Von Karin Bosshard
Moneycab.com: Herr Sirera, seit genau 20 Jahren beschäftigt sich Ispin mit IT-Sicherheit. Wie hat sich in dieser Zeit das Bewusstsein in Ihrem Kundenkreis für das Thema entwickelt, wo sehen Sie noch Nachholbedarf?
Antonio P. Sirera: Das Thema IT-Sicherheit ist bei vielen Kunden vom reinen Kostenfaktor zu einem strategisch wichtigen Investitionsthema geworden. Die Digitalisierung hat in den letzten Jahren die Art und Weise, wie Unternehmen Ihre Produkte und Dienstleistungen entwickeln, vermarkten und verkaufen grundlegend verändert. Diese Unternehmen können am Markt nur bestehen, wenn sie sich gegen Cyberangriffe widerstandsfähig machen. Einige Branchen haben da noch einen grossen Nachholbedarf. Was in den letzten Jahren versäumt wurde lässt sich nur schwer in kurzer Zeit aufholen.
«Sowohl das regulatorische Umfeld als auch die Sensitivität der Daten verlangt nach Services und Lösungen, die in der Schweiz für die Schweiz angeboten werden.»
Antonio P. Sirera, CEO, Ispin AG
Die Schweiz hat einen sehr guten Ruf als technologisch führendes Land mit hoher Rechtssicherheit. Sie werben mit «swiss made security». Wie wichtig ist die «Swissness» für Ihr Geschäft und was muss getan werden, damit die Schweiz die Stellung im internationalen Wettbewerb halten und ausbauen kann?
Der grösste Teil unserer Kunden stammt aus dem Finanz- und Behördenumfeld. In diesen Branchen wird dem Thema «Swissness» in der Cyber Security grosse Bedeutung beigemessen. Sowohl das regulatorische Umfeld als auch die Sensitivität der Daten verlangt nach Services und Lösungen, die in der Schweiz für die Schweiz angeboten werden. Dabei geht es weniger um die Stellung im internationalen Wettbewerb sondern mehr um den Schutz der Schweizer Eigenheiten.
«Der traditionelle, risikobasierte Ansatz reicht nicht mehr. Vielmehr geht es heute darum, sich gegen Cyberangriffe widerstandsfähig – oder eben resilient – zu machen.»
Die digitale Wirtschaft wächst und damit auch das Cyber Risk. Die nächste Stufe nach «Cyber Security» ist die «Cyber Resilience». Wo genau liegt der Unterschied?
Ispin hat bereits vor fünf Jahren erkannt, dass der alleinige Schutz vor Cyberattacken nicht mehr ausreicht. Wir waren da der Überzeugung, dass in der IT-Sicherheit ein Paradigmenwechsel stattfinden wird. Heute ist dieser Realität geworden. Angriffe finden permanent statt und die jüngere Vergangenheit hat gezeigt, dass die Angreifer immer wieder Erfolg haben. Wenn man also davon ausgehen muss, dass die Eintretenswahrscheinlichkeit eines Cyberangriffes 100% beträgt, dann greift der traditionelle, risikobasierte Ansatz nicht mehr. Vielmehr geht es heute darum, sich gegen Cyberangriffe widerstandsfähig – oder eben resilient – zu machen. Dies bedeutet, im Falle einer erfolgreichen Cyberattacke möglichst rasch wieder einen normalen Betriebszustand zu erreichen.
Welche Fähigkeiten muss ein Unternehmen entwickeln um cyberresilient zu werden und zu bleiben?
Zuerst sollte ein Unternehmen die kritischen Daten und Systeme identifizieren und klassifizieren und in der Lage sein Schwachstellen in ihrer Infrastruktur zu erkennen. Der klassische Schutz vor Cyberangriffen mit technischen und organisatorischen Mitteln bleibt ein wichtiger Bestandteil der Cyber Risk Resilience. Zum Schutz gehört auch die Sensibilisierung und das Training der Mitarbeitenden. Weiter gilt es, die Fähigkeit zu erlangen, erfolgreiche Cyberangriffe möglichst rasch zu entdecken und deren Kritikalität richtig einzustufen. Nach der Erkennung eines Angriffs müssen Prozesse und Ressourcen vorhanden sein, um adäquat auf einen Angriff zu reagieren. Schliesslich ist die Fähigkeit zur Wiederherstellung des normalen Betriebszustands aufzubauen.
«Die Kunst besteht darin, mit dem optimalen Einsatz der zur Verfügung stehenden personellen und finanziellen Ressourcen, das für die Unternehmung richtige Mass an Resilienz aufzubauen.»
Welche Grundsätze gilt es bei der Cyber Resilience zu beachten? Worauf müssen Unternehmen beim Erstellen einer Cyber Resilience-Strategie achten?
Es erscheint mir wichtig, dass das Thema Cyber Resilience von der Geschäftsleitung gesamtheitlich betrachtet wird. Es genügt nicht, einzelne Fähigkeiten aufzubauen, ohne deren Wechselwirkung zu beachten. Beispielsweise genügt es nicht, einen Angriff rasch zu erkennen, aber dann keine geeigneten Mittel für die Reaktion aufzubauen. Dies bedeutet aber auch, dass eine Cyber Resilience Strategie über einen längeren Zeitraum geplant und umgesetzt werden sollte, um die eigene Organisation nicht zu überfordern. Zuletzt besteht die Kunst darin, mit dem optimalen Einsatz der zur Verfügung stehenden personellen und finanziellen Ressourcen, das für die Unternehmung richtige Mass an Resilienz aufzubauen. Dabei ist zu entscheiden, was die Unternehmung selber «produzieren» kann und was als externe Services bezogen werden soll. Zum Beispiel ist für viele Unternehmen der Aufbau und Betrieb eines eigenen Security Operations Centers zur Erkennung von Cyberangriffen nicht finanzierbar. Hier ist der Bezug dieses Services bei Spezialisten wie der Ispin sinnvoll.
Wie werden geeignete Cyber-Resilience-Massnahmen aufgebaut und deren Umsetzung kontrolliert?
In der Regel beginnt die Reise mit der Definition des Resilienzbedarfs. Dieser sollte mittels einer Soll-Ist Analyse ermittelt werden. Spezialisten wie die Ispin können dabei helfen, eine solche Analyse nach Standardmethoden durch zu führen und die Resultate mittels Branchenbenchmarks zu bewerten.
Nachdem die Lücken zwischen Ist und benötigtem Soll identifiziert sind, werden nach dem Grundsatz «so viel wie nötig, so wenig wie möglich», die notwendigen Massnahmen definiert und priorisiert. Daraus resultiert ein Massnahmenplan, der die notwendigen personellen und finanziellen Ressourcen und den Zeitbedarf für die Umsetzung aufzeigt. In dieser Phase muss die Unternehmung auch entscheiden, welche Massnahmen und Funktionen sie selber aufbauen und betreiben wollen und wo es Sinn macht, externe Services zu beziehen. In der Umsetzung sollte der Erreichungsgrad und die Wirksamkeit regelmässig mittels internen und externen Assessments – wie zum Beispiel Penetrationstests, Simulationen oder Soll-Ist Assessments –geprüft werden und nötigenfalls Anpassungen am Umsetzungsplan gemacht werden.
«Das Bewusstsein verändert sich, dass die Verantwortung für die Sicherheit nicht mehr nur an die IT delegiert werden kann, sondern dass sie voll und ganz auf der Stufe Geschäftsleitung und Verwaltungsrat liegt.»
Die Sicherheit von Daten, Anlagen und Werten setzt ganz zentral auch einen Kulturwandel – ein neues Mindset – bei allen Beteiligten voraus. Wie steht es um diesen Bewusstseinswandel in der Schweiz derzeit?
Die IT- und Securityverantwortlichen in den Unternehmen haben dieses Mindset seit langem. Inzwischen ist aber die Erkenntnis über die Notwendigkeit und Wichtigkeit des Schutzes vor Cyberangriffen auch in den Chefetagen und Verwaltungsräten angekommen. Vor noch nicht allzu langer Zeit hat mich ein Verwaltungsratspräsident einer mittelgrossen Unternehmung angerufen, weil er einen Zeitungsbericht über einen erfolgreichen Cyberangriff auf einen Mitbewerber gelesen hat und mich gefragt, ob denn das seiner Firma auch passieren könne. Offensichtlich verändert sich das Bewusstsein, dass die Verantwortung für die Sicherheit nicht mehr nur an die IT delegiert werden kann, sondern dass sie voll und ganz auf der Stufe Geschäftsleitung und Verwaltungsrat liegt.
Wie wirkt sich das auf Ihren Beratungs- und Verkaufsprozess aus?
Während wir weiterhin als kompetente und spezialisierte Ansprechpartner für IT- und Securityverantwortliche auftreten, müssen wir vermehrt auch Vermittler zwischen Sicherheitsspezialisten und Management sein. Oft besteht zwischen den Spezialisten und der Geschäftsleitung ein Kommunikationsproblem, da die komplexen und oft technischen Themen nicht stufengerecht vermittelt werden können. Die Ispin hat dafür geeignete Kommunikationsinstrumente, wie Dashboards, Lagebilder und Planvorlagen entwickelt, um dies zu ermöglichen.
Was sind derzeit die grössten Bedrohungen?
Für Unternehmen in der Schweiz sind Ransomwareattacken via Email oder Web die grösste Bedrohung. Hier kann mit Sensibilisierung und Training der Mitarbeitenden und einer umfassenden Backup- und Recoverystrategie schon sehr viel erreicht werden. Weniger oft, aber umso gefährlicher sind gezielte Phishingattacken, um an Usernamen und Passwörter zu gelangen. 100% der erfolgreichen Malwareattacken auf Unternehmen geschehen mittels gestohlener digitaler Identitäten von Mitarbeitern. Gezielte Attacken mittels sogenannter Advanced Persistant Threats, also massgeschneiderter Malware zur Sabotage oder zum Diebstahl von Daten sind weit weniger häufig, deren Auswirkungen jedoch umso grösser.
«Digitale Zertifikate in Verbindung mit biometrischen und technischen Authentisierungsverfahren erschweren es den Hackern, Zugang zu gewinnen.»
Sicherheit und private Kommunikation sind vermehrt unter Druck durch staatliche Eingriffe und kriminelle Hacker. Welche technischen Entwicklungen sehen Sie in nächster Zukunft, welche mehr Sicherheit für die normalen Benutzer bringen können?
Hier lassen sich zwei technische Entwicklungen nennen: Einerseits die sichere digitale Identität mit Mehrfachauthentisierung, die unabhängig von Usernamen und Passwort den Zugang zu Applikationen und Informationen im Internet ermöglicht. Das Passwort hat aus meiner Sicht als Sicherheitsmerkmal ausgedient. Digitale Zertifikate in Verbindung mit biometrischen und technischen Authentisierungsverfahren erschweren es den Hackern, Zugang zu gewinnen. Als zweite technische Entwicklung ist die Verschlüsselung zu nennen. Es bestehen heute schon unzählige Möglichkeiten, die private Kommunikation via Email, Messenger oder Telefon zu verschlüsseln. Leider sind die Lösungen nicht in allen Fällen Massentauglich, da immer noch ein gewisses technisches Verständnis vorausgesetzt wird. Es gibt aber auch andere Beispiele, wo die sichere Verschlüsselung für den Benutzer «versteckt» zur Verfügung steht. Threema, eine Schweizer Messaginglösung für Mobiltelefone, ähnlich wie Whatsapp, ist ein gutes Beispiel dafür.
«Als zweite technische Entwicklung ist die Verschlüsselung zu nennen.»
Mit der deutschen Private-Equity-Gesellschaft Capiton hat Ispin einen Finanzinvestor für eine Expansion in Europa gefunden. Welche konkreten Ziele haben Sie für die kommenden Jahre und inwiefern sind neue Investoren ein Thema?
Mit der Capiton haben wir einen Investor gefunden, der es uns ermöglicht, mittels Zukäufen zu wachsen und neue Dienstleistungen und Produkte aus der CymbiQ Gruppe für unsere Kunden verfügbar zu machen. Ebenso können wir Ispin Services – wie zum Beispiel das Security Operations Center – im DACH Raum für Kunden unserer anderen Gruppenmitglieder verfügbar machen. Ziel ist es innerhalb der nächsten vier Jahre einer der grössten Player im Cybersecuritymarkt in Westeuropa zu werden und so Wissen, Lösungen und Services für alle unsere Kunden zu bündeln. Dabei sind neue Investoren momentan kein Thema, da die Capiton die notwendigen Mittel und die Unterstützung im Merger&Acquisition Bereich bieten kann.
Zum Gesprächspartner Antonio P. Sirera studierte Politikwissenschaft an der Eidgenössischen Technischen Hochschule Zürich und absolvierte ein Nachdiplomstudium in Betriebswirtschaft. Er verfügt über langjährige Führungserfahrung in verschiedenen Positionen in der Hard- und Softwarebranche in verschiedenen internationalen Unternehmen. Unter anderem leitete er das Schweizer Geschäft von Symantec, einem weltweit führenden Anbieter von Sicherheits-, Speicher- und Systemmanagementlösungen, als Managing Director. Als Regional Director für Insight Ltd., einer der grössten Software/Hardware-Reseller und IT-Consultants weltweit, leitete er das Geschäft in mehreren Ländern (Schweiz, Österreich, Osteuropa und Russland). Seit 2013 ist Antonio P. Sirera in verschiedenen Positionen bei der Ispin AG tätig, einem Anbieter von Cyber-Sicherheitslösungen und -dienstleistungen in der Schweiz. Seit März 2018 ist er CEO und Mitglied des Vorstands der Ispin und Mitglied der Geschäftsleitung der CymbiQ Group AG. Antonio P. Sirera auf LinkedIn |
Zum Unternehmen Die Ispin AG, gegründet 1999, gehört mit rund 90 Fachspezialisten aus den unterschiedlichsten Bereichen der IT- und Informationssicherheit zu den führenden Schweizer Cyber-Security-Unternehmen. Als Komplettanbieter, unter dem Dach der CymbiQ Group mit Sitz in Zürich, betreut Ispin ihre Kunden auf der Basis jahrzehntelanger Erfahrung und Kompetenz in allen Cyber-Security-Bereichen. Zum Kundenkreis zählen über 150 Unternehmen aus allen Wirtschaftsbereichen sowie Verwaltungen. Weitere Informationen: www.ispin.ch |