Rainer Schwegler, Territory Manager Schweiz von ESET, im Interview
Von Helmuth Fuchs
Moneycab: Herr Schwegler, die Attacken auf die digitale Infrastruktur nehmen zumindest in der medialen Wahrnehmung zu. Wie sieht die Situation in der Realität aus, welches sind die grössten Risiken für die zunehmend digitale Wirtschaft?
Rainer Schwegler: Nicht nur die Wahrnehmung, auch die Statistiken belegen eine stetige Zunahme an Angriffen gegen IT-Systeme aller Art. So sehen wir in unseren Laboren täglich circa 400’000 neue Schädlinge. Ich denke, das grösste Risiko der Wirtschaft ist, dass neue Technologien wie das «Internet der Dinge» und manch andere schneller umgesetzt und eingeführt werden, als etwa ein Administrator die Zeit dazu hätte, sich um die Sicherheitsaspekte zu kümmern. Fehlendes Sicherheitsbewusstsein und Knowhow sind hauptursächlich für die Zwischenfälle der letzten 12 Monate wie etwa «WannaCry». Ausserdem professionalisiert sich der Schwarzmarkt für Schadsoftware immer weiter, da er nach wie vor lukrativ ist.
«Fehlendes Sicherheitsbewusstsein und Knowhow sind hauptursächlich für die Zwischenfälle der letzten 12 Monate» Rainer Schwegler, Territory Manager Schweiz von ESET
Wo sind die Benutzer gefordert, wo die Provider und wo steht der Staat in der Pflicht, um die Sicherheitslage zu verbessern?
Alle sind gefordert, die aktuelle Situation in den Griff zu bekommen und eine Grundsicherheit zu schaffen. Rechtliche Grundlagen müssen mit dem Willen und den Budgets auf Unternehmensseite einhergehen, diese auch sinnvoll umzusetzen. Die Nutzer moderner Technologien sollten zudem in der Lage sein, diese auch mit einer «Grundausstattung» an Sicherheitsbewusstsein zu bedienen. Wenn der Käufer gezielt sicherere Geräte statt nur der günstigsten kauft, ist auch der Anreiz bei den Herstellern entsprechend gross.
Allgemein gelten Russen, Chinesen, Israeli oder auch Amerikaner als Experten in Fragen der Cyber-Sicherheit. Eset ist ein Unternehmen mit europäischen Wurzeln. Wie steht es in Europa und der Schweiz um das Wissen und die Ausbildung von IT-Sicherheitsfachleuten?
Tatsächlich ist die Expertise auf einem gleichen Niveau wie anderswo in der Welt. Technologien, Soft- und Hardware, sowie Knowhow und Ausbildung sind generell nicht wirklich unterschiedlich. Was jedoch einen Unterschied machen kann, sind die jeweiligen Staatsformen, rechtliche Grundlagen, unterschiedliche Bedrohungslagen und staatlich-wirtschaftliche Interessen. Die Definition und Einordnung von Verschlüsselung, Privatsphäre, Transparenz und Erkennung von (potentiell) schädlicher Software können sich dementsprechend verschieben.
«Angriffe auf die Meinungsfreiheit und -bildung sind ebenfalls eine grosse Herausforderung für IT-Systeme, wie auch gesamtgesellschaftlich.»
Welche Themen und Trends werden uns 2018 bezüglich IT-Sicherheit am meisten beschäftigen, welche technischen Entwicklungen werden im Vordergrund stehen?
Weiterhin bestimmend wird der Bereich «Internet der Dinge» (IoT) sein. Der Siegeszug der «Vollvernetzung» wird so schnell nicht stoppen. Das macht dieses Gebiet natürlich auch für Kriminelle weiter interessant und wir werden dort, gerade im Heimanwenderbereich, vermehrt Angriffe und Erpressung sehen. Kritische Infrastrukturen wie Energieversorger stehen ausserdem vermehrt im Fokus von Attacken, wie «Industroyer» und «Stuxnet» bereits eindrucksvoll zeigen konnten. Angriffe auf die Meinungsfreiheit und -bildung sind ebenfalls eine grosse Herausforderung für IT-Systeme, wie auch gesamtgesellschaftlich. Bots, die Inhalte in sozialen Netzwerken streuen und steuern, Zensur und oft auch panische Gesetzgeber liefern sich scheinbar ein Kopf-an-Kopf-Rennen. Und als 4. Punkt wird die EU-Datenschutzgrundverordnung auch technologisch viele vor eine Herausforderung stellen, gerade wenn es um grenzüberschreitendes Business geht.
In welchen Bereichen forscht ESET am intensivsten, wo sehen Sie das grösste Potential für Fortschritte bei Thema der IT-Sicherheit?
Es gibt keinen Forschungsbereich, in dem wir es uns leisten könnten, weniger Arbeit und Aufwand zu investieren. Viel zu weit ist das Thema der Cybersicherheit im Jahre 2018. Der Fokus auf Forschung und Entwicklung ist in unserer «Unternehmens-DNS» fest verankert und so sind aktuelle Superthemen wie «Machine Learning» oder «Künstliche Intelligenz» teils über 10 Jahre Bestandteil unserer Lösungen.
Ich glaube, das grösste Potential für Fortschritte beim Thema IT-Sicherheit liegt tatsächlich bei der Bewusstmachung möglicher Risiken im Umgang mit IT und der Ausbildung von (künftigen) Mitarbeitern. Gelingt es uns, alle Nutzer von modernen Technologien, vom Smartphone und Tablet über Fitnesstracker hin zu Cloud-Diensten, Unternehmensrechnern und vernetzten Industriegeräten, zu verantwortungsbewussten Anwendern zu bilden, haben wir einen wichtigen Grundstein zu mehr Sicherheit gelegt. Leider muss man feststellen, dass da noch ein weiter Weg vor uns liegt. Aus diesem Grund bieten wir unter anderem auch Awareness-Veranstaltungen für Unternehmen, Schulen und Universitäten an und informieren kostenfrei auf unserer Informationsplattform www.WeLiveSecurity.de.
Das Thema Datenschutz hat sich von der technischen auf die politische Ebene verschoben. Die EU wird per Mai 2018 die neue Datenschutzgrundverordnung (DSGVO) einführen, die Schweiz arbeitet an einem neuen Datenschutzgesetz. Was bedeutet das für Schweizer Privatpersonen und KMU?
Das Ziel dieser Neuregelungen ist es, den Datenschutz zu erhöhen und gesetzlich (weiter) zu verankern. Für Privatpersonen bedeutet dies zudem mehr Transparenz und z.B. das «Recht auf Vergessen», wobei dieses «Vergessen» nachgewiesen werden muss. Für kleine und mittelständische Unternehmen bedeutet dies, dass auch sie in der Pflicht sind, die Daten ihrer Kunden sorgsam zu verarbeiten und bestmöglich zu schützen. Hier gibt es alle möglichen Hilfestellungen, wie kostenlose Leitfäden, Selbstchecks und mehr, z.B. unter https://dsgvo.eset.ch.
Spezialisierte Dienstleister (Managed Service Provider), externe oder eigene Datenschutzbeauftragte und andere Berater können helfen, den Überblick über das durchaus umfangreiche Gesamtwerk «Datenschutz» zu erhalten und rechtskonform umzusetzen.
«Ich glaube, das grösste Potential für Fortschritte beim Thema IT-Sicherheit liegt tatsächlich bei der Bewusstmachung möglicher Risiken im Umgang mit IT und der Ausbildung von (künftigen) Mitarbeitern.»
In der Mitte Dezember von ICT Switzerland vorgestellten Studie “Cyberrisiken in Schweizer KMUs” wird gesagt, dass die Risiken von Cyber-Angriffen von den Zuständigen stark unterschätzt würden. Was soll und kann dagegen getan werden, ohne dass die Regulierungsdichte unnötig zunimmt?
Eine Triebfeder und Anreiz jeglicher unternehmerischer Entscheidung ist immer die Wirtschaftlichkeit. Versteht ein jeder Geschäftsführer, dass IT-Sicherheit und Datenschutzvorgaben keine Behinderung des Unternehmens sind, sondern vielmehr der Absicherung des Geschäftsbetriebs dienen sollen, ist die Motivation ungleich höher, in entsprechende Massnahmen und Dienstleistungen zu investieren. Letztlich kosten mögliche Zwischenfälle wie Ransomware-Angriffe oder Strafzahlungen nach Datenschutzverstössen nicht nur kurzfristig Geld, sondern können der Reputation und damit dem Geschäft dauerhaft schaden.
Innerhalb der Digitalisierung verschieben vor allem KMU ihre Datenbestände und Anwendungen vermehrt in Clouds von externen Anbietern. Wie weit könnte darin die Entschärfung des Problems liegen, da Cloud-Anbieter sich mit dem Thema der Cyber-Security von Berufs wegen intensiv auseinandersetzen müssen?
Schaut man in die EU-DSGVO so sieht man schnell, dass einen das nicht von der Datenschutzpflicht befreit. Richtig ist jedoch, dass die grossen Anbieter von Cloud-Services viel Energie in die Absicherung ihrer Systeme und Infrastruktur investieren. Zudem können gerade KMU bei der Entscheidung für Cloud-Dienstleistungen erheblich gegenüber Investitionen in eigene Serveranlagen und deren Betrieb sparen.
Als Kunde solcher Lösungen sollte man jedoch nicht immer das günstigste Angebot wählen, sondern vielmehr etwas Zeit in die Auswahl des richtigen Anbieters investieren. Dabei sollte man Zertifizierungen prüfen und nach Meldungen der Vergangenheit über eventuelle Sicherheitszwischenfälle beim Anbieter schauen. Ebenso kann der Standort der Server eine entscheidende Rolle bei der Auswahl spielen, da sich EU-Richtlinien wie etwa zum behördlichen Datenzugriff unter Umständen deutlich von denen in den USA oder anderenorts unterscheiden.
Im Zuge der Digitalisierung erleben auch die Künstliche Intelligenz und digitale Roboter wieder einen Aufschwung. Wie steht es mit diesen Themen im Zusammenhang der IT-Sicherheit, wo sind sie hilfreich, wo stellen sie ein zusätzliches Risiko dar?
Bei ESET beschäftigen wir uns bereits seit fast 20 Jahren mit den Möglichkeiten neuronaler Netze, Künstlicher Intelligenz und Maschinenlernen. Anders könnten wir der Masse an täglich neuer Malware einerseits und polymorpher Schadcodes andererseits nicht Herr werden. Im Zusammenspiel mit den Möglichkeiten der Cloud können wir unseren Anwendern hier ein Höchstmass an Schutz bieten. Vollautomatisierte Analysen helfen, Informationen zu brandneuen Bedrohungen innerhalb weniger Minuten zum Endpoint zu bringen. Genauso halten solche Technologien natürlich auch Einzug in unsere Produkte und können mit Hilfe von Algorithmen bisher unbekannte Schädlinge zuverlässig eliminieren.
«Algorithmen, die sich selbst mit ihren eigenen Ergebnissen anlernen, bergen die Gefahr, dass ein falsches Ergebnis eine Art Schneeballeffekt auslöst, sich potenziert und am Ende das genaue Gegenteil vom eigentlichen Ziel bewirkt.»
Was wir im Rahmen unserer Forschung schnell gelernt haben ist, dass es ohne menschliche Interaktion noch nicht geht. Algorithmen, die sich selbst mit ihren eigenen Ergebnissen anlernen, bergen die Gefahr, dass ein falsches Ergebnis eine Art Schneeballeffekt auslöst, sich potenziert und am Ende das genaue Gegenteil vom eigentlichen Ziel bewirkt. Entscheidend ist der sinnvolle Einsatz im gleichwohl sinnvollen Mass und Mix mit anderen Schutztechnologien. Die Erfolge, etwa bei der Abwehr von «WannaCry» von Stunde 0 an, zeigen uns, dass wir hier gute Arbeit leisten.
Drohnen, das Internet der Dinge und intelligenter werdende Roboter eröffnen vor allem auf der Basis einer zunehmenden Vernetzung völlig neue Möglichkeiten autonomer Prozesse und Handlungen. Wie können diese neuen Akteure der digitalen Welt gegen missbräuchliche Manipulation geschützt werden, wer steht hier primär in der Verantwortung?
Primär sind sicherlich die Hersteller solcher Technologien und Geräte in der Pflicht, diese mit Security als Teil des Entwicklungsprozesses zu gestalten. Die jüngere Vergangenheit lehrt uns jedoch, dass gerade dieser essentielle Aspekt oft «vergessen» wird. Leidtragende sind dann die Anwender, wenn etwa «dank» fest hinterlegter Admin-Zugänge die Geräte von aussen übernommen oder gesperrt werden und anschließend ein Lösegeld gefordert wird. Haben Hersteller keine eigene Expertise, sollten sie diese einkaufen, was aber leider noch zu oft als «unwirtschaftlich» ausgelassen wird. Deswegen sind die Nutzer ebenfalls in der Verantwortung, sich vor dem Kauf entsprechend zu informieren, ob etwa der Hersteller regelmässig externe Sicherheitsaudits durchführen lässt oder bereits negativ in Erscheinung getreten ist.
Zum Schluss des Interviews haben Sie zwei Wünsche frei, wie sehen die aus?
- Ein funktionierendes Sicherheitskonzept benötigt Fachwissen sowie Zeit. Ich wünschte mir, dass die verantwortlichen Entscheider im Unternehmenden sich dieser Situation bewusster werden und die entsprechenden Ressourcen Ihrer IT zur Verfügung stellen.
- Weniger Panik und mehr Information durch belastbare Fakten. Fake News haben auch Einzug in die IT-Berichterstattung und das Marketing manchen Herstellers erhalten.
Der Gesprächspartner:
Nach einer langen Karriere bei Cisco ist Rainer Schwegler seit Januar 2015 als Territory Manager für das Schweizer Geschäft von ESET verantwortlich.
Das Unternehmen:
ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu geniessen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Bratislava, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.com/ch-de/.
Weiter führende Informationen:
https://ictswitzerland.ch/media/dateien/Schlussbericht_Cyberrisk_KMU_2017.pdf
https://ictswitzerland.ch/media/dateien/MK_Cyberrisk_Umfrage_2017_12_12.pdf