Cybersecurity? Challenge accepted
24.04.2024, 10:00 Uhr
«Das Sicherheitsdenken ist gestiegen»
Unabhängig von der Swiss IT Studie stellt auch Thomas Holderegger, der «Security-Kopf» bei Accenture, ein zunehmendes Sicherheitsdenken bei Schweizer Unternehmen fest.
«Vertrauen in IT-Technologien ist vielschichtig: Es geht ums Vertrauen in das Funktionieren, aber auch ums Vertrauen in die Nutzung.»
(Quelle: Accenture)
Draussen pulsiert das geschäftige Zürich. Die Trams fahren pünktlich, die Limmat glitzert um die Wette mit den Juweliergeschäften. Es ist die Oberfläche einer heilen Welt. Hinter den digitalen Kulissen sieht es anders aus, weiss Thomas Holderegger. Als Mister Cybersecurity bei Accenture ist er bestens vertraut mit den Gefahren der Digitalisierung.
Computerworld: Herr Holderegger, werfen wir zuerst einen Blick zurück in die jüngste Vergangenheit. Das Motto beim WEF in Davos hiess «Wiederaufbau des Vertrauens». Sie waren vor Ort. Wie haben Sie das Wirtschaftstreffen erlebt?
Thomas Holderegger (lacht): Am meisten aufgefallen ist mir der Stau in Davos. Ich war nur einen Tag lang dort und primär im digitalswitzerland Village. Aber man bekommt natürlich schon sehr viel mit, zumal dort neben dem WEF-Konferenzprogramm viele interessante Podiumsdiskussionen stattgefunden haben. Grosses Thema war natürlich Künstliche Intelligenz, insbesondere GenAI. Von digitalswitzerland wurden verschiedene Workshops zu diesem Thema durchgeführt. Allgemein waren nebst der Politik die verschiedenen Aspekte der Digitalisierung omnipräsent. Und um den Bogen zum Leitmotiv zu spannen: Ja, Digital Trust – und damit verbunden Cyber Security sowie Cyber Resilience – stand ganz oben auf der Agenda.
Computerworld: Nicht nur in Davos wurde die Themen Vertrauen und Sicherheit adressiert. Auch die Swiss IT Studie zeigt, dass Cybersecurity aktuell auf Rang 1 der Schweizer IT-Agenda rangiert. Warum ist dieses Thema plötzlich so wichtig?
Holderegger: Die Bedeutung, aber auch die Abhängigkeit von reibungslos funktionierenden, sicheren IT-Systemen rückt zunehmend ins Bewusstsein. Gleichzeitig werden die Auswirkungen der digitalen Welt auf die reale Welt immer spürbarer. Beispielsweise vernetzen immer mehr Unternehmen ihre physischen Produktionsstrassen mit IT-Netzwerken, womit neue Cybergefahren entstehen. Plötzlich können Cyberattacken auch physische Systeme wie Fertigungsroboter oder Industrieanlagen betreffen und lahmlegen. Das kann durchaus auch zu physischen Gefahren führen wie Verletzungen oder Brände. Oder nehmen wir nur die Verbreitung von digital veränderten Bildern oder über soziale Netzwerke gestreute Fake News. Sicherheit hat sehr viel mit Vertrauen zu tun. Das wirft sehr viele Fragen auf, gerade in demokratischen Gesellschaften. Okay, wir können sagen, meine Daten gehören mir. Aber digital gesehen sind diese Informationen irgendwo gespeichert. Vertrauen in IT-Technologien ist vielschichtig: Es geht ums Vertrauen in das Funktionieren, aber auch ums Vertrauen in die Nutzung. Wie können wir Vertrauen schaffen? Das WEF-Motto war nicht so schlecht gewählt, finde ich.
Computerworld: Zoomen wir von der Weltbühne ins helvetische Umfeld. Ich vermute, dass die Davoser Themen auch digitalswitzerland beschäftigen. Allerdings glaube ich kaum, dass ihr dort über Dinge wie regelmässigen Passwortwechsel oder das Einspielen von Updates sprecht...
Holderegger: Das ist zwar auch wichtig, aber das Cybersecurity-Komitee, welches ich präsidiere, hat doch noch ein paar andere Themen. Wir pflegen den regelmässigen Dialog rund um das Thema IT-Sicherheit. Zu den Mitgliedern des Komitees gehören zum Beispiel die CISOs von SBB, Post, UBS, Swisscom oder Swissgrid sowie relevante Players und Vendors aus der Schweizer Cybersecurity-Szene. Vertreten sind auch Behörden wie das VBS oder die Forschung und Lehre wie die ETH Zürich. Ziel des Gremium ist es, Wirtschaft, Verwaltungen und Politik kompetent im Bereich Cybersecurity zu beraten. Wir bringen Exponenten und Experten zusammen und verstehen uns als Sounding Board. Dabei greifen wir auch Aktuelles auf und diskutieren über politische Themen wie im Fall des NCSC (National Cyber Security Centre) beziehungsweise des Bundesamtes für Cybersicherheit (Bacs).
Computerworld: Im Moment erleben wir die Reduktion von Digitalisierung auf das Thema Sicherheit. Auch die KI erzeugt bei vielen Verunsicherung. Können Sie das nachvollziehen?
Holderegger: Ja und nein. Bei der KI gibt es verschiedene Ängste. Gar nichts halte ich von der ultimativen «Terminator-Angst», bei der die Maschinen die Kontrolle übernehmen und die Menschen vernichten. Völlig unrealistisch. Mehr Verständnis habe ich für die KI als Jobkiller; als Historiker weiss ich allerdings, dass wir schon unzählige Male in der Menschheitsgeschichte disruptive Technologiewechsel erfolgreich überlebt haben – und jedes Mal haben sie zu höherer Produktivität geführt, nicht zu tieferer. Was mich am meisten beunruhigt, ist aber der mögliche Missbrauch der Technologie in Form von Manipulationen.Hier müssen wir eine Lösung finden, um von KI erzeugte Inhalte klar zu kennzeichnen.
Computerworld: ... was dann auch beim Phishing oder bei den Fake News zur Anwendung kommt.
Holderegger: Richtig, aber wiederum nicht nur. KI hilft zwar Cyberkriminellen, täuschend echte Mails und Bilder zu erstellen. Aber KI hilft auch enorm bei der Früherkennung und der Ermittlung von Cyberangriffen. Damit lassen sich beispielsweise Muster erkennen, bevor es zum Angriff kommt, oder die Komplexität eines Angriffs besser verstehen als jemals zuvor. Jede Technologie, jedes Werkzeug kann man gebrauchen oder missbrauchen. Am Ende aller KI steht dann doch wieder der gesunde Menschenverstand. Wenn wir diesen einsetzen, sind wir gegenüber KI unschlagbar.
Computerworld: Dann braucht es aus Ihrer Sicht keine expliziten Einschränkungen oder neue Gesetze im Bereich Cybersecurity?
Holderegger: Regulierungen werden immer wieder diskutiert. Ich erachte das als zweischneidiges Schwert. Eine besondere Sorgfaltspflicht braucht es bei kritischer Infrastruktur. Auch die Wirtschaft als Rückgrat unserer Gesellschaft sollte bis zu einem Grad in die Pflicht genommen werden. Allerdings müssen wir Mass halten, damit wir uns nicht vor lauter Sicherheitsvorschriften selbst blockieren. Ehrlich gesagt, dürfte es auch nicht einfach sein, präzise, allgemein gültige Vorschriften zu erlassen. Abgesehen von den Einschränkungen für Wirtschaft und Gesellschaft, stellen Sie sich nur mal den administrativen Aufwand vor!
Computerworld: Eine Accenture-Studie zeigt, dass 74 % der befragten CEOs ihre Unternehmen als zu wenig geschützt gegen Cyberattacken betrachten, obwohl für 96 % die Cybersicherheit von zentraler Bedeutung ist. Warum diese Divergenz?
Holderegger: Das Sicherheitsdenken ist in den letzten Jahren nachweislich gestiegen. Das Problem ist die Ressourcenknappheit. Heute braucht es für ein grösseres Unternehmen enorm viel Kapital, um einen häufig vorhandenen Rückstand, beispielsweise bei den Cyberoperations, aufzuholen. Um Topexperten an Bord zu holen, muss man schon ein sehr spannendes Unternehmen sein oder über viel Geld verfügen. Man kennt zwar das Risiko, kriegt aber keine Fachleute. Aber ich muss auch sagen, dass es noch immer Firmen gibt, welche das Problem vor sich herschieben, weil andere Dinge vermeintlich gerade wichtiger sind – wenn auch weniger als auch schon.
“Am Ende aller KI steht dann doch wieder der gesunde Menschenverstand. Wenn wir diesen einsetzen, sind wir gegenüber KI unschlagbar.„
Thomas Holderegger
Computerworld: Cyberdefense oder Cybersecurity. Welchen Begriff bevorzugen Sie?
Holderegger: Wir leben in einem demokratischen, gut funktionierenden Staat. Die Digitalisierung und die digitale Wirtschaft sind für unser Land von grosser Bedeutung. Uns sind das Potenzial, aber auch die Risiken durchaus bewusst. Defense, also Verteidigung, ist aus meiner Sicht eine Reaktion auf eine akute Bedrohung und eher militärisch behaftet. Das ist in besonderen Fällen wichtig und richtig. Besser finde ich aber den Begriff Security. Er zeigt, dass es allen Akteuren ein Anliegen ist, für stabile, sichere und geschützte Verhältnisse zu sorgen und dass wir das Thema Digitalisierung in allen Bereichen ernst nehmen.
Zur Person und Firma
Thomas Holderegger hat an der Universität Zürich zuerst Geschichte studiert, forschte dann aber an der ETH im Bereich Sicherheitspolitik. Dabei wandte es sich zunehmend dem Thema Cybersecurity zu. Von der Melde- und Analysestelle Informationssicherung des Bundes (Melani) wechselte er zur UBS, wo er schliesslich ab 2018 als Global Head of Security IT fungierte. Seit Juni 2022 ist er Managing Director und Security Lead bei Accenture Schweiz sowie Präsident des Cybersecurity-Komitees von digitalswitzerland.
Accenture
Das Beratungsunternehmen bietet Dienstleistungen in Strategie, Consulting, Digitalisierung, Technologie und Operations an. Es unterstützt Kunden bei der Transformation ihrer Geschäftsprozesse durch Lösungen in Bereichen wie ICT, Cloud und KI. www.accenture.com
Das Beratungsunternehmen bietet Dienstleistungen in Strategie, Consulting, Digitalisierung, Technologie und Operations an. Es unterstützt Kunden bei der Transformation ihrer Geschäftsprozesse durch Lösungen in Bereichen wie ICT, Cloud und KI. www.accenture.com