Von Helmuth Fuchs
Moneycab: Herr Zeidler, wie beurteilen Sie die aktuelle Bedrohungslandschaft für den Finanzsektor, insbesondere im Hinblick auf Advanced Persistent Threats (APTs) und staatlich geförderte Cyberangriffe?
Der Finanzsektor, insbesondere die Banken, gehört weiterhin zu den am häufigsten angegriffenen Zielen. Im kürzlich publizierten Risk Monitor 2024 listet die Finma Cyber-Angriffe als Top-Risiko für Finanzinstitute. Die Zahl der gemeldeten erfolgreichen oder teilweise erfolgreichen Cyberangriffe ist gegenüber dem Vorjahr um 30 Prozent gestiegen.
«KI unterstützt uns bereits heute bei der Erkennung von komplexen Angriffsmustern oder bei der effizienten Nutzung von Threat-Intelligence-Informationen.» Reto Zeidler, Head of Cyber Security bei Inventx
Als Service Provider haben wir die Aufgabe, uns diesen Bedrohungen tagtäglich zu stellen, und zwar präventiv, ad-hoc wie auch ganzheitlich, indem wir Cyberrisiken identifizieren, akute Bedrohungen stoppen, aber auch die Resilienz – unsere ebenso wie die unserer Kunden – kontinuierlich steigern.
Welche spezifischen Herausforderungen stellt die Integration von Künstlicher Intelligenz in Cyber-Sicherheitssysteme dar, und wie adressieren Sie bei Inventx potenzielle Schwachstellen wie Adversarial Attacks (täuschen oder manipulieren von KI-Modellen)?
Die möglichen Angriffsarten auf KI-Systeme und insbesondere deren Auswirkungen sind dem Anschein nach zunächst beeindruckend. Im Kern unterscheiden sich diese Angriffe aber nicht grundsätzlich von Angriffen auf andere Anwendungssysteme. Auch hier sind es Schwachstellen, welche ausgenutzt werden können, um Zugang zu Daten und Algorithmen zu erhalten. Die Minimierung der Angriffsflächen bereits bei der Planung sowie eine systematische Erkennung und Schliessung der Schwachstellen sind die wirksamsten Massnahmen.
Darüber hinaus gilt es die Sensibilität gegenüber diesen neuen, spezifischen AI Angriffsszenarien zu schärfen. Dies umfasst zum Beispiel Methoden zur Erkennung von Anomalien in Trainingsdaten oder auch Manipulationen durch Adversary Examples.
Inwiefern verändert der Einsatz von Large Language Models (LLMs) und generativer KI die Dynamik zwischen Angreifern und Verteidigern im Cyberspace?
Eine der grossen Stärken von KI ist der Umgang mit grossen Datenmengen, quasi das Finden der Nadel im Heuhaufen. Hier unterstützt uns diese Technologie bereits heute bei der Erkennung von komplexen Angriffsmustern oder bei der effizienten Nutzung von Threat-Intelligence-Informationen. Ein grosses Potential besteht zudem in der Automatisierung von täglichen Überwachungsaufgaben. In der Dynamik zwischen Angreifer und Verteidiger ändert sich hingegen nicht viel – wir als Sicherheitsspezialisten müssen nach wie vor den sprichwörtlichen Schritt voraus und stets auf neue Bedrohungen vorbereitet sein.
KI wird mittlerweile auch auf der Gegenseite verwendet, also bei der Automatisierung von Cyberangriffen. Bei Phishing-Angriffen etwa, die für den Angreifer mit einem gewissen Aufwand verbunden sind, beobachten wir, dass mittels KI bereits sehr gezielt Inhalte in hoher Qualität und in grossem Stil verbreitet werden. Dazu sind zum Beispiel bereits erste Betrugsfälle mit verfälschten Bild- und Tonaufnahmen bekannt geworden sind.
Wie implementieren Sie das Konzept der Cyber-Resilienz bei Inventx, und welche Metriken verwenden Sie, um die Widerstandsfähigkeit Ihrer Systeme zu messen und zu verbessern?
Cyber-Resilienz ist bei Inventx bereits lange verankert. Als Service Provider für kritische Infrastrukturen hat Inventx sehr früh erkannt, dass eine gute Verteidigung oder auch Systemüberwachung allein nicht ausreicht, um Sicherheit und auch Stabilität zu gewährleisten.
Bei uns beginnt daher die Resilienz bereits beim Design von System- und Anwendungsumgebungen und führt über technische und organisatorische Sicherheitsmassnahmen inklusive einer Rund-um-die-Uhr-Erkennung von möglichen Cybervorfällen sowie angemessener Reaktionen darauf bis hin zu einer raschen Wiederherstellung im äussersten Fall. Jedes dieser Elemente ist darauf ausgerichtet, mögliche Schwächen des jeweils vorangegangenen zu korrigieren. Die Summe davon ist quasi die Resilienz.
«Wir sind nicht nur einer der wenigen Anbieter in der Schweiz mit ununterbrochenem bemanntem Monitoring, sondern bieten auch den gesuchten Cybersecurity-Spezialisten attraktive Arbeits- und Karrieremöglichkeiten.»
Aber auch diese ist kein Endzustand, sondern muss immer wieder upgedatet und verbessert werden. Kürzlich haben wir zum Beispiel ein neues Cybersecurity-Betriebsmodell mit einem SOC in einer komplementären Zeitzone eingeführt, um Security Operations mit «24/7 Eyes on Screen» sicherzustellen. Damit sind wir nicht nur einer der wenigen Anbieter in der Schweiz mit ununterbrochenem bemanntem Monitoring, sondern bieten auch den gesuchten Cybersecurity-Spezialisten attraktive Arbeits- und Karrieremöglichkeiten.
Welches sind die grössten Herausforderungen bei der Umsetzung einer Zero-Trust-Architektur in einer komplexen Finanzinfrastruktur und gibt es schon Beispiele von gelungenen Umsetzungen?
Auch wenn es häufig so suggeriert wird: Zero Trust ist keine einzelne Lösung, die sich einfach einschalten lässt. Es ist in erster Linie ein Security-(Architektur-)Konzept, nach welchem resiliente System- und Anwendungsumgebungen geplant und umgesetzt werden können, um Sicherheitsstandards zu erfüllen. In vielen Bereichen sind diese Zero-Trust-Ansätze nicht nur Theorie, sondern heute bereits in Gebrauch. Ich denke dabei an den Bereich des Identity Managements, in Cloud- und Containerumgebungen und auch bei Endpoints (Host-/Clients). Sogenannte Passwordless-Identifizierungs- und Authentifizierungsverfahren sind solche typischen Zero-Trust-Konzepte, bei denen etwa mittels Biometrie sowohl die Anwendung als auch der Benutzer und seine Daten geschützt werden, gleichzeitig aber auch die Bedienung für den Anwender vereinfacht wird.
Mittlerweile sind im Rahmen regulatorischer Anpassungen seit 2020 zahlreiche neue Zero-Trust-Modelle entstanden wie das NIST SP800-207, das Microsoft Zero Trust Model oder das CISA Maturity Model 2.0, um nur einige zu nennen. Sie helfen beim Design einer langfristigen Zero-Trust-Strategie, insbesondere weil sie auch Abhängigkeiten veranschaulichen.
«Insbesondere in der Finanzindustrie sind die Sicherheitsanforderungen heutzutage so hochkomplex, dass eine einzelne Bank oder Versicherung kleiner bis mittlerer Grösse sich diese Transformation möglicherweise gar nicht mehr leisten kann.»
Das darf aber nicht darüber hinwegtäuschen, dass sich IT- und auch Sicherheitsarchitekturen nicht über Nacht transformieren lassen. Eine Zero-Trust-Strategie ist also eher ein Marathon und weniger ein Sprint. Insbesondere in der Finanzindustrie sind die Sicherheitsanforderungen heutzutage so hochkomplex, dass eine einzelne Bank oder Versicherung kleiner bis mittlerer Grösse sich diese Transformation möglicherweise gar nicht mehr leisten kann. Hier punkten wir mit unseren Erfahrungen von Beratung über Implementation bis hin zum Betrieb von Sicherheitsarchitekturen in einer mit ähnlichen Herausforderungen konfrontierten Community, um Zero Trust als ganzheitliches Security-, IT-Automatisierungs- und Orchestrierungskonzept umzusetzen.
Wie bewerten Sie die Effektivität von Threat Intelligence Sharing (kollaborativer Austausch von Informationen über Cyber-Bedrohungen) im Finanzsektor, und welche Rolle spielt Inventx in solchen Kooperationen?
Die Threat Intelligence hat in den letzten Jahren massiv an Bedeutung gewonnen und ist auch bei Inventx seit längerem ein unverzichtbarer Bestandteil in der taktischen, operativen und strategischen Beurteilung von Bedrohungslagen. Als MSP sind unsere Informationsempfänger häufig sowohl unsere Kunden als auch internen Stakeholder.
Welche innovativen Ansätze verfolgen Sie bei der Schulung und Sensibilisierung von Mitarbeitern, um die menschliche Firewall zu stärken?
Cybersicherheit beginnt mit der persönlichen Verantwortung jedes Einzelnen. Für Inventx als Service Provider ist eine implizite Sicherheitskultur von entscheidender Bedeutung und wir verstehen das als wiederkehrende Aufgabe auf allen Ebenen. Neben den typischen Awareness-Aktivitäten, welche auch Teil unserer Compliance sind, würde ich sicher die bei Inventx etablierte «Security Champion Organisation» als eher fortschrittliches Instrument nennen. Diese besteht aus vielen engagierten Kollegen aus allen Fachbereichen und erlaubt es uns als Security Organisation, rasch und gezielt auf potenzielle Sicherheitsvorfälle zu reagieren.
Wie adressieren Sie die spezifischen Sicherheitsrisiken, die mit der Adoption von Quantum Computing im Finanzsektor einhergehen?
Quantum Computing steht kurz vor dem Durchbruch. Aus Security-Perspektive müssen wir uns tatsächlich bereits jetzt der Frage stellen, was mit Daten passiert, welche wir heute als sicher verschlüsselt betrachten, die in absehbarer Zeit aber mittels Quantenrechnern ohne Probleme in kurzer Zeit entschlüsselt werden können. Wir denken dabei z.B. an die Langzeit-Archive mit sensitiven Daten im Finanzsektor. Deshalb plant Inventx, zusammen mit ihren Partnern, bereits die Umsetzung der Quantum-safe Encryption Standards und publiziert auch regelmässig dazu.
Welche Strategien empfehlen Sie für die sichere Integration von Blockchain-Technologien und dezentralen Finanzanwendungen (DeFi) in traditionelle Finanzinfrastrukturen?
Blockchain als Technologie ist in sich genommen ein nahezu perfektes Sicherheitsinstrument – es vereint Sicherheit, Integrität und Verfügbarkeit. Wenn ich also z.B. Cryptowährungen (eine Variante von Blockchain) stehlen will, greife ich nicht die Cryptowährung selbst an, sondern das Portal bzw. die Anwendung, welche Cryptowährungen verwaltet, und nutze dazu technische oder menschliche Schwachstellen aus. Es mag zwar langweilig klingen, aber die wirksamste Securitystrategie lautet auch bei der Blockchain-Integration: Anwendungssicherheit, Vulnerability Management und Awareness.
«Mit der Journey to Cloud, der einhergehenden Mobilität von Daten, neuen Standards wie OpenFinance oder zuletzt Instant Payment sowie neuerdings auch AI-Anwendungen steht diese traditionelle Sicherheitsarchitektur zunehmend auf dem Prüfstand.»
Wie balancieren Sie bei Inventx die Notwendigkeit robuster Sicherheitsmassnahmen mit den Anforderungen an Benutzerfreundlichkeit und Performance aus?
Das ist eine Frage der Philosophie. Fakt ist, dass Sicherheitsmassnahmen, welche die Performance oder Benutzerfreundlichkeit einschränken, häufiger umgangen werden und dadurch oft mehr Unsicherheit als Sicherheit produzieren. Deshalb ist Inventx sowohl aus IT- als auch aus Security-Sicht gleichermassen an benutzerfreundlichen Lösungen interessiert, die nicht nur der Security, sondern dem ganzen Unternehmen dienen. Die Anwendung von Trust-Levels können hier zum Beispiel hilfreich sein, um die Balance zwischen Sicherheit einerseits und Performance sowie Benutzerfreundlichkeit andererseits anforderungsgerecht zu steuern.
Wie sehen Sie die Entwicklung der Cybersicherheit-Landschaft im Finanzsektor in den nächsten fünf Jahren, insbesondere im Hinblick auf aufkommende Technologien wie Edge Computing und 6G?
Eine der spezifischen Herausforderungen im Finanzsektor liegt in der Digitalisierung selbst. Die traditionelle Sicherheitsarchitektur in vielen Finanzinstituten ist ähnlich wie eine Festung aufgebaut, welche zwar stark angegriffen, gleichzeitig aber auch verhältnismässig einfach zu verteidigen war. Mit der Journey to Cloud, der einhergehenden Mobilität von Daten, neuen Standards wie OpenFinance oder zuletzt Instant Payment sowie neuerdings auch AI-Anwendungen steht diese traditionelle Sicherheitsarchitektur zunehmend auf dem Prüfstand. Die Transformation der traditionellen Architekturen durch Zero Trust wird daher ein elementarer Bestandteil der IT- und Sicherheitsstrategie im Finanzsektor.
Zum Schluss des Interviews haben Sie zwei Wünsche frei, wie sehen die aus?
Es klingt vielleicht im ersten Moment unlogisch, aber wir als «Security Nerds» erwarten viel zu oft, dass das Business die Security versteht – stattdessen würde ich mir wünschen, dass Security mehr Business versteht. Das würde wohl tatsächlich helfen, die Welt sicherer zu machen.
Und des Weiteren wünsche ich einfach allen frohe Festtage und ein erfolgreiches, glückliches 2025.