Das Schweizer Security-Unter­nehmen Futurae hat seine Wurzeln in der Systems Security Group der ETH-Zürich. Mit seiner Authentifizierungsplattform konnte die Firma über 110 Kunden, wie die SIX Group, Santander, Versicherungen, Spitäler oder Kantone gewinnen. Neben ihrer Arbeit als Futurae-CEO ist Mitgründerin Sandra Tobler in der Schweizer Startup-Szene engagiert. Sie ist Board-Mitglied der Kick Foundation (Startupticker und Venturekick) oder der Swiss Startup Association und regelmässig – wie demnächst an den Winterthurer Startup Nights – als Speakerin anzutreffen. Im Gespräch mit inside-it.ch erklärt sie, was Cybersicherheit mit der Unternehmenskultur zu tun hat und plädiert für den Innovationsstandort Schweiz.

Welche Herausforderungen kommen in den nächsten Jahren in Sachen Cybersicherheit auf uns zu? Sandra Tobler: Die weitere Professionalisierung der Kriminellen. Unternehmen werden mit immer raffinierteren Angriffen konfrontiert. Phishing-Angriffe werden ausgeklügelter und das Tempo, mit dem neue Angriffsmethoden auf uns zukommen, steigert sich zusehends. Unternehmen können nicht einfach eine Checkliste abarbeiten und sich auf der sicheren Seite fühlen.

Gibt es etwas, dass Ihnen schlaflose Nächte bereitet? Nein, aber die Dinge, die mich bewegen, gehen in genau diese Richtung. Man kann sich das vorstellen, wie ein Katz-und-Maus-Spiel. Einerseits müssen wir die Trends auf der Betrugs-Seite überwachen. Wir müssen wissen, wie Dinge sich verändern und wie wir neuen Angriffsmethoden gerecht werden können. Das ist aber auch spannend, Futurae kommt ja aus der Forschung und wir sind über das Netzwerk der ETH global mit Forschern, die sich unserem Thema widmen, vernetzt.

Was tun Sie? Wir evaluieren ständig, wie sich Angriffsszenarien verändern, so dass wir unsere Kunden besser schützen können. Und zwar so, dass es für sie möglichst ohne grossen Supportaufwand umsetzbar ist. Wenn beim End-User zum Beispiel neue Smartphone-Geräte zum Einsatz kommen, müssen digitale Dienstleistungen in hochregulierten Märkten sofort und auf sichere Art reaktiviert werden können, ohne dass sich Nutzer an den Support wenden müssen. Deshalb ist meiner Meinung nach die Spezialisierung im Produkt so wichtig. Authentifizierung ist ein kleiner Teil der Security-Infrastruktur, der aber Kriminellen gegenüber hoch exponiert ist. Auch ist es der erste digitale Berührungspunkt, den wir mit Online-Dienstleistungen haben und was wir tagtäglich zu spüren bekommen, wenn es nicht gut umgesetzt ist.

In Ihrer Rolle sehen Sie vermutlich tief in die Unternehmen. Wo schlampen Firmen am meisten in Sachen Security? Ich sehe in viele unterschiedliche Firmen hinein und höre auch ab und zu: "Das haben wir selber gebaut, das funktioniert super." Dann läuten bei mir die Alarmglocken. Wenn man sich dann die Teams dieser Firmen anschaut und erkennt, wie wenig bis gar kein Informationssicherheits-Know-how vorhanden ist, muss man sich schon wundern, wie naiv Leute an solch heikle Themen herangehen. Informationssicherheit verändert sich so schnell. Es geht nicht nur darum schnell etwas zu "fixen", sondern auch darum, wie man ein Produkt ständig auf dem neusten Stand hält, um neuen Gefahren gegenüber zu bestehen. Solche Aussagen können ein Zeichen dafür sein, dass organisatorisch vielleicht auch andere Dinge in der IT-Sicherheit nicht ganz so gut laufen. Hier geht es um die Risikoabwägung und die Frage, wo und wie verwende ich meine limitierten Ressourcen am besten.

Da ist nicht jeder Kunde gleich… Kulturell sieht man riesige Unterschiede zwischen Firmen. Sind wir ehrlich, jedem kann etwas passieren. Wir alle können in einer Form von Onlinebetrug betroffen werden. Es geht jedoch darum, alles Mögliche zu unternehmen, wie man die Hürden für Kriminelle erhöht und wie man als Firma mit Vorfällen umgeht. Awareness allein reicht da nicht. Wenn man etwa nach einer Phishing-Kampagne mit dem Finger auf Leute zeigt, die auf falsche Phishing-E-Mails hereingefallen sind, ist man keinen Schritt weiter. Firmen, die eine offene Fehlerkultur pflegen, gehen erfahrungsgemäss besser mit Krisensituationen um, entdecken auch Betrug schneller und agieren besser als Team solche zu bewältigen und daraus Lehren zu ziehen.

Wenn Sie könnten, wozu würden Sie jede Firma zwingen? Jedem Unternehmen ein starres Gerüst aufzuzwingen, bringt nichts. Spannend ist die Frage, wo Information Security angesiedelt ist. Rapportiert der Verantwortliche für Informationssicherheit (CISO) an die IT oder sieht sich das Business in der Verantwortung? Auch das Budget ist relevant: Wenn der CISO immer um Geld kämpfen muss, ist das Narrativ falsch. Das Thema Security muss in einer Organisation strategisch besetzt sein und die Verantwortlichkeiten müssen klar definiert werden. Hier kommt mit der neuen Datenschutzregulierung in der Schweiz auch die Haftbarkeit des Verwaltungsrats ins Spiel.

Wo sehen Sie die Rolle des Staates und was könnte die Schweiz besser machen? Mit dem National Security Centre (NCSC) haben wir eine wertvolle Institution, die unter anderem auch aktiv auf Firmen zugeht. Und dies manchmal, bevor die Firma überhaupt weiss, dass sie von einer Lücke oder einem Angriff betroffen ist. Daneben gibt es eine Reihe von Initiativen, die Awareness schaffen und das Thema vorantreiben.

Aber, ich merke immer wieder, dass eine ganz grundsätzliche "Hygiene" für den Umgang mit Digitalem nicht immer verstanden wird. "Ich bin für einen Angreifer doch eh nicht interessant", hört man viel zu häufig. Professionelle Cyberkriminelle gehen dorthin, wo die Hürde am geringsten ist, und verwenden die so erbeuteten Datensätze weiter. Gleichzeitig haben viele Leute das Gefühl, dass beispielsweise Onlinebanking unsicher ist. Dabei bin ich überzeugt, dass der Finanzbereich aktuell eine der fortgeschrittensten Informationssicherheits-Infrastrukturen hat. Banken haben viele Jahre Erfahrung, während andere Bereiche erst lernen, Dienstleistungen online anzubieten.

Firmen wie Google oder hierzulande auch Digitec Galaxus pushen die Zwei-Faktor-Authentifizierung. Wie beurteilen Sie das? Beginnen User aus Bequemlichkeit noch mehr zu schlampen, wenn es in der Anwendung mühsam wird? 2FA ist eine sehr gute und wichtige Sache, um die Hürde für Kriminelle zu erhöhen. Natürlich soll es nicht auf Kosten der Nutzerfreundlichkeit gehen. Mittlerweile gibt es aber genügend Technologien, die eine einfache Anwendung möglich machen, sei es Fido2, passwortlose Methoden, die Einbettung der Authentifizierung in Mobile Business Applikationen oder Adaptive Authentisierung, die für Nutzer nicht bis marginal spürbar ist. Je nach Kontext gibt es genügend Software- oder Hardware-basierte Möglichkeiten, eine sichere Lösung zu finden. Aber es gibt keine Ausrede, das nicht sauber zu designen und für den User bequem zu machen. SMS-basierte Authentisierungslösungen werden immer öfter ersetzt, da sie im Vergleich weniger Sicherheit bieten.

Die Awareness für Security ist in den letzten Jahren gestiegen. Das wirkt sich auch auf das Business von Futurae aus, darf man annehmen. Unsere Kunden hatten zuvor entweder keine Authentifizierungs-Lösungen oder ersetzen Legacy-Lösungen. Es ist ein grosses Thema für sie, da es der erste Berührungspunkt der Kunden mit ihren digitalen Dienstleistungen ist. Ich vergleiche das gerne mit der Renovation eines Hauses. Innen wird alles ausgebaut und modern ausgestattet, aber dann wird eine schäbige Eingangstür belassen. Bei Unternehmen ist hier die Awareness klar gewachsen. Entsprechend können wir als Firma auch in neue Märkte und Industrien dringen. Futurae hat auch immer mehr europäische Kunden. Neben der DACH-Region haben wir diese in Frankreich, Italien, UK und Griechenland. Derzeit sind wir daran, Teams in diesen Ländern weiter aufbauen.

Finden Sie die Fachleute dazu? Das ist für uns als Scale-up eine Herausforderung. Gerade in der Schweiz hat man mit der Finanzbranche und den Technologie-Riesen eine Konkurrenz, die wahnsinnige Löhne zahlen können. Hier können wir mit einer Stock-Option nur bedingt mithalten. Futurae kommt aus der ETH, entsprechend haben wir noch gute Beziehung zu den Hochschulen. Gleichzeitig versuchen wir, uns in der Aus- und Weiterbildung zu engagieren und unseren Mitarbeitern vielseitige Weiterentwicklungsmöglichkeiten und spannende Verantwortungsbereiche zu bieten.

Abschliessend, was liegt Ihnen als Startup-Mitgründerin am Herzen? Ich habe die "Swiss Cyber Security Startup Map" mitgegründet. Hier arbeiten wir an einem Inventar von Produkt-Innovationen aus der Schweiz, was es Entscheidern einfacher macht zu sehen, was es lokal alles gibt. Ich appelliere immer daran, auch mit lokalen Innovatoren zu arbeiten. Denn es gibt viel Potenzial für Schweizer Firmen, auch global bekannt zu werden. Ich sehe immer wieder Entscheidungsträger, die international nach Technologien scouten, die aber auch in der Schweiz vorhanden wären. Ich versuche mich dafür einzusetzen, die Visibilität der lokalen Innovation zu verbessern und so auch für Erfolgsgeschichten zu sorgen. Das wiederum kann zum Ökosystem und der Standortförderung beitragen.

Interessenbindung: Das Interview wurde im Vorfeld der Startup Nights in Winterthur geführt. Inside-it.ch ist Medienpartner der Veranstaltung.