08.02.2023

FFHS Business Breakfast: «White Hat-Hackers – Ist Angriff die beste Verteidigung?»

Am FFHS Business Breakfast vom 2. Februar 2023 diskutierten Anna Mempel (Securnite), Rolf Wagner (GObugfree) und Nicolas Mayencourt (Dreamlab Technologies) über die wachsende Bedrohung durch Cyberangriffe, warum die Schweiz nicht genug tut, um sich zu schützen, und wie wir mehr Bewusstsein zur Bekämpfung der Cyberkriminalität schaffen können.

Die Medien sind mit Nachrichten über Cyberkriminalität überflutet. Die Bedrohungslage steigt, gleichzeitig herrscht ein enormer Fachkräftemangel. Ist die Lage aussichtslos? Christian Koch, Gastgeber der Veranstaltung und verantwortlich für Corporate Relations bei der FFHS, sieht darin Chancen für die Innovation und Informatik. Hierzu lanciert die FFHS ab Herbst 2023 einen neuen Studiengang – den BSc Cyber Security. Am Business Breakfast schilderten Fachexpertinnen und -experten die aktuelle Sicherheitslage, mögliche Sicherheitsmassnahmen, und warum solche Ausbildungsangebote dringend nötig sind.

Key Takeaways:

●    Die Bedrohungslage steigt: Cyberattacken sind auch in der Schweiz täglich Realität geworden.
●    Die Komplexität der IT-Systeme nimmt zu: Unternehmen sind anfälliger für Schwachstellen und somit für Angriffe.
●    Die Welt ist immer vernetzter: Cyberkriminalität hat nicht nur lokale Auswirkungen auf eine Firma, sondern auf mehrere Unternehmen und Länder.
●    Es gibt bereits effektive Lösungen: Bug-Bounty-Programme, Pentesting und Cyber Radare sind gute Sicherheitsansätze.
●    Die Lösung? Awareness schaffen und in die Ausbildung investieren, mit gezieltem Kompetenzaufbau und (Weiter)Bildung im Bereich Cybersecurity.

Warum ist Cybersicherheit wichtig?

Anna Mempel, COO der Firma Securnite, eröffnete mit einer Frage an die Teilnehmenden: Warum ist Cybersicherheit wichtig? Das fachkundige Publikum lieferte überzeugende Argumente über die Wichtigkeit von schützenswerten Daten, weltweite Auswirkungen der Cyberkriminalität, bis hin zu IoT (beispielsweise Herzschrittmacher).

 

Die Anzahl Akteure sowie auch die Angriffsflächen wachsen ständig

Die Zahl der Bedrohungsakteure und Angriffsformen nimmt stetig zu. Gleichzeitig werden immer mehr Schwachstellen gefunden – die Angriffstore für Angreifer. Business-Umfelder werden grösser und komplexer. Es gelten nicht mehr die klassischen Perimeter des eigenen Netzwerks und die eigene Infrastruktur. Die Mitarbeitenden arbeiten überall: von zu Hause, im Hotel, aus dem Café um die Ecke. Die Software kennen wir nicht mehr so genau. Bibliotheken werden von Open-Source-Plattformen importiert. Man baut es ein und geht live – im stillen Vertrauen, dass es funktioniert. All diese Punkte vergrössern unsere Angriffsfläche.

«Ob Daten, Geld oder Geheimnisse, die Kronjuwelen sind die wichtigsten Güter eines Unternehmens und müssen auf Verfügbarkeit, Vertraulichkeit und Integrität geschützt sein.» (Anna Mempel, COO von Securnite)

Warum sollten wir uns schützen?

Mempel spricht von Kronjuwelen – Daten, Geld, Geheimnisse –, die geschützt werden müssen. Geschieht dies nicht, können die finanziellen Folgen ruinös sein. Als Beispiel nennt sie den Velo- und E-Bike-Hersteller Prophete, bei dem eine Cyber-Attacke zu einem mehrwöchigen Betriebsstopp und schliesslich zur Insolvenz führte. Der Reputationsverlust nach einer Cyber-Attacke kann ebenfalls immens sein. Die Basis des Geschäfts ist Vertrauen. Ist dies einmal erschüttert, hat ein Unternehmen ganz schlechte Karten.

Wie können wir die Cybersicherheit gewährleisten?

Schwachstellen sind das Einfallstor für Cyberkriminelle. Rolf Wagner erklärt, wie seine Firma GObugfree Unternehmen hilft, solche Schwachstellen so schnell wie möglich zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können. Dazu setzt GObugfree auf eine Community von Sicherheitsexperten und ethischen Hackern, die Bug-Bounty-Programme durchführen.

Mittels Bug-Bounty-Programmen suchen Security Researcher, sogenannte «ethische Hacker» – bei GObugfree «Friendly Hacker» genannt – nach «Bugs» (Schwachstellen) in IT-Systemen und Applikationen. Das Vorgehen ist streng reglementiert. Gültige Schwachstellen werden mit einem «Bounty» (Belohnung) vergütet. 

Die Vorteile eines Bug-Bounty-Programms gehen über die Früherkennung von Fehlern hinaus. Oft führt ein Bug-Bounty-Programm zu erhöhtem Sicherheitsbewusstsein im Unternehmen, wie auch bei Lieferanten. Da von aussen getestet wird und somit eine reale Attacke von Cyberkriminellen simuliert wird (kontinuierlicher Black-Box-Ansatz), werden so Lücken aufgedeckt, die sonst verborgen blieben. Die kollektive Intelligenz und Kreativität der Community mit ihren diversen Fähigkeiten ergänzen bestehende Sicherheitsmassnahmen wie Security Audits oder Pentesting perfekt.

«Stärkere Bremsen ermöglichen mehr Tempo: in der digitalen Transformation, sowie auch, um einen Service schneller freizuschalten. Sicherheit ist somit ein Enabler.» (Rolf Wagner, COO von GObugfree)

Sicherheit ist kein Bremsklotz!

Sicherheit wird oft als Bremsklotz gesehen, eine Hürde, die es zu überwinden gilt. Wagner vergleicht eine starke Sicherheit mit guten Bremsen. Im Kern ist IT-Sicherheit Risiko-Management. Der digitale Fussabdruck eines Unternehmens wird immer grösser, es braucht einen ganzheitlichen und systematischen Ansatz, um diesen zu schützen. In diesem Kontext spricht Wagner von Vulnerability-Management. Dazu gehören automatisiertes Scanning, Pentesting, Attack Surface Management – um überhaupt alle Systeme herauszufinden –, Bug-Bounty-Programme und Vulnerability-Disclosure-Programme.

Die Schweizer Gesellschaft in Bewegung bringen

Für den CEO von Dreamlab Technologies, Nicolas Mayencourt, steht die holistische Betrachtung der Cyber-Landschaft im Vordergrund. Cyberrisiken betreffen alle. Jedes dritte Schweizer Unternehmen war schon Opfer von Cyberkriminalität, mit einem durchschnittlichen Schaden im Wert von CHF 6 Mio. Die tägliche Anzahl digitaler Delikte ist mit 83 nur leicht unter der Anzahl physischer. Es verbirgt sich aber eine enorme Dunkelziffer dahinter. Mayencourt spricht einen dringlichen Appell an alle aus: «Hört auf naiv zu sein!»

Warum tut die Schweiz zu wenig?

Die Schweiz gilt als innovatives Land. Seit einem Jahrzehnt stehen wir auf Platz 1 des Global Innovation Index von der Weltorganisation für geistiges Eigentum. Gleichzeitig stehen wir auf Platz 42 im Global Cyber Security Index – nach Zypern, vor Ghana. Wir investieren systematisch in die Grundforschung, tun aber zu wenig, um die Daten und die Stabilität unserer Systeme zu schützen.

«Im Internet ist jeder ein Ziel. Cyberkriminelle sehen keine Menschen, sondern IP-Assets.» (Nicolas Mayencourt, CEO von Dreamlab Technologies)

Warum tun wir zu wenig? Mayencourt glaubt, es liegt an fehlendem Verständnis und einer falschen Einschätzung der Tragweite. Die Grundsensibilisierung ist vorhanden, jedoch glauben viele Unternehmen fälschlicherweise, dass sie zu wenig wichtig und deshalb kein Ziel seien. Mayencourt sagt, dass wir im Internet alle potenzielle Ziele von Cyberkriminellen sind – denn sie sehen nicht Menschen, sondern lediglich IP-Adressen.

Cyber: von allen physischen Limitationen befreit

Die Menschheit kann gut mit den Dimensionen Land, Wasser, Luft und All umgehen. Diese Bereiche haben wir weitgehend erforscht und unsere «Freeze-, Fight- or Flight-Response» ist entsprechend darauf abgestimmt. Cyber liegt aber über all diesen Dimensionen und ist von allen physischen Limitationen befreit. Im hyper-vernetzten Cyber-Raum sind wir alle miteinander verbunden, eingebettet und abhängig.

Das Cyber-Radarbild von CyObs liefert eine holistische Sicht über die Situation eines Unternehmens und zeigt die externen Angriffsflächen und Blind Spots auf. Bezogen auf die Schweiz als Land zeigt dieser Radar den Handlungsbedarf auf. 2019 wurden 42’220 bekannte kritische Sicherheitslücken gemessen, 2021 stieg die Zahl auf 113’780.

Was ist die Lösung?

In der von Oliver Ittig, Studiengangsleiter des BSc Informatik an der FFHS, geleiteten Diskussion sind sich die Referierenden alle einig: Die Menschen müssen die Betroffenheit spüren. Hierbei hilft eine offene Fehlerkultur. Unternehmen sollten sich nicht über einen Cyberangriff schämen, sondern ihre Erfahrungen offen teilen, damit andere davon lernen können. Die Gesellschaft muss auch in die gezielte Aus- und Weiterbildung von Fachkräften investieren, mit bereichsspezifischem Kompetenzaufbau und Fokus auf Cybersecurity.