Im Gespräch erläutert Dr. Christophe Hauert, welches die grossen Gefahren für Unternehmen bei einem Cyberangriff sind, warum ein Zertifikat für Cybersicherheit einen Mehrwert bietet und welche Rolle die Versicherungswirtschaft im Cyber-Ökosystem spielt.
Herr Hauert, Sie sind Generalsekretär des gemeinnützigen Vereins Cyber-Safe. Was ist Ihre persönliche Motivation, sich für Cybersicherheit zu engagieren?
Meine Doktorarbeit in Politikwissenschaft habe ich zum Thema internationale Normen geschrieben. Inhaltlich ging es darum, wie Normen erstellt und wie sie vom Markt angenommen werden. Für mich war es interessant, die Brücke zwischen Technologie und gesellschaftlichen Fragen zu schlagen. Cybersicherheit ist ein gutes Beispiel dafür, denn es gibt nicht nur die technische Seite, sondern auch gesellschaftliche und organisatorische Aspekte. Mein Beitrag ist, dass ich mein Wissen zu Normen einbringen kann.
Warum braucht es den Verein Cyber-Safe?
2018 haben wir den Verein mit dem Label Cyber-Safe gegründet, mit dem Ziel, KMU bei der Erhöhung ihrer Cyberresilienz zu unterstützen. Zwei Gründe führten zu diesem Entschluss: Erstens war es für uns klar, dass Cybersicherheit für alle Organisationen wichtig ist, auch für kleinere Unternehmen. Sie arbeiten oft mit IT-Dienstleistern, und dabei zeigt sich häufig ein Vertrauensproblem. Unternehmen zögern bei Empfehlungen von IT-Dienstleistern, weil sie denken, diese wollten primär etwas verkaufen. Deshalb haben wir gedacht: Es braucht einen Drittanbieter ohne kommerzielles Interesse, der nur berät, um die Kompetenzlücke zu schliessen.
Zweitens sind die Kosten oft sehr hoch, denn fünfstellige Rechnungen wollen oder können sich viele KMU nicht leisten. Und häufig fehlt auch das Risikobewusstsein. Darum haben wir uns die Frage gestellt, wie wir für ca. 5000 Franken etwas Seriöses anbieten können, bei dem wir alle Aspekte berücksichtigen. Die Idee war, die Pareto-Regel umzusetzen, das heisst, mit 20 Prozent Aufwand 80 Prozent Wirkung zu erzielen.
Im Gespräch: Christophe Hauert, Generalsekretär des gemeinnützigen Vereins Cyber-Safe
Hinzu kommt, dass Cybersicherheit heute leider noch nicht zur Wettbewerbsfähigkeit von KMU gehört. Das wollen wir ändern. Wir sind überzeugt, dass es wirtschaftliche Anreize für KMU braucht, damit Unternehmen einen Mehrwert erhalten. Unternehmen investieren in Cybersicherheit, auch um das Vertrauen ihrer Kunden zu gewinnen.
«Cybersicherheit gehört heute leider noch nicht zur Wettbewerbsfähigkeit von KMU»
Es ist eine Herausforderung, im Markt Vertrauen zu gewinnen. Bei Cybersicherheit besteht der schwierigste Teil darin, die Unternehmen und insbesondere die KMU davon zu überzeugen, dass dieses Thema für sie wichtig ist. Deshalb haben wir einen partizipativen Ansatz für die Cybersicherheit gewählt. Wir wollten nicht nur IT-Spezialisten dabeihaben, die hätten wahrscheinlich einen Rolls-Royce entwickelt. So haben wir auch Nutzer, also KMU, an den Tisch geholt, um pragmatische Ansätze zu diskutieren. Somit sind die Anforderungen von Spezialisten auch umsetzbar.
Was ist Ihre Vision für das Label Cyber-Safe?
Wir wollen ein Ökosystem aufbauen, denn alleine schaffen wir es nicht. Wir müssen zusammenarbeiten. Wirtschaftliche Anreize können sein, dass KMU mit dem Label zum Beispiel eine günstigere Cyberversicherung bekommen oder leichter Aufträge von der öffentlichen Hand erhalten. Es muss immer auch einen wirtschaftlichen Mehrwert geben. Übrigens, Banken sollten auch an einem Label Interesse haben, wenn sie Kredite an KMU vergeben. Ziel ist zudem, dass möglichst viele Versicherer, die Cyberversicherungen anbieten, das Label anerkennen. Wir wünschen uns, dass auch Berufsverbände und Wirtschaftskammern das Thema angehen. Cybersicherheit sollte zum Standard werden.
Welches sind die grössten Gefahren für KMU?
Hier kommen wir zur Risikoanalyse. Die drei grossen Gefahren sind Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Ich frage jedes KMU, wie lange es ohne Datenzugriff arbeiten könnte. Was wären die Kosten, wenn alle Daten plötzlich öffentlich und für alle einsehbar wären? Hätte ein Datenleck und -verlust einen Einfluss auf den Umsatz? Die grossen Gefahren bestehen darin, dass die Vertraulichkeit verletzt wird oder Daten nicht mehr verfügbar sind.
Weshalb werden KMU Opfer von Cyberangriffen?
Cyberkriminalität ist Massenkriminalität. Hacker zielen auf alle. Sie gehen auf diejenigen, die klicken. Es ist falsch zu denken, dass meine Daten keinen Wert hätten. Dazu muss man unterscheiden: Es gibt einen Wert für die Daten im Darknet und einen Wert für das Unternehmen selbst, wenn sie nicht mehr verfügbar sind und wiederhergestellt werden müssen. Eine Offerte sollte man immer mit den möglichen Kosten vergleichen. Dann wird klar, dass diese vielleicht doch nicht so hoch sind und es sich um eine kluge Investition handelt.
«Die Frage ist nicht, ob ein Unternehmen von einem Cyberangriff getroffen wird, sondern wann.»
Wie können sich KMU effektiv schützen? Warum ist Prävention so wichtig?
Zu Beginn des Prozesses wollen wir wissen, wie viele Menschen bei einem Ausfall nicht mehr arbeiten können und wie hoch der Schaden in Franken ist. Das verstehen alle. Cybersicherheit macht man nicht für die IT, sondern für das Business. Es geht um das operative Risiko bei einem Ausfall.
Cybersicherheit ist kein punktuelles Projekt, es ist Chefsache. Es braucht klare Zuständigkeiten und ständige Qualitätskontrollen. Man sollte immer mit einer Risikoanalyse beginnen und sich dann die Fragen stellen: Wie schützen wir uns, welche Versicherung, welche Dienstleistungen nehmen wir in Anspruch? In anderen Worten: Welchen Grundschutz brauchen wir und mit welchem Risiko können wir leben? Dann werden Massnahmen getroffen. Man muss es in einer Kosten-Nutzen-Analyse sehen.
Prävention ist der kleinere Aufwand, der sich lohnt. Es ist wichtig, sowohl auf die Wahrscheinlichkeit als auch auf die Auswirkungen von Cyberrisiken einzuwirken. Zum Beispiel eine Sensibilisierungskampagne zum Phishing sollte die Wahrscheinlichkeit verkleinern, dass ein bösartiger Link angeklickt wird. Und eine gute Datensicherung sollte die Auswirkungen eines Cybervorfalls verringern. Somit sind Unternehmen besser geschützt, die Wahrscheinlichkeit für einen Cyberausfall ist geringer, und sie können im Fall eines Vorfalls auch mit einem kleineren Schaden rechnen.
Welche Rolle spielen Versicherer bei der Cyberprävention?
Versicherer sind wichtige Akteure im Cyber-Ökosystem. Wir erleben oft, dass es Missverständnisse gibt: Entweder wähle ich eine Cyber-Zertifizierung oder eine Versicherung. Aber das ist falsch, die beiden Massnahmen sind komplementär. Präventive Massnahmen sind deshalb immer nötig und auch Voraussetzung für eine Versicherung. Cyber-Versicherungsbedingungen sind ein wichtiger Hebel, um die Übernahme guter Praktiken bei Kunden zu verstärken. Dabei bieten Versicherer verschiedene Zusatzleistungen wie Incident Response oder ein Krisenmanagement-Team. Sie sind auch wichtig, weil sie das Thema Cyberrisiken auf den Tisch der KMU bringen. Sie haben oftmals eine langjährige Kundenbeziehung, was das Ansprechen dieses Themas erleichtert.
«Cybersicherheit für Unternehmen ist Chefsache und sollte zum Standard werden.»
Weshalb braucht es eine Zertifizierung für Cyberresilienz? Was sind die Vorteile?
Zu den Vorteilen einer Zertifizierung für Cyberresilienz gehört, dass die Unternehmen den verantwortungsbewussten Umgang mit Cyberrisiken zu einem Element ihrer Wettbewerbsfähigkeit machen. KMU wissen, wo sie stehen und was zu tun ist, und ein Zertifikat stellt sicher, dass die Grundschutzmassnahmen effektiv umgesetzt sind. Natürlich bleibt auch mit einer Cyber-Zertifizierung ein Restrisiko. Aber ohne Label gibt es keinen Mehrwert.
Auf dem Markt werden verschiedene Cyber-Zertifizierungen mit unterschiedlich hohen Kosten angeboten. Zum Beispiel kostet eine Zertifizierung nach ISO-Norm 27001 (Informationssicherheitsmanagementsystem) oft mehrere Zehntausend Franken. Deshalb sind wir ein gemeinnütziger Verein und ermöglichen einen Schutz mit meist vierstelligen Rechnungen. Wir haben das Label bereits bei 250 Organisationen implementiert, mehrheitlich KMU und Gemeinden.
Hand aufs Herz, Herr Hauert, sind Sie persönlich auch schon auf Phishing-Mails reingefallen?
Nein, oder nicht, dass ich wüsste (lacht). Wir erstellen unsere Phishing-Mails selbst und somit bin ich sensibilisiert. Das ist wahrscheinlich der Grund. Aber ich war auch schon zu vorsichtig. Wenn man unsicher ist, empfiehlt es sich, nicht auf den Link zu klicken und den Absender auf einem anderen Kanal zu kontaktieren, um den Inhalt zu verifizieren.
Zur Person:
Christophe Hauert (1978) hat an der Universität Lausanne in Politikwissenschaften promoviert. Seine Doktorarbeit befasst sich mit der internationalen Normung aus der Sicht der politischen Ökonomie und der Rolle der Verbraucher bei der Anerkennung und Annahme von ISO-Normen. Derzeit ist er Senior Researcher an der Universität Lausanne und Generalsekretär des Schweizer Labels für Cybersicherheit, des Labels Cyber-Safe, das von und für KMU und Gemeinden geschaffen wurde, um sie sicherer und widerstandsfähiger zu machen.
