«Cyber Security hat eine beispiellose Wachstumsgeschichte geschrieben»
Die FFHS bietet seit Herbst 2023 den BSc Cyber Security an. Von Anfang an gab es vollbesetzte Klassen. Warum Fachkräfte für Cybersicherheit weltweit fehlen, was den Bachelorstudiengang an der FFHS auszeichnet und wie wir alle unsere Daten effektiv schützen können, erklärt Dr. Peter Berlich, Fachbereichsleiter Cyber Security im Interview.
«Cyber Crime ist heute eine eigene Industrie», sagt Dr. Peter Berlich, Fachbereichsleiter Cyber Security.
Dr. Peter Berlich, Anrufe von Fake-Polizisten, Schweizer Parlamentarier werden von Staatshackern attackiert − Cyberattacken sind allgegenwärtig und es kommt täglich zu Angriffen. Ist Cybersicherheit eine unserer grossen Herausforderungen?
Ich glaube, das ist inzwischen unbestreitbar und ich kenne auch niemanden, der es ernsthaft in Frage stellt. Wir leben nach zwei Jahrzehnten der Digitalisierung in einer Welt, in der wir von Computern in allen Aspekten unseres persönlichen, geschäftlichen und gesellschaftlichen Lebens profitieren. Diese sind aber leider nicht immer auf dem aktuellen Stand der Technik und sie sind auch nicht immer optimal geschützt. Sobald es etwas zu holen gibt, finden sich natürlich interessierte kriminelle oder eben auch staatliche Akteure, die jede Schwäche ausnutzen. Cyber Crime ist heute eine eigene Industrie. Dieser Situation müssen wir uns jeden Tag stellen, das heisst: In unseren Schutz investieren.
Mit der unsicheren Weltlage und dem Aufkommen technischer Umwälzungen wie künstlicher Intelligenz hat sich die Bedrohungssituation verändert. Stimmen Sie zu?
Die beiden erwähnten Trends sind zwei aus einem ganzen Konglomerat von Faktoren. Die Verschlechterung der Weltlage und das Aufkommen künstlicher Intelligenz datieren beide rein zufällig etwa zwei Jahre zurück. Das ist ein historischer Zufall, der die heutige Situation einerseits wesentlich bestimmt. Andererseits gibt es Wirtschaftskrisen, technische Innovationszyklen, das schon erwähnte Aufkommen krimineller Geschäftsmodelle, Digitalisierung, Bevölkerungswandel und Klimakrise – alle wirken auf die eine oder andere Weise auf unsere Sicherheitslage und damit auf das vorzuhaltende Sicherheitsdispositiv zurück. Kurz gesagt – wie auch immer die Weltlage wäre, es ist für mich unvorstellbar, dass wir in irgendeinem Szenario auf den Unterhalt und Ausbau unserer Cyber Security verzichten könnten. «Gelegenheit macht Diebe» heisst es, und genauso schaffen unsichere Systeme einen Anreiz, sie anzugreifen. Die erwähnten Trends führten allerdings dazu, dass lange gehegte Annahmen sehr kurzfristig in Frage gestellt werden mussten. Gesellschaft, Politik und Unternehmen brauchen Zeit, sich darauf einzustellen. Gewisse Investitionen in IT-Infrastruktur müssen vielleicht abgeschrieben und neue getätigt werden, eine Organisation muss ihre Kultur an die geänderte Lage anpassen und gleichzeitig in der Lage bleiben, die sich ergebenden Chancen zu nutzen. All das erzeugt tatsächlich eine brisante Mischung und plötzlich gibt es in der Cyber Security jede Menge Arbeit.
Ransomware-Angriffe auf Schweizer Unternehmen waren beispielsweise im zweiten Halbjahr 2023 rückläufig – dennoch können Unternehmen jeden Tag gehackt werden. Experten sagen, dass es oft an der Schwachstelle Mensch liegt: konkret, dass Mitarbeitende zu wenig geschult sind?
Ich finde es zu kurz gegriffen, Mitarbeitenden den Schwarzen Peter zuzuschieben. Mitarbeiterschulungen sind hilfreich, wenn sie nachhaltig, didaktisch gut aufbereitet und zielorientiert sind, aber wir können und müssen viel mehr tun. Auch optimal geschulte Mitarbeitende können Angriffspunkte in einer IT-Infrastruktur oder in Abläufen nicht allein durch Sorgfalt kompensieren. Daher muss das Unternehmen durch den Einsatz ausgebildeter Fachkräfte, ein wirksames Sicherheitsmanagementsystem und technische Schutzmassnahmen für Resilienz sorgen. Die Situation, in der alles einzig davon abhängt, dass niemand einen gefährlichen Mailanhang öffnet oder den falschen Link klickt, sollte im Idealfall nie vorkommen. Matchentscheidend ist zweitens eine gesunde Fehlerkultur. Mitarbeitende müssen darauf vertrauen können, Fehler zugeben oder melden zu dürfen, ohne dass dies für sie negative Konsequenzen hat. Sonst bleibt die Meldung, die eine rechtzeitige Reaktion und eine darauf aufbauende laufende Verbesserung ermöglicht hätte, vielleicht aus.
Es braucht dringend Fachkräfte für die Cybersicherheit. Schätzungen zufolge fehlen weltweit rund drei Millionen von solchen Fachkräften, woran liegt das?
Das liegt zum einen an der rasanten globalen Digitalisierung, die einerseits den Markt vergrössert, andererseits einen enormen Nachholbedarf zur Absicherung der neu geschaffenen digitalen Dienstleistungen und Güter schafft. Der Beruf des Cybersicherheitsexperten hat sich in den letzten Jahrzehnten als eigenständiges Berufsbild herausgebildet. Heute erkennen Unternehmen jeder Grösse an, dass sie Sicherheitsexpertise brauchen, selbst wenn sie diese nicht immer sofort bereitstellen können. Was die Schweiz angeht, ist die Frage mit der IWSB-Bedarfsprognose 2030 für den ICT-Fachkräftemarkt gut erforscht. Neben der Digitalisierung sind die Haupttreiber das Wirtschaftswachstum und gleichzeitig der beginnende Rückzug der geburtenstarken Jahrgänge aus dem Arbeitsmarkt. Die Schere, die sich da auftut, wird sich aller Voraussicht nach bis zum Ende des Jahrzehnts weiter öffnen.
Die FFHS hat reagiert und den BSc Cyber Security lanciert. Gestartet ist der Studiengang erstmals im Herbst 2023 – erfolgreich. Die Nachfrage ist also da?
Die Nachfrage hat unsere Erwartungen sogar übertroffen und wir sind froh, auf diese Weise einen Beitrag zur Behebung des Fachkräftemangels in diesem wichtigen Bereich leisten zu können. Wir hatten von Anfang an praktisch vollbesetzte Klassen und die starke Nachfrage für den nächsten Jahrgang im HS 2024/2025 mit Start am 1. August lässt hoffen, dass wir uns nochmals steigern können. Noch sind einige Studienplätze verfügbar.
Was zeichnet den BSc Cyber Security an der FFHS aus?
Wir statten unsere Studierenden mit einem breiten Spektrum von Fähigkeiten auf aktuellem Stand aus, die das umfangreiche Fachgebiet abdecken. Mit einem Studiengang in Cyber Security ermöglichen wir eine frühe und damit zeitsparende Spezialisierung, die unseren Absolvierenden einen Startvorteil verschafft. Im informatikzentrierten Grundstudium legen wir eine solide Basis, die später Chancen offenhält. Im Hauptstudium fokussieren wir dann bis zur Abschlussarbeit ganz auf Security. Zusätzlich bieten wir mit unserem flexiblen Fernstudium ein wichtiges Alleinstellungsmerkmal.
Werden den Studierenden nach ihrem Abschluss alle Türen in dieser Branche offenstehen?
In den letzten Jahrzehnten hat die Cyber Security eine beispiellose Wachstumsgeschichte geschrieben, von manchmal aus der Not geborenen technischen Insellösungen zu einer Disziplin in der Corporate Governance, die oft mit am Vorstandstisch sitzt. Die Chancen sind also da.Es gibt aber nirgends eine Garantie auf den Wunschjob: Dazu gehören Einsatz, Neugierde mit Willen zum lebenslangen Lernen und Enthusiasmus. Aus persönlicher Erfahrung sehe ich die Begeisterung für das Fach als wichtigsten Erfolgsfaktor, alles weitere folgt daraus.
Haben Sie zum Abschluss noch Tipps, wie wir im persönlichen Umfeld Daten wirksam schützen können?
Ich möchte drei einfach umsetzbare Massnahmen herausgreifen. Die Websites der Datenschutzbeauftragten und des NCSC bieten darüber hinaus ausführliche Informationen für Anwender. Beginnen wir mit Ihren Daten: Eine einfache Massnahme ist Datensparsamkeit, salopp gesagt: Regelmässig ausmisten und nur Daten behalten, die man wirklich braucht. Von diesen – auch auf dem Mobiltelefon – sollte man dann aber auch regelmässig Sicherungskopien ziehen. Der zweite Punkt sind Benutzerberechtigungen: Viele Websites verlangen, dass man einen «kostenlosen» Account anlegt. Mit solchen Aufforderungen sollte man kritisch umgehen. Für alle Benutzerberechtigungen lohnt sich dann die Verwendung eines Passwortmanagers. Damit lassen sich sichere, einzigartige Passwörter erzeugen und verwalten. Zu guter Letzt: Halten Sie Ihre Software aktuell. Spielen Sie Software- und Betriebssystem-Updates immer zeitnah ein. Ein Gerät, dass diese nicht mehr unterstützt, sollte nicht weiter betrieben werden. Je nach Plattform empfiehlt sich zusätzlich die Installation einer Antiviren-Lösung, um sich und andere vor Schadsoftware zu schützen.