"Bevor der Geist aus der Flasche ist, einfach mal das Hirn einschalten"

15. Februar 2024 um 10:36
image
"Im Fall des Bacs stellen sich mir einige wichtige Fragen": Cybersecurity-Experte Thomas Holderegger. Foto: zVg

Thomas Holderegger, Security Lead bei Accenture Schweiz, spricht über die aktuelle Sicherheits­lage, das Bacs und wer den KI-Wettlauf zwischen Angreifern und Verteidigern gewinnt.

Von Haus aus ist Thomas Holderegger eigentlich Historiker, an der ETH forschte er zur Sicherheitspolitik. Dank einem Nachdiplomstudium Information Security verlagerte sich seine Tätigkeit aber immer mehr in den Bereich Cybersicherheit. Ab 2004 arbeitete er als Analytiker für die neu gegründete Melde- und Analysestelle Informationssicherung des Bundes (Melani). Danach war er lange für die UBS tätig, zuletzt als Head of Security IT. Seit Juni 2022 ist er Managing Director und Security Lead bei Accenture Schweiz. Zudem präsidiert er das Security-Komitee von Digitalswitzerland. "Ich kenne daher Cybersecurity aus ganz verschiedenen Blickwinkeln", sagt Holderegger.
Die alljährlichen Risk-Reports von Allianz bis WEF sehen Cyberangriffe nach wie vor weit oben als Bedrohung. Wie schätzen Sie die aktuelle Lage in der Schweiz ein?
Grosse Organisationen haben das Thema recht gut im Griff, dazu gehören sicher die Banken. Für die Finanzindustrie waren regulatorische Gründe ein wichtiger Trigger, um in Cybersicherheit zu investieren. Andere Grossunternehmen hatten einen Zwischenfall oder einen anderen Weckruf, um zu merken: Wir müssen im Cyber-Operations-Bereich besser werden! Dann gibt es aber auch die, die den Zug verpasst haben und jetzt feststellen, dass es fast keine Möglichkeit mehr gibt, diesen Rückstand selber aufzuholen.
Wie ist die Lage bei den KMU?
Bei den KMU ist das Thema stark abhängig davon, ob es jemanden in der Geschäftsleitung gibt, der sich dafür interessiert. Die Ungleichheit zwischen den Unternehmen, die Cybersecurity professionell managen und bewirtschaften, und den anderen, wird immer grösser. Nur schon für mittelgrosse Unternehmen, die Security Operations aufbauen wollen, stellt sich die Frage: Wo finde ich fähige Leute, wie kann ich sie bezahlen, motivieren und über längere Zeit hinweg weiterbilden? Hier fehlen Ressourcen – kombiniert mit recht hoher Komplexität und Skills, die fast nicht durch ein einzelnes Unternehmen aufzubauen sind.
Wie lässt sich diese Herausforderung angehen?
Die Cloud kann eine Lösung sein: Sie bringt ein gewisses Level an Standardisierung und löst das Patching-Problem. Es geht aber nicht darum, dass alle Microsoft nutzen oder in der Google Cloud sitzen sollten, sondern es geht um den gesunden Menschenverstand bei solchen Themen. Ich glaube, die Standardisierung und die Homogenisierung unserer technischen Infrastruktur ist einer der wichtigsten Schritte, wenn man über Cybersicherheit spricht.
Wie sieht es beim Bund aus?
Für mich ist die Schweizer Herangehensweise, Cybersecurity mit einer Private-Public-Partnership anzugehen, genau die richtige. Es ist kein rein militärisches, politisches, wirtschaftliches oder gesellschaftliches Thema, es ist alles gleichzeitig. Die Zusammenarbeit zwischen Bund und Wirtschaft, die nicht zwingend auf Regulierung oder Bussen beruht, sondern auf vertrauenswürdiger Zusammenarbeit, ist der Schlüssel zum Erfolg. Die Schweiz hat das sehr früh verstanden. Das begann 2004 mit Melani und setzte sich mit dem NCSC oder dem Swiss Financial Sector Cyber Security Centre (FS-CSC) für die Finanzindustrie fort. Das sind Stellen, bei denen operative, aber auch strategische Informationen rund um Cybersicherheit ausgetauscht wurden und werden. Im Fall des NCSC beziehungsweise des Bundesamtes für Cybersicherheit (Bacs) stellen sich mir momentan allerdings einige wichtige Fragen.
Inwiefern?
Es geht weniger darum, ob das Bacs jetzt beim VBS oder EFD angesiedelt ist, das ist eine politische Frage. Wichtig ist, dass die Behörde richtig betrieben wird und man mit genügend Befugnissen und Mitteln ausgestattet ist. Da macht mir ein möglicher Brain Drain Sorgen, von dem man zuletzt gehört hat. Oder dass das zukünftige Staatssekretariat für Sicherheitspolitik für die IT-Sicherheit der Bundesverwaltung zuständig sein wird und nicht mehr das Bacs. Hier muss ein Dialog beginnen: Was bedeutet das für das Bacs und dessen Mittel? Wenn verloren ginge, was das NCSC in den letzten 15 Jahren in Knochenarbeit und auf sehr gute Weise aufgebaut hat, wäre das enorm schade.
Ein wichtiges Security-Thema ist zurzeit der Einsatz von KI.
Das ist ein Trend-Thema, natürlich. Seit ChatGPT und andere Large Language Models aufgekommen sind, ist es für Cyberkriminelle einfacher, schlauere Social-Engineering-Attacken zu fahren. Ich rede von den typischen Ransomware-Angriffen und Spam-E-Mails, die nicht mehr in holprigem Deutsch daherkommen. Angriffsvektoren sehen mit weniger Aufwand viel professioneller und echter aus. Ich spreche aber nicht von Supply-Chain-Angriffen wie Solarwinds, durchgeführt von wahrscheinlich russischen, staatlich gesponserten Hackern. Die werden mit KI nicht viel schlauer, denn da stecken schon ganz viele Mittel und wirklich schlaue Menschen dahinter.
Nicht nur Cyberkriminelle, auch Cybersecurity setzt verstärkt auf KI.
Natürlich nehmen auch die Fähigkeiten der Verteidigung massiv zu. Dank KI ist es viel einfacher, Patterns zu erkennen. Wenn ein Log-File auftaucht, auf dem Server X oder auf jenem Endpoint, können wir erkennen, dass sich ein Angriff abspielt, wie dieser abläuft und wo er herkommt. Wir können schneller Daten zusammenstellen und daraus Erkenntnisse für Cyber-Operations-Leute ableiten. Es ist ein typischer Fall einer neuen Technologie, die den Wettlauf zwischen Angriff und Verteidigung weiter befeuert und auf beiden Seiten für bessere Kapazitäten sorgt.
Wer gewinnt diesen Wettlauf?
Es bleibt spannend, zu beobachten, wie es weitergeht. Ich glaube, die Angreifer sind tendenziell immer schneller, und zwar, weil sie häufig besser zusammenarbeiten und Informationen miteinander austauschen. Aber auch, weil es halt einfacher ist, ein Phishing-Mail von ChatGPT erstellen zu lassen, als ein neues System einzuführen, um die Cyber-Defense zu verbessern. Es gibt zu wenig Cyber-Operations-Spezialisten, diese Kapazität muss aufgebaut werden. Darum ist man in der Verteidigung wahrscheinlich einen Schritt hinterher.
Welchen Einfluss haben Compliance oder Governance auf KI?
Dieser Punkt wird vielfach unterschätzt: Sobald jemand irgendetwas über ChatGPT oder Copilot fragt, verlässt das sofort das Unternehmen und wird in der Cloud bearbeitet. Das ist an und für sich nichts Negatives, aber als Unternehmer sollte man das verstehen und im Griff haben. Arbeitgeber müssen sich überlegen: Wie wollen wir KI nutzen, wie viel wollen wir unsere Mitarbeitenden machen lassen, was brauchen wir allenfalls für Kontrollen? Bevor der Geist aus der Flasche ist, einfach mal das Hirn einschalten.
Cyberkriminelle können KI aber nicht nur für Phishing-E-Mails, sondern auch für bessere Malware nutzen.
Das kann durchaus zum Problem werden, allerdings würde ich das aktuell nicht massiv überschätzen. Wer kriminelle Energie hat, für den gibt es bereits jetzt einen Markt, wo Malware-as-a-Service gekauft werden kann. Leute, die – ich sage es jetzt bewusst etwas polemisch – zu blöd sind, ihre Malware selber zu schreiben, haben nicht erst dank KI Möglichkeiten, um Angriffe durchzuführen.
Müssen sich auch Privatanwender, die zum Beispiel ChatGPT nutzen, vermehrt Sorgen machen?
Als Privatperson würde mich mehr beunruhigen, wo ich mit KI-Output berieselt werde, ohne es zu merken. Gerade, wenn man in einer Demokratie lebt, ist das eine sehr entscheidende Frage. Ebenfalls wichtig wird die Frage, was die Zunahme von Deepfakes bedeutet. Aber selber als Privatanwender KI auszuprobieren, solange man sie nicht nutzt, um anderen Personen Schaden zuzufügen, halte ich für interessant und mehr oder weniger ungefährlich.
Wenn Sie langfristig in die Zukunft blicken: Was bereitet Ihnen Sorge?
Die Quantentechnologie wird uns beschäftigen, vor allem auch kombiniert mit Encryption. Das ist, glaube ich, wie das Y2K-Problem: Man rennt darauf zu und weiss, dass etwas passieren könnte. Aber alle sagen: Das kommt dann irgendwann, wir haben noch Zeit. Ich weiss aus praktischer Erfahrung bei einem grossen Finanzunternehmen, wie schwierig nur schon ein einzelner Verschlüsselungs-Algorithmus in einer grösseren Organisation zu ersetzen ist. Das ist ein Albtraum. Wenn dieser Quanten-Schritt kommt, wird von einem Tag auf den anderen ein Teil der Verschlüsselungstechnologie nicht mehr sicher sein. Deshalb ist jetzt die Zeit, um es jetzt anzupacken, und nicht erst in 5 oder 10 Jahren.
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Jetzt unterstützen



Loading

Mehr erfahren

Mehr zum Thema

image

Zürcher Sicher­heits­direktion sucht CISO

Im Rahmen einer Nach­folge­regelung ist die Sicher­heits­direktion des Kantons Zürich auf der Suche nach einer oder einem Informations­sicher­heits­beauftragten.

publiziert am 16.4.2024
image

Deutsche Hilfe für Schweizer Drohnen

Der deutsche Rüstungskonzern Diehl Defence soll Drohnen des Schweizer Unternehmens Skysec Defence zur militärischen Drohnenabwehr weiter entwickeln.

publiziert am 15.4.2024
image

Erstes deutsches Bundesland setzt einen KI-Beirat ein

In Sachsen soll sich ein Beirat für digitale Ethik mit dem Einsatz von KI befassen. Ein solcher sei "dringend notwendig", so die Landesregierung.

publiziert am 15.4.2024
image

Zero-Day-Lücke bedroht PAN-OS-Software von Palo Alto

Während drei Wochen konnten Hacker über eine kritische Schwachstelle in den betroffenen Systemen Remotecode ausführen. Der Hersteller empfiehlt dringende Massnahmen.

publiziert am 15.4.2024