verschlüsselung, sind immer auf dem neuesten Stand der Technik und maximal flexibel. Wir hoffen, dass auch immer mehr kleine Unternehmen sich dafür entscheiden, ihre E-Mails zu schützen.
«Wir hoffen, dass auch immer mehr kleine Unternehmen sich dafür entscheiden, ihre E-Mails zu schützen.»
Wo sind solches Secure Messaging besonders gefragt und welche weiteren Gefahren drohen den Unternehmungen heute aus Security-Sicht?
Daten sind und werden immer wichtiger, egal ob für Unternehmen, Organisationen oder Staaten. In Unternehmen für die Wertschöpfung, deswegen ist die Nachfrage nach Verschlüsselung nicht nur aus Gründen des Schutzes von Personendaten höher, sondern auch um diese Daten bzw. das Wissen, das in ihnen enthalten ist, zu schützen. Und zwar von allen Branchen, für deren Wertschöpfung Forschung und Entwicklung entscheidend sind.
Die Gefahren sind gar nicht so anders als in der Vergangenheit, aber ich denke die Angriffe sind besser organisiert. Es geht nicht nur um das Abgreifen von Daten als Selbstzweck, sondern um das gezielte Abgreifen von Daten, die interessant sind und mit denen der Hacker bzw. sein Auftraggeber einen bestimmten Zweck verfolgt.
Müssen Daten ausgetauscht werden, setzen Unternehmen oft auf E-Mails, Cloud-Services, FTP-Server oder gar USB-Sticks. Das muss ein Albtraum für jeden Security-Profi wie Sie sein…
Naja, das muss man etwas differenzierter sehen. E-Mails und Cloud-Services sind nicht per se problematisch, es ist die Frage wie diese gesichert sind und wie sensibel die Daten sind, die ausgetauscht werden. FTP-Server sind in der Tat ein Problem, da unverschlüsselt und nicht zentral verwaltbar. USB-Sticks gibt es natürlich auch verschlüsselt, aber auch hier haben wir das Problem des mangelnden zentralen Managements durch das Unternehmen.
Allgemein kann man sagen, dass das Gefahrenpotential insgesamt gestiegen ist und die Angreifer immer professioneller werden, daher ist ein umfassender Schutz – nicht nur bei der Speicherung, sondern auch beim Transport der Daten – entscheidend.
Welche weiteren Risiken entstehen, wenn man die Mitarbeiter einfach machen lässt und sie sich ihre Tools und Services selbst aussuchen?
Da droht das Phänomen der sogenannten «Schatten-IT», also dass die Mitarbeiter etwas nutzen, wovon die IT-Abteilung gar nichts weiss und nicht einschätzen kann, ob das ausreichend sicher ist. Ein weiteres Problem besteht auch hier darin, dass es keine zentrale Verwaltung gibt, Daten auf vielen verschiedenen Diensten verteilt sind und dort vielleicht bleiben, wenn der entsprechende Mitarbeiter das Unternehmen verlässt. Grundsätzlich besteht immer die Gefahr, dass Mitarbeiter etwas nutzen, was sie aus ihrem privaten Alltag kennen, das dann aber nicht den erhöhten Anforderungen von Unternehmen an Datensicherheit entspricht.
«Es geht nicht nur um das Abgreifen von Daten als Selbstzweck, sondern um das gezielte Abgreifen von Daten, die interessant sind und mit denen der Hacker bzw. sein Auftraggeber einen bestimmten Zweck verfolgt.»
Was kennzeichnet eine moderne Lösung für sicheren Datenaustausch?
Eine moderne Unternehmenslösung sollte benutzerfreundlich sein, denn die Mitarbeiter sind an die gute Usability von Lösungen aus dem privaten Alltag gewöhnt. Bietet man etwas, das zwar sicher aber zu kompliziert ist, läuft man Gefahr, dass die Mitarbeiter es nicht nutzen und doch auf Schatten-IT ausweichen. Zusätzlich ist dann eben auch die zentrale Steuerung wichtig, wie die Frage ob der Administrator die Zugriffsrechte des Mitarbeiters ändern kann. Immer wichtiger wird auch die Nachvollziehbarkeit, also zu zeigen, wer hat wann auf welche Daten zugegriffen. Natürlich sollte die Lösung Verschlüsselung nutzen.
Nebst der Lösung zur E-Mail-Verschlüsselung und der Lösung für einen sicheren Datenaustausch bieten Sie als drittes und letztes Geschäftsfeld die sichere mobile Kommunikation an. Bitte skizzieren Sie dies kurz.
Da geht es uns darum, dass alle Aspekte der Kommunikation, über die wir gerade gesprochen haben, also sichere E-Mail-Kommunikation und sichere Übertragung von möglicherweise grossen Datenmengen, auch von mobilen Geräten aus genauso sicher und benutzerfreundlich möglich sein muss. Denn das ist heute Standard. Wird das nicht gewährleistet, entsteht eine Lücke und damit wiederum eine Gefahr für den Datenschutz.
Die Bereitstellung von sensiblen Unternehmensdaten auf mobilen Endgeräten stellt nicht nur Unternehmen, sondern auch Behörden vor Herausforderungen. Was empfehlen Sie?
Da empfehlen wir grundsätzlich, dass Lösungen auf allen mobilen Plattformen gleichermassen gut funktionieren und ausserdem möglichst die nativen Apps nutzen sollten. Für das Beispiel E-Mail-Verschlüsselung heisst das, dass Sie verschlüsselte E-Mails genau in der Standard-App auf Ihrem Smartphone empfangen und schreiben und nicht erst eine extra App installieren müssen.
Kürzlich war zu lesen, dass Phishing immer noch der grösste Risikofaktor sei. Teilen Sie diese Ansicht?
Ja, das ist auf jeden Fall ein grosses Problem, insbesondere in der Variante Spear Phishing / Business Email Compromise, bei der jemand vorgibt, der CEO zu sein und Mitarbeiter so zu teilweise sehr hohen Zahlungen verleitet.
Nun eine vielleicht delikate Frage: Welche finanziellen Zahlen zu Ihrem Unternehmen geben Sie bekannt?
Da unser Unternehmen in Privathand ist, können wir keine Aussage zu finanziellen Ergebnissen machen. Aber wir berichten gerne, dass unsere Lösungen von weltweit 3,5 Millionen Nutzern genutzt werden.
Das heisst aber, dass sich Ihr Geschäft wie erhofft entwickelt?
Wir können uns nicht beklagen. Natürlich stellt uns die Frankenstärke immer wieder vor Herausforderungen, gerade weil unsere Mitarbeiter inklusive Entwicklung und Support alle in der Schweiz sitzen. Aber wir sichern uns mit entsprechenden Finanzinstrumenten ab.
Zum Schluss ein Ausblick: Planen Sie eine Expansion und/oder ein viertes Geschäftsfeld?
Wir wachsen langfristig weiter organisch und beziehen nächstes Jahr auch neue Geschäftsräume im Circle am Flughafen Zürich, worauf wir uns sehr freuen. Ausgehend von unserer sehr guten Position in DACH möchten wir die Märkte Nord- und Westeuropa verstärkt angehen. Neue Geschäftsfelder sind derzeit nicht in Planung, aber wir verfolgen das Marktgeschehen und gerade technische Entwicklungen natürlich aufmerksam und sind als Unternehmen recht agil, daher schliesse ich das nicht grundsätzlich aus.