Cyber Security Month 24: Interview mit John Madelin, einem der weltweit anerkanntesten Experten für Cybersicherheit (Teil 1)

Die amerikanische Non-Profit-Stiftung National Cybersecurity Alliance (NCA) fördert das Bewusstsein für Cybersicherheit. Zu ihren Kernaktivitäten gehört der «Cybersecurity Awareness Month» im Oktober. John Madelin verfügt über mehr als 25 Jahre Erfahrung in der Konzeption, dem Aufbau und der Verwaltung von Cybersicherheit. Er hat Sicherheitsteams geleitet, die weltweit Sicherheitsrisiken identifiziert, analysiert und gemindert haben.

Nach sechs Jahren bei Cognizant arbeitet John Madelin nun als Berater für die britische Regierung. thebroker hat sich mit ihm unterhalten.

Sie besitzen die doppelte Staatsbürgerschaft des Vereinigten Königreichs und der Schweiz. Wie kommt es dazu?

Meine Mutter stammt aus Bern – als ich jung war, reisten wir als Familie viel durch Europa und die USA, sodass die Schweiz ein stabiles Zuhause war. Ich hatte eine wunderbare Beziehung zu Grosi und Grossvatti in Bern, mit vielen glücklichen Erinnerungen, und mein Herz ist immer noch in der Schweiz! Mit etwa 18 Jahren liess ich mich aus verschiedenen praktischen Gründen in Grossbritannien nieder und lernte meine liebe Frau Sue kennen, deren Freunde und Familie in der Gegend von Maidenhead in Grossbritannien leben. Deshalb bin ich froh, in dieser neuen Gemeinschaft zu leben, und wir reisen nach Bern, wann immer wir können.

Was zeichnet die Zusammenarbeit von Regierung, Wirtschaft und Wissenschaft zwischen England und der Schweiz im Hinblick auf den nachhaltigen Schutz der Bevölkerung und der Wirtschaft vor Cyberkriminalität aus?

Dies ist eine trügerisch komplizierte Frage mit vielen historischen, kulturellen, geografischen und organisatorischen Nuancen.

Zunächst sollte ich erwähnen, dass ich im Laufe der Jahre Dienste für die britische Regierung aufgebaut und geleitet und einige beratende Funktionen sowohl für die britische als auch für die Schweizer Regierung wahrgenommen habe (für die Schweizer Regierung indirekt durch einige Forschungspartnerschaften, was eines der Unterscheidungsmerkmale des Ansatzes ist!).

Ich habe festgestellt, dass der Ansatz des Vereinigten Königreichs oft proaktiver ist und sich um den Gedanken der nationalen Sicherheit herum strukturiert. Cyberkriminalität wird als strategische Bedrohung angesehen, und es gibt aktive Bemühungen, Angreifer durch internationale Partnerschaften und nationale Strafverfolgungsbehörden abzuschrecken und zu bestrafen.

Die Schweiz als neutrales Land scheint eine etwas andere Haltung einzunehmen. Ihr Ansatz zur Cyberabwehr ist oft defensiver und datenschutzorientierter, was den Schwerpunkt des Landes auf den Datenschutz widerspiegelt. Die Schweiz gilt auch als Drehscheibe für diplomatische Diskussionen über Cybersicherheit und ist Gastgeberin internationaler Dialoge über Cybernormen und -standards, wie zum Beispiel die jüngsten SBOM-Veröffentlichungen (Secure Bill of Materials) aus dem Weissen Haus der USA und der Europäischen Kommission.

Um ihre etwas unterschiedlichen Ansätze zu verfolgen, hat die britische Regierung, insbesondere durch Institutionen wie das National Cyber Security Centre (NCSC), einen zentralisierten Rahmen für Cybersicherheit geschaffen. Das NCSC fungiert als primäre nationale Behörde und unterstützt sowohl den öffentlichen als auch den privaten Sektor.

So hat Grossbritannien beispielsweise kürzlich Meldepflichten für Unternehmen mit kritischer Infrastruktur eingeführt und ist in umfassendere (frühere) Cyberstrategien der EU und der NATO eingebunden. Diese Unternehmen sind gesetzlich verpflichtet, bestimmte Cybersicherheitsstandards zu erfüllen und Vorfälle an das NCSC zu melden, wodurch die Regierung ein klares Bild von der Cybersicherheitslandschaft erhält.

Das Vereinigte Königreich setzt bei der Bekämpfung der Cyberkriminalität auch auf öffentlich-private Partnerschaften. Das NCSC stimmt sich direkt mit privaten Unternehmen ab und bezieht diese häufig in von der Regierung geleitete Initiativen ein. Es gibt auch eine bedeutende Zusammenarbeit bei landesweiten Cybersicherheitsübungen, an denen beide Sektoren beteiligt sind, um gross angelegte Cyberangriffe zu simulieren und sich darauf vorzubereiten.

Die britische Cyber Security Information Sharing Partnership (CiSP) ist ein Beispiel für eine aktive Zusammenarbeit, bei der Unternehmen und die Regierung Informationen zur Cybersicherheit austauschen. Die Cybersicherheit in der Schweiz wird in erster Linie vom Bundesamt für wirtschaftliche Landesversorgung (BWL) und dem Nationalen Zentrum für Cybersicherheit (NCSC, Schweizer Pendant) geregelt.

Die Unterschiede sind nuanciert, da die Schweiz einen dezentralen Ansatz verfolgt, was zum Teil auf die föderale Struktur zurückzuführen ist. Jeder Kanton verfügt über ein gewisses Mass an Autonomie, und obwohl es föderale Leitlinien wie die Cyber-Strategie Schweiz 2018–2022 gibt, kann die Umsetzung je nach Region variieren.

Die Zusammenarbeit zwischen Regierung, Wirtschaft und Wissenschaft in der Schweiz wird häufig durch Forschungspartnerschaften vorangetrieben, insbesondere durch staatlich finanzierte Projekte mit Universitäten wie der ETH Zürich.

Die Schweiz fördert Innovationen auch durch Inkubatorprogramme und Cyberlabore. Meiner Erfahrung nach kann dies gut funktionieren, um wissenschaftliche Fortschritte mit den Bedürfnissen der Wirtschaft zu verbinden, während die unterstützenden Technologien in Grossbritannien in der Regel sehr stark von Technologieanbietern bestimmt werden. Der Ansatz der Schweizer Regierung bevorzugt eher die freiwillige Zusammenarbeit als die verbindlichen Rahmenbedingungen im Vereinigten Königreich (obwohl die Schweizer in diesen Angelegenheiten verständnisvoller und kooperativer zu sein scheinen!).

Schweizer Unternehmen arbeiten im Vergleich zu Grossbritannien nach einem stärker selbstregulierten Modell, aber auch hier habe ich die Erfahrung gemacht, dass sie sich eher an die Vorschriften halten, während harte wirtschaftliche Faktoren dazu führen, dass Unternehmen anderswo eher schweigen. Obwohl der Schwerpunkt auf der Cybersicherheit liegt, arbeiten viele Schweizer Unternehmen unabhängig oder über freiwillige Vereinigungen wie den Swiss Cybersecurity Hub.

Es überrascht nicht, dass die Schweiz dem Datenschutz und der Datenhoheit einen viel höheren Stellenwert einräumt als wir im Vereinigten Königreich, was dazu führen kann, dass die obligatorische Zusammenarbeit zwischen Unternehmen und Regierung weniger zentralisiert ist als im Vereinigten Königreich.

Insbesondere der Finanzsektor der Schweiz ist eine viel engere Gemeinschaft, da die Schweiz ein kleineres Land mit einer konzentrierteren Bankeninfrastruktur ist und bei Cybersicherheitsinitiativen die Führung übernimmt, was angesichts der globalen Stellung des Landes im Finanzwesen einen positiven «Ripple-Effekt» haben kann.

Schlussfolgerung:

Der entscheidende Unterschied liegt in der Zentralisierung und Durchsetzung von Vorschriften gegenüber der Dezentralisierung und freiwilligen Zusammenarbeit. Während Grossbritannien einen stärker strukturierten, von der Regierung geleiteten Ansatz zur Durchsetzung von Cybersicherheitsstandards und zur Förderung der öffentlich-privaten Zusammenarbeit verfolgt, setzt die Schweiz auf Selbstregulierung und datenschutzorientierte Initiativen, die weitgehend von Forschungs- und Innovationspartnerschaften angetrieben werden. Beide Ansätze sind in ihrem jeweiligen Kontext wirksam, spiegeln jedoch die unterschiedlichen kulturellen, historischen, strukturellen und regulatorischen Gegebenheiten der einzelnen Nationen wider.

Wie werden Ihrer Meinung nach Cyberangriffe, gegen die man sich nur schwer versichern kann, in Zukunft behandelt werden?

Heutzutage ist «Cyber» ein schlecht definierter Begriff mit einem chaotischen Flickenteppich von Ansätzen, die nicht nur von Organisation zu Organisation, sondern auch innerhalb derselben variieren. Dies macht es unter anderem schwierig, sich zu versichern. Man hofft, dass die Regierungen im Laufe der Zeit dazu beitragen werden, strengere Vorschriften zur Cybersicherheit für eine breitere Definition kritischer Infrastrukturen sowie für Finanzsysteme und andere wesentliche Dienste zu erarbeiten, um ein Mindestmass an Schutz zu gewährleisten.

Dies sollte zu stärker standardisierten Rahmenbedingungen für das Cyber-Risikomanagement führen, sodass Versicherer Risiken branchenübergreifend einheitlich bewerten können.

Ich lebe in Maidenhead in der Nähe der Themse, also in einem Überschwemmungsgebiet, und es wurde bald unmöglich für mich, eine Hochwasserversicherung abzuschliessen, obwohl mein Haus seit den 1940er Jahren nicht mehr überflutet wurde. Glücklicherweise hat die Regierung kürzlich ein staatlich gefördertes Hochwasserversicherungsprogramm für Menschen eingeführt, die in Überschwemmungsgebieten leben. Es ist eine Analogie, von der man hofft, dass sie sich auf die Cyberversicherung übertragen lässt. Ich hoffe, dass sich das Konzept der Cybersicherheit als öffentliches Gut, insbesondere für Hochrisikosektoren (z.B. Energie, Gesundheitswesen, Finanzen), weiterentwickelt, was bedeutet, dass Regierungen Rückfallversicherungen für besonders schwerwiegende oder katastrophale Cyberangriffe bereitstellen könnten, die von privaten Versicherern als nicht versicherbar eingestuft werden.

Ähnlich wie bei meiner Hochwasserversicherung, ähnlich wie Regierungen in manchen Regionen mit Naturkatastrophen oder Terrorismusversicherungen umgehen.

Es ist nicht realistisch zu erwarten, dass Versicherer das Sicherheitsnetz für alle Eventualitäten sind, insbesondere da «Cyber» ein so abstrakter Begriff ist. Viele Cyber-Versicherungspolicen schliessen heute staatlich geförderte Angriffe oder Cyber-Terrorismus aus, die oft als Kriegshandlungen angesehen werden. Da diese Angriffe immer häufiger und ausgefeilter werden, werden Versicherer solche Ausschlüsse wahrscheinlich beibehalten oder sogar erweitern und staatlich abgesicherte Versicherungen oder multilaterale Schutzabkommen zur Deckung von Angriffen verlangen, an denen Akteure von Nationalstaaten beteiligt sind.

Was die Zukunft betrifft, so könnten sich die Versicherungsmodelle zur Deckung der enormen Zunahme krimineller Aktivitäten und der Komplexität dieses noch relativ unausgereiften Themas zu parametrischen Versicherungen für Cyberangriffe entwickeln, die Auszahlungen auf der Grundlage Parameter (z.B. eine bestimmte Art von Cyberangriff oder ein bestimmter Schwellenwert für Ausfallzeiten) auslösen, anstatt eine vollständige Schadensbewertung zu verlangen. Dies kann die Schadenbearbeitung beschleunigen und vereinfachen, insbesondere bei komplexen oder gross angelegten Vorfällen.

Versicherer könnten eine detailliertere, spezialisierte Deckung für Angriffsvektoren wie Ransomware oder DDoS-Angriffe anbieten, bei denen die Risiken besser verstanden und genauer modelliert werden können.

Unternehmen könnten Cyberrisiken auch über Branchen-Versicherungsvereine auf Gegenseitigkeit oder kollektive Versicherungssysteme bündeln und Risiken branchenübergreifend teilen, um Grossereignisse abzufedern, die sich sonst nur schwer einzeln versichern liessen.

Zukünftige Ansätze könnten eine erhöhte Redundanz in kritischen Systemen und Dateninfrastrukturen beinhalten, die die Kontinuität des Betriebs auch im Falle eines erfolgreichen Angriffs gewährleistet. Dies könnte regelmässige Stresstests und Simulationen zur Vorbereitung auf verschiedene Arten von Cyberangriffen beinhalten, was die Bedenken der Versicherer hinsichtlich grossflächiger Störungen verringern würde. Unternehmen werden wahrscheinlich im Rahmen ihrer Risikomanagementstrategie robuste Reaktions- und Wiederherstellungspläne für Vorfälle nachweisen müssen, bevor sie sich für eine Versicherung qualifizieren können. Dazu gehören regelmässige Cyberübungen und die Umsetzung detaillierter Wiederherstellungsprotokolle. Ich würde mir wünschen, dass es Ausnahmen für Unternehmen gibt, die nicht nachweisen können, dass sie sich um grundlegende Schutzmassnahmen gekümmert haben. Materielle Verluste sind heutzutage oft das Ergebnis mangelnder Disziplin, und es sollte nicht von der Versicherungsbranche erwartet werden, für diesen Mangel an grundlegender Sorgfalt zu zahlen!

Zuletzt waren Sie als BISO (Vermittler zwischen Hauptprozessor und Software) und Global Head of Information Security and Assurance bei Cognizant für die Sicherheitsrisiken des Unternehmens im Vereinigten Königreich, in Mitteleuropa, im asiatisch-pazifischen Raum und im Nahen Osten verantwortlich. Was genau waren Ihre Aufgaben bei Cognizant?

Als Business Information Security Officer (BISO) und Global Head of Information Security and Assurance bei Cognizant ging meine Hauptverantwortung weit über die technische Umsetzung und den Betrieb der Cybersicherheit hinaus. Zu meinen Aufgaben gehörte das Management von Cybersicherheitsrisiken in mehreren Regionen – Grossbritannien, Mitteleuropa, Asien-Pazifik und Naher Osten – und die Zusammenarbeit auf höchster Ebene mit internen Interessengruppen und externen Kunden. Dies bedeutete, die End-to-End-Sicherheitsstrategie zu überwachen, technische Lösungen zu koordinieren und sicherzustellen, dass diese mit den Geschäftszielen übereinstimmten, während gleichzeitig die Einhaltung der gesetzlichen Rahmenbedingungen in mehreren Gerichtsbarkeiten gewährleistet wurde.

In der sich schnell entwickelnden Bedrohungslandschaft von heute hat sich die Rolle des CISO von einer «Abteilung des Nein» gewandelt, die sich ausschliesslich auf Verbotskontrollen konzentriert, hin zu einem vertrauenswürdigen Berater des BISO, der eine entscheidende Rolle bei der Gestaltung der Geschäftsstrategie, der Widerstandsfähigkeit und des digitalen Vertrauens spielt. Ein erfolgreicher BISO muss in der Lage sein, technische Risiken in Geschäftsrisiken umzuwandeln und diese vor allem effektiv an die Führungsebene zu kommunizieren. Aus diesem Grund ist eine umfassende Praxiserfahrung so wichtig. Um bei komplexen Themen wie der Reaktion auf Ransomware, der Due Diligence bei Fusionen und Übernahmen und der Sicherheitsarchitektur beraten zu können, muss ein BISO aus erster Hand wissen, wie sich diese Risiken manifestieren und wie sie in der Praxis gelöst werden können.

Eine der Hauptaufgaben bei Cognizant bestand in der Überprüfung und Genehmigung wichtiger Kundenangebote, um sicherzustellen, dass die technische Architektur, die Sicherheitsprotokolle und die Resilienzmassnahmen nicht nur den vertraglichen Verpflichtungen, sondern auch den sich entwickelnden Herausforderungen im Bereich der Cybersicherheit gerecht werden. Dies erforderte eine umfassende Zusammenarbeit mit Führungskräften in verschiedenen Regionen, bei der Sicherheitsmassnahmen mit der Resilienz des Unternehmens in Einklang gebracht wurden, anstatt Einschränkungen aufzuerlegen. Um diesen Dialog effektiv zu fördern, ist eine Kombination aus technischer Glaubwürdigkeit und Soft Skills erforderlich. Letztere sind unerlässlich, um Führungskräfte einzubinden, die möglicherweise nicht über das gleiche Mass an technischer Kompetenz verfügen, aber entscheidende Entscheidungsträger in jeder Cybersicherheitsstrategie sind.

Bei der Leitung regionaler Sicherheitsteams lag mein Schwerpunkt darauf, sie in die Lage zu versetzen, Sicherheitsrisiken vor Ort zu erkennen, zu analysieren und zu mindern, und gleichzeitig die strategische Vision zu vermitteln, die es Cognizant ermöglichte, seine globale Sicherheitsposition zu wahren. Was jedoch einen effektiven BISO von einem traditionellen CISO wirklich unterscheidet, ist das Verständnis, dass Sicherheit nicht nur eine technische Funktion ist, sondern ein Wegbereiter für das Geschäft.

Seltsamerweise musste ich feststellen, dass es mir mit dem Titel CISO schwerfiel, eine Tür zu öffnen, dank der implizierten «Nein-Marke», und in den Raum eingeladen zu werden, in dem wichtige Entscheidungen getroffen werden. Eine «Präsentationsebene», auf der der Begriff «Business» in den Titel eingeführt wurde, öffnete die Tür! Sobald die Tür einen Spalt weit offen steht, muss ein BISO die Cybersicherheit nicht nur als Abwehrmechanismus, sondern als integralen Bestandteil des Risikomanagements, der Geschäftskontinuität und der Wertschöpfung betrachten.

Die Rolle umfasste auch die Bewältigung einiger der bekanntesten Vorfälle, einschliesslich der Teilnahme an grösseren Ransomware-Vorfällen, bei denen eine Koordination mit Strafverfolgungsbehörden, Regulierungsbehörden und kritischen Kunden erforderlich war. In solchen Situationen ist es wichtig, unter Druck Ruhe zu bewahren, die Reaktionsprotokolle bei Vorfällen genau zu kennen und die technischen Details des Geschehens zu verstehen, aber auch in der Lage zu sein, dies in Krisensituationen klar an nicht-technische Interessengruppen zu kommunizieren. Hier kommt die Verschiebung von «Chief» zu «Business» im Titel zum Tragen – Führungskräfte arbeiten eher mit jemandem zusammen, der als Berater für Geschäftsrisiken und nicht als technischer Gatekeeper positioniert ist.

Daher spiegelt mein Ansatz in diesen Rollen eine Mischung aus praktischer technischer Führung und strategischer Unternehmensberatung wider. Um Vertrauen aufzubauen, habe ich dafür gesorgt, dass Sicherheit nicht als Hindernis, sondern als notwendige Voraussetzung für digitale Innovation angesehen wird. Die Fähigkeit, diesen Wandel zu beeinflussen und zu leiten, erfordert ein tiefes Verständnis sowohl der technischen Landschaft als auch der geschäftlichen Faktoren, die den Ansatz des Unternehmens in Bezug auf Risiko und Widerstandsfähigkeit prägen. Dies unterstreicht, warum Soft Skills wie Kommunikation, Stakeholder-Management und funktionsübergreifende Zusammenarbeit in der modernen BISO- oder CISO-Rolle ebenso wichtig sind wie technisches Fachwissen. Diese Entwicklung ist in der aktuellen Cyberlandschaft von entscheidender Bedeutung, in der Unternehmen ihre Bemühungen um die digitale Transformation kontinuierlich beschleunigen und Sicherheitsverantwortliche benötigen, die sich nahtlos in die strategischen Gespräche über Geschäftskontinuität, digitales Vertrauen und organisatorische Widerstandsfähigkeit einbringen können.

Der «Cyber Security Awareness Month» wurde im Oktober 2004 von der NCA und dem US-Heimatschutzministerium ins Leben gerufen. Zu Beginn lag der Schwerpunkt auf einfachen Vorsichtsmassnahmen wie der Aktualisierung von Antiviren-Software. Was hat sich seitdem geändert?

Der Schwerpunkt der ursprünglichen Kampagne lag auf grundlegenden persönlichen Schutzmassnahmen, die sich dank der jüngsten Ereignisse zu einer umfassenden Initiative entwickelt haben, die sich mit komplexen, vielschichtigen Bedrohungen befasst.

Mit den jüngsten Ereignissen meine ich, dass sich die Cyberkriminalität zu einem ernsthaften, globalen Problem entwickelt hat, das alle Bereiche der Gesellschaft betrifft. Der Schwerpunkt hat sich von der Sicherheit einzelner Benutzer auf Initiativen zur Cybersicherheit auf Unternehmens-, nationaler und globaler Ebene verlagert, wobei der Schwerpunkt auf Sensibilisierung, Zusammenarbeit und ausgefeiltem Risikomanagement liegt.

Anfangs ging es bei der Sensibilisierung für Cybersicherheit hauptsächlich um den Schutz von PCs. Heute wird sie als Angelegenheit der nationalen Sicherheit und wirtschaftlichen Stabilität anerkannt. Regierungen und Organisationen aus verschiedenen Sektoren beteiligen sich aktiv an Initiativen zur Cybersicherheit, um kritische Infrastrukturen und die Wirtschaft vor Cyberangriffen zu schützen, wobei der Schwerpunkt auf der Widerstandsfähigkeit gegenüber Cyberangriffen liegt, im Grunde genommen auf der Aufrechterhaltung des freien Warenflusses durch die Lieferkette. Im Jahr 2004 lag der Schwerpunkt auf einfachen Massnahmen wie der Aktualisierung von Antiviren-Software und grundlegender digitaler Hygiene, was die damals begrenztere Bedrohungslandschaft widerspiegelte. Cyberangriffe beschränkten sich hauptsächlich auf Viren, Würmer und einfache Phishing-Methoden. Wenn es zu Zwischenfällen kam, handelte es sich eher um ein Ärgernis als um einen materiellen Verlust.

Heute hat sich der Fokus auf eine Vielzahl ausgeklügelter Bedrohungen wie Ransomware, Advanced Persistent Threats (APTs), Zero-Day-Schwachstellen und Supply-Chain-Angriffe verlagert. Es gibt viele Motive, die von der einfachen Erzielung unrechtmässiger Gewinne über den Diebstahl von geistigem Eigentum bis hin zum Eindringen in Regierungsbehörden reichen, wie es beim jüngsten SolarWinds-Vorfall der Fall war. Die Bedrohungen sind gezielter und komplexer geworden und erfordern fortschrittlichere Schutzmassnahmen, darunter:

• Multi-Faktor-Authentifizierung (MFA)
• Zero-Trust-Architekturen
• Datenverschlüsselung
• Reaktionsplanung bei Vorfällen
• Regelmässige (offline!) Backups und Notfallwiederherstellung

Der Fokus liegt nun auf organisatorischen Richtlinien und kulturellen Veränderungen innerhalb von Unternehmen, um die Cybersicherheit von oben nach unten zu priorisieren und sicherzustellen, dass die erforderlichen Disziplinen in der gesamten grundlegenden IT-Infrastruktur von einer Vielzahl von Funktions- und IT-Verantwortlichen gemeinsam verantwortet werden.

Im Jahr 2004 wurde der Faktor Mensch in der Cybersicherheit weniger betont. Heute liegt der Schwerpunkt viel stärker auf menschlich bedingten Schwachstellen wie Phishing, Social Engineering und Insider-Bedrohungen. Kampagnen fördern nun Schulungen zum Sicherheitsbewusstsein für Mitarbeiter, um sicherzustellen, dass sie über potenzielle Betrugsversuche und ihre Rolle beim Schutz von Unternehmens- und persönlichen Daten informiert sind. Der Begriff der Cyberhygiene hat sich von der einfachen Aktualisierung von Software zur Schulung der Benutzer in der Erkennung von Bedrohungen, der Vermeidung riskanter Verhaltensweisen und der angemessenen Reaktion auf Cybervorfälle erweitert.

Bei diesem letzten Punkt haben wir noch einen langen Weg vor uns, da der heutige Ansatz zur Sicherheitsaufklärung eher auf «Präsenzschulungen» setzt, anstatt die Kommunikation zu verbessern, organisatorische Fragen zu Autorität und Verantwortung zu klären, praktische Erfahrungen zu sammeln und so realitätsnahe Simulationen (sogenannte Planspiele) wie möglich durchzuführen.

Auf der diesjährigen International Cyber Expo in London leiteten Sie das Panel zum Thema «Managing The Incident Before It Happens» auf dem SASIG Global Cyber Summit. Das bedeutet, dass es bei Cybervorfällen nicht mehr um das «ob», sondern um das «wann» geht. Was muss also geschehen?

Um über die Checklisten-Mentalität von Sicherheitstrainings und Planspielen hinauszugehen, muss in die Kultur investiert werden.

Kultur mag wie ein «weiches» Wort klingen, aber es ist etwas, das wir im wirklichen Leben konkret erkennen. Wenn Ihr Haus beispielsweise in Flammen steht, würden Sie nicht erwarten, dass ich Ihnen ein 30-seitiges Dokument mit dem Titel «Was tun, wenn Ihr Haus in Flammen steht?» übergebe, bevor Sie handeln. Organisationen müssen diese unbewussten Kompetenzen wecken, indem sie das Bewusstsein für Cybersicherheit in alltägliche Aktivitäten einbetten, ein proaktives Engagement in allen Abteilungen sicherstellen und eine Denkweise fördern, bei der Sicherheit zur zweiten Natur wird. Dies führt zu schnelleren, besser koordinierten Reaktionen und minimiert die Auswirkungen unvermeidlicher Vorfälle.

Es ist wichtig, sich mit dem oben erwähnten Problem auseinanderzusetzen, wie wir Veränderungen in der gesamten Organisation vorantreiben. Die blosse Teilnahme an Planspielen oder Compliance-gesteuerten Sensibilisierungsprogrammen führt oft zu minimalem Engagement. Führungskräfte geben oft nur Lippenbekenntnisse ab oder delegieren an Untergebene. Die Mitarbeiter mögen sich zwar an die Vorgaben halten, aber ohne die Sicherheit in die DNA der Organisation einzubetten, bleiben diese Bemühungen oberflächlich und ineffektiv.

Durch die Förderung einer Cyber-Awareness-Kultur, durch reichhaltiges Storytelling, praktische Beispiele, nachgewiesene Wirksamkeit, gemeinsame Verantwortlichkeiten und gegenseitiges Beobachten der Mitarbeiter (um nur einige Beispiele zu nennen) ermutigen Sie die Mitarbeiter, Sicherheitspraktiken zu verinnerlichen und unbewusste Kompetenzen zu schaffen, bei denen Einzelpersonen Sicherheit ganz natürlich in ihre täglichen Aktivitäten integrieren. Dies kann nur geschehen, wenn sie das «Warum» hinter dem «Was» verstehen und ihre Handlungen mit der umfassenderen Sicherheitsstrategie der Organisation in Verbindung bringen.

Diese Übungen können aus den heutigen Planspielen übernommen werden, die in der Regel statisch sind und nicht immer die dynamische, sich entwickelnde Natur echter Cybervorfälle widerspiegeln. Um effektiv zu sein, müssen Übungen ansprechend, anpassungsfähig und so realistisch wie möglich sein, damit Verhaltensweisen natürlich und nicht erzwungen werden. Ich unterschätze zwar nicht die Herausforderung dieses organisatorischen Problems, aber es kann nicht weiterhin ungelöst bleiben.

Das Verinnerlichen unbewusster Kompetenzen ist in Bereichen wie der Erkennung von Vorfällen, der Eskalation und der Reaktion von entscheidender Bedeutung, um sicherzustellen, dass Sicherheitsreaktionen automatisch erfolgen. Heute befinden wir uns buchstäblich in einer Situation, in der verschiedene Mitarbeiter auf verschiedenen Ebenen und in verschiedenen Rollen in einer Vielzahl betroffener und beteiligter Funktionen aufgefordert werden, ein Handbuch zu lesen und zu erklären, welchen Schritt sie als Nächstes in Richtung der Tür in einem brennenden Gebäude unternehmen sollen, um meine frühere Analogie zu verwenden.

Die negativen Auswirkungen dieser schlechten funktionsübergreifenden Zusammenarbeit sind in den meisten modernen, komplexen Organisationen von heute, in denen Verstösse oft mehrere Bereiche betreffen – Recht (Datenschutzverletzungen), Finanzen (Ransomware) und Personalwesen (Insider-Bedrohungen) – kaum zu unterschätzen. Eine Kultur der gemeinsamen Verantwortung fördert Synergien und Abstimmung bei der Bewältigung eines Vorfalls.

Wenn eine Kultur der Cybersicherheit eingeführt wird, müssen Mitarbeiter nicht zweimal darüber nachdenken, Phishing-E-Mails zu identifizieren oder auf verdächtige Netzwerkaktivitäten zu reagieren – es wird zu einer instinktiven Handlung. Es versteht sich von selbst, dass das Streben nach einem Modell, bei dem das richtige Verhalten tief verwurzelt ist und zu einer instinktiven Handlung wird, von entscheidender Bedeutung ist, denn bei einem tatsächlichen Cybervorfall ist die Reaktionszeit entscheidend. Teams, die über ein tief verwurzeltes Reaktionsverhalten verfügen, sind in der Lage, schnell und geschlossen zu handeln und so die Auswirkungen eines Angriffs zu minimieren.

Natürlich erfordert diese organisatorische Veränderung die Zustimmung der Unternehmensleitung. Unternehmen, deren Führungskräfte die Notwendigkeit solider Disziplinen zur Gewährleistung von Vertrauen, Zuversicht und Widerstandsfähigkeit verstehen, sind in Bezug auf Schutz und Wiederherstellung oft leistungsfähiger als Unternehmen, die dies nicht tun. Dieses Engagement und diese tiefe Überzeugung der Führungskräfte sind für den Aufbau einer Kultur, in der Cybersicherheit Priorität hat, von entscheidender Bedeutung, denn wenn die Führungsebene durch ihr Handeln zeigt, dass sie bewährte Sicherheitsverfahren durchsetzt, gibt sie den Ton für das gesamte Unternehmen an.

Ich verwende Begriffe wie «tiefe Überzeugung», weil Führungskräfte nicht nur die Prozesse (z.B. regelmässige Schulungen) fördern sollten, sondern auch den erforderlichen Mentalitätswandel. Wenn Mitarbeiter sehen, dass die Unternehmensführung Sicherheit als Teil der Kernaufgabe und des Risikomanagements des Unternehmens betrachtet, ist die Wahrscheinlichkeit höher, dass sie diese Werte selbst übernehmen.

Würde es helfen, wenn Unternehmen ihre Erfahrungen mit Cyberangriffen teilen würden?

Ja, es würde erheblich helfen, wenn Unternehmen ihre Erfahrungen mit Cyberangriffen teilen würden, und es gibt mehrere Vorteile für Unternehmen und das breitere Cybersicherheits-Ökosystem.

1. Verbesserte branchenweite Bereitschaft

• Gemeinsames Lernen: Wenn Unternehmen ihre Erfahrungen austauschen, kann die Branche aus den Fehlern und Erfolgen der anderen lernen und so eine stärkere kollektive Verteidigung aufbauen. Das gemeinsame Wissen über Angriffsvektoren, Schwachstellen, IoCs (Indicators of Compromise) und die von Cyberkriminellen verwendeten TTPs (Tactics Techniques and Procedures) hilft anderen, ähnliche Bedrohungen in Zukunft zu erkennen und zu verhindern.
• Austausch von Bedrohungsdaten: Cyberkriminalität beinhaltet oft koordinierte und sich weiterentwickelnde Taktiken. Der Austausch von Bedrohungsdaten hilft dabei, Muster über verschiedene Angriffe und Branchen hinweg zu erkennen, was zu einer schnelleren Identifizierung von Bedrohungen und wirksameren Gegenmassnahmen führt. Dieser kooperative Ansatz wird bereits durch Programme wie die Cyber Security Information Sharing Partnership (CiSP) im Vereinigten Königreich gefördert, bei der der öffentliche und der private Sektor Echtzeitinformationen über Cyber-Bedrohungen austauschen.

2. Geringeres Risiko für andere Organisationen

• Bessere Reaktion auf Vorfälle: Wenn man versteht, wie eine Organisation auf eine bestimmte Art von Angriff reagiert hat, können andere ihre Pläne zur Reaktion auf Vorfälle verfeinern. Wenn Unternehmen aus den Erfahrungen anderer lernen – z.B. welche Strategien erfolgreich waren und welche nicht –, sind sie besser darauf vorbereitet, schnell zu reagieren und den Schaden zu minimieren, wenn sie einem ähnlichen Angriff ausgesetzt sind. Es gibt KEINEN Ersatz dafür, einen Angriff selbst erlebt und einige unerwartete praktische Aspekte gemeistert zu haben.
• Erhöhung der Basissicherheit: Aufgrund mangelnder Transparenz sind sich viele Organisationen möglicherweise nicht der Häufigkeit oder Raffinesse von Angriffen bewusst. Oftmals wurden diese bereits in der Erkundungsphase entdeckt, aber selbst daraus lässt sich etwas lernen, denn später in der Angriffskette kann es sehr teuer, zeitaufwendig und geschäftsschädigend werden, sich mit den Dingen zu befassen, wenn die Angreifer tiefer in das System eingedrungen sind.
• Sichtbarkeit bedeutet Handeln: Wenn Unternehmen ihre Erfahrungen teilen, schärft dies auch das Bewusstsein und ermutigt andere, ihre grundlegenden Sicherheitsmassnahmen zu verbessern, darunter Zwei-Faktor-Authentifizierung, Endpunktschutz und Schwachstellenmanagement – Grundlagen, die oft vernachlässigt werden, weil Unternehmen denken: «Uns wird das nie passieren, ich sehe nicht viele Fälle davon in meiner Weltanschauung.» Tatsächlich passieren sie aber ständig, nur sind sie für die meisten nicht sichtbar.
• Verbesserte versicherungsmathematische Berechnungen: Wenn Unternehmen ihre Erfahrungen mit Cyberangriffen teilen, können Cyber-Versicherer diese realen Daten nutzen, um ihre versicherungsmathematischen Modelle zu verfeinern und Risiken besser einzuschätzen. Durch das Verständnis der Häufigkeit, Art und Auswirkungen verschiedener Arten von Cyberangriffen können Versicherer die Preise für Policen genauer festlegen und die Deckungsanforderungen bestimmen. Darüber hinaus hilft diese Transparenz Versicherungsunternehmen dabei, massgeschneiderte Zeichnungsprozesse zu entwickeln, die Anreize für Organisationen bieten, die strenge Sicherheitsmassnahmen umsetzen, und diejenigen bestrafen, die die Grundlagen vernachlässigen. Dies verbessert nicht nur den Markt für Cyberversicherungen, sondern fördert auch branchenübergreifend bessere Cybersicherheitspraktiken.

3. Das Schweigen und die Stigmatisierung brechen

• Entstigmatisierung von Cyberkriminalität: Viele Organisationen melden Cyberangriffe nicht, weil sie einen Reputationsschaden befürchten. Wenn jedoch mehr Unternehmen offen über ihre Erfahrungen berichten würden, könnte dies dazu beitragen, die Diskussion über Cybersicherheit zu normalisieren. Dies könnte zu einem kulturellen Wandel führen, bei dem Organisationen sich weniger schämen, Opfer eines Angriffs geworden zu sein, und sich stattdessen darauf konzentrieren, proaktive Schritte zur Wiederherstellung und zur Verhinderung zukünftiger Vorfälle zu unternehmen.
• Kooperatives versus kritisches Verhalten: Wenn Sie einen Angriff erleiden und dies bekannt geben, gibt es zwei Arten von betroffenen Interessengruppen. Erstens diejenigen, die aggressiv sind, die denken, dass es ihnen nie passieren wird und dass Sie schwach und ineffektiv waren. Ihnen viel Glück, auch sie werden eines Tages betroffen sein. Dann gibt es diejenigen, die mitfühlend und unterstützend sind und denken: «Hätte ich nicht so viel Glück gehabt, wäre ich jetzt dran …» und die teilen, unterstützen und lernen wollen. Streben Sie danach, einer von ihnen zu sein.
• Erhöhte Rechenschaftspflicht: Wenn Angriffe nicht gemeldet werden, entsteht ein falsches Gefühl der Sicherheit, sowohl innerhalb des betroffenen Unternehmens als auch in der gesamten Branche. Transparenz zwingt Unternehmen dazu, Verantwortung für ihre Cybersicherheitspraktiken zu übernehmen, und fördert das Vertrauen bei Kunden und Interessengruppen.

4. Wachstum des Dark Web und Befähigung von Unternehmen

• Perfekte Informationen führen zu nahezu perfekten Reaktionen: Da das Dark Web immer ausgefeilter wird und als Marktplatz für gestohlene Daten und Angriffswerkzeuge dient, ist Zusammenarbeit und Transparenz die einzige Möglichkeit, dieser Bedrohung wirksam entgegenzuwirken. Kriminelle tauschen Angriffsstrategien nahezu in Echtzeit und mit Reputationsmodellen aus, die den Sternebewertungen bei Amazon und eBay nicht unähnlich sind, und verkaufen oder tauschen Schwachstellen im Dark Web mit wettbewerbsfähiger Effizienz. Unternehmen sollten darauf reagieren, indem sie dasselbe in Bezug auf den Informationsaustausch tun, um ihre Abwehr zu stärken.
• Verhandlungstaktiken: Je mehr Erfahrungen mit Cyberangriffen ausgetauscht werden, desto besser wird das Verständnis für Verhandlungstaktiken mit Cyberkriminellen, ein Bereich, der derzeit von Experten bearbeitet wird. Ein aktuelles Beispiel für ein Verhandlungsprotokoll zwischen der britischen Post und Cyberkriminellen zeigt die strategische Positionierung bei Ransomware-Angriffen, die den meisten Opfern, die dennoch ins kalte Wasser geworfen werden, nicht bekannt sein wird. Ähnlich wie bei einem Kartenspiel ist es wichtig zu verstehen, welche «Karten» man in der Hand hat – zum Beispiel zu wissen, ob die eigenen Systeme gesichert sind, was die Angreifer wissen und wie wertvoll die eigenen Daten für sie sind. Wenn diese Verhandlungsstrategien weitergegeben würden und man die Psychologie der Angreifer besser verstehen würde, könnten sich mehr Organisationen selbstbewusst auf diese Situationen mit hohem Risiko einlassen. Diese Transparenz könnte Wissen demokratisieren und mehr Unternehmen dabei helfen, ausgeklügelte Verhandlungstaktiken anzuwenden, mit denen Lösegeldzahlungen reduziert oder sogar ganz vermieden werden können.

5. Schlussfolgerung:

Angesichts der zunehmenden Cyberkriminalität, einer wachsenden Angriffsfläche und eines äusserst aktiven Dark Web liegen die Vorteile des Erfahrungsaustauschs über Cyberangriffe auf der Hand. Er beschleunigt das kollektive Lernen, verbessert die Reaktionsfähigkeit der Branche und erhöht die allgemeine Widerstandsfähigkeit der Cybersicherheit.

Richtig gehandhabte Transparenz kann ein wirksames Instrument im Kampf gegen Cyberkriminalität sein, die Zusammenarbeit fördern und Organisationen letztlich weniger anfällig machen. Zwar ist es unerlässlich, dass Unternehmen zu einem offenen Informationsaustausch übergehen (natürlich unter Wahrung der Privatsphäre und des Datenschutzes sowie der Beschränkungen durch «vorbehaltlich der Privilegien»), aber es scheint, als wäre dies ein «Mexican-Draw»-Spiel, bei dem alle darauf warten, dass alle anderen zuerst anfangen.

Was sind Ihrer Meinung nach die größten Geschäftsrisiken und -bedrohungen?

Angesichts all dessen, was wir besprochen haben, komme ich immer wieder zu dem Schluss, dass das grösste Geschäftsrisiko einfach darin besteht, die Grundlagen in Bezug auf Cybersicherheit richtig zu machen. Die Fakten zeigen, dass die grössten Risiken und allgegenwärtigsten Bedrohungen oft eher auf die Vernachlässigung grundlegender Sicherheitspraktiken als auf hochmoderne, ausgeklügelte Angriffe zurückzuführen sind. Ich glaube, dass ein Unternehmen seine Cyber-Resilienz erheblich verbessern kann, wenn es sich auf nur sechs Schlüsselbereiche konzentriert.

Cybersicherheit muss nicht unbedingt kompliziert sein – die Grundlagen funktionieren, und immer wieder zeigen die wesentlichen Ereignisse, dass die grössten Risiken oft darin bestehen, dass diese grundlegenden Praktiken nicht eingehalten werden. Selbst die Sicherheitsüberwachung kann gezielter sein und muss nicht komplex sein. Bei einer effektiven Bedrohungserkennung geht es oft darum, sich auf eine sehr kleine Handvoll von weniger als 20 Schlüsselsignalen zu konzentrieren, anstatt in Daten zu ertrinken. Der Schwerpunkt sollte auf die konsequente Anwendung dieser bewährten Verfahren in allen Bereichen verlagert werden.

Darüber hinaus stellen kulturelle Selbstgefälligkeit und eine falsche Fokussierung auf High-Tech-Lösungen ohne Stärkung grundlegender Cybersicherheitsmassnahmen ein erhebliches Risiko dar. Unternehmen mit einem besseren kulturellen Verständnis für ihre IT-Resilienz und Cyber-Sicherheit sind auch organisatorisch viel besser in der Lage, mit Problemen und Vorfällen umzugehen, und das organisatorische Element, das sich aus einer guten Cyberkultur ergibt, ist ein entscheidender Erfolgsfaktor.

Ist die Sicherheitsstruktur für Start-ups, mittelständische Unternehmen oder Großunternehmen gleich?

Bei dieser Frage werde ich mich auf KMU konzentrieren und Start-ups in die Kategorie KMU einordnen, da sie vor ähnlichen Herausforderungen stehen und ähnliche Merkmale aufweisen.

Der KMU-Sektor (kleine und mittlere Unternehmen) im Vereinigten Königreich ist riesig und spielt eine entscheidende Rolle in der Wirtschaft. Jüngsten Daten zufolge machen KMU etwa 99,9 Prozent der britischen Unternehmenspopulation aus, beschäftigen etwa 16 Millionen Menschen und tragen über 2 Billionen Pfund zur Wirtschaft bei. Trotz ihrer Bedeutung sind KMU in Bezug auf Cybersicherheit deutlich unterversorgt.

Der KMU-Sektor in der Schweiz ist ähnlich wichtig für die Wirtschaft des Landes wie im Vereinigten Königreich. KMU machen über 99 Prozent aller Schweizer Unternehmen aus und beschäftigen etwa 67 Prozent der Schweizer Arbeitskräfte, was sie zum Rückgrat der nationalen Wirtschaft macht. Diese Unternehmen sind in einer Vielzahl von Sektoren tätig, darunter in der Fertigung, im Dienstleistungssektor und im Finanzwesen. Für die Cybersicherheit sind sie besonders in Nischenmärkten von Bedeutung, in denen die Schweiz weltweit führend ist, wie z.B. in der Feinmechanik und der Pharmaindustrie.

Angesichts ihrer entscheidenden Rolle stehen Schweizer KMU, ähnlich wie ihre Pendants Grossbritannien, vor grossen Herausforderungen im Bereich der Cybersicherheit. Vielen fehlen die Ressourcen oder das Fachwissen, um sich gegen die wachsenden Cyber-Bedrohungen zu verteidigen, sodass sie in Bezug auf Cybersicherheitslösungen unterversorgt sind. Mit der zunehmenden Digitalisierung und der steigenden Cyberkriminalität sind KMU in der Schweiz besonders gefährdet, da sie oft nicht über das gleiche Mass an Bewusstsein, Bereitschaft oder Zugang zu Sicherheitsinfrastrukturen verfügen wie grössere Unternehmen. Dies führt zu einem dringenden Bedarf an vereinfachten, zugänglichen Cybersicherheitstools und einer stärkeren Fokussierung auf die Cyber-Resilienz innerhalb der Schweizer KMU-Gemeinschaft. Im Gegensatz zu diesem Bedarf an vereinfachten Tools sind sie oft durch die Komplexität der Cybersicherheitslandschaft verwirrt, von der Auswahl überwältigt und haben Schwierigkeiten, notwendige Massnahmen wie einfachen Antivirus- und Desktop-Schutz, Multi-Faktor-Authentifizierung, ordnungsgemäße Datenverwaltung und Sicherheitsüberwachung umzusetzen.

Im Gegensatz zu grossen Unternehmen, die über eigene Cybersicherheitsteams und -budgets verfügen, sind KMU unterversorgt und müssen sich häufig auf grundlegende, oft veraltete Abwehrmassnahmen verlassen und haben Schwierigkeiten, sich in komplexen und kostspieligen Lösungen zurechtzufinden. Dieser Mangel an Anleitung macht sie anfällig für immer ausgefeiltere Angriffe. Darüber hinaus können sie im Zuge ihres Wachstums zusätzlich wichtige Grundlagen übersehen, was zu einer zusätzlichen Komplexität führt, wie z. B. Offline-Backups, Netzwerkverbindungen oder die Verwaltung privilegierter Zugriffe, wodurch sie sich weiteren Bedrohungen wie Ransomware aussetzen.

Ich bin Botschafterin der National Cyber Resilience Centre Group (NCRCG) im Vereinigten Königreich, die sich auf die Verbesserung der Sicherheit und Widerstandsfähigkeit im KMU-Sektor konzentriert. Die NCRCG spielt eine entscheidende Rolle bei der Überbrückung der Kluft zwischen KMU und der Unterstützung, die sie benötigen, indem sie das Bewusstsein schärft, Sicherheitskonzepte vereinfacht und praktische, zugängliche Lösungen bereitstellt.

Eine ähnliche und bedeutende Schweizer Initiative ist das CyberSeal, eine Zertifizierung, die von der Alliance for Digital Security Switzerland (ADSS) mit Unterstützung des NCSC ins Leben gerufen wurde. Das CyberSeal hilft Schweizer KMU, qualifizierte IT-Dienstleister zu finden, um sicherzustellen, dass sie angemessen vor Cyberrisiken geschützt sind. Dies spiegelt den Ansatz der Schweiz wider, die freiwillige Zusammenarbeit zwischen Unternehmen und Regierung zu fördern, um die Widerstandsfähigkeit des wichtigen KMU-Sektors im Bereich der Cybersicherheit zu erhöhen.

Als Botschafter für NCRCG über das KMU-Sicherheitsunternehmen Trustify ist es meine Aufgabe, Cybersicherheit für KMU erreichbar zu machen, indem ich unkomplizierte, benutzerfreundliche Sicherheitslösungen anbiete, die auf ihre spezifischen Herausforderungen zugeschnitten sind. Trustify konzentriert sich darauf, Cybersicherheit zu vereinfachen und sicherzustellen, dass KMU sich effektiv schützen können, ohne dass sie über umfassende IT-Kenntnisse oder grosse Budgets verfügen müssen.

Und wie sieht es mit der Rolle der KI bei der Bekämpfung der Cybersicherheit aus?

KI wird häufig als bahnbrechende Technologie im Bereich der Cybersicherheit angepriesen, aber bevor Unternehmen sich darauf stürzen, muss betont werden, dass die Grundlagen der Cybersicherheit an erster Stelle stehen müssen. Die wesentlichen Aspekte – wie die Multi-Faktor-Authentifizierung, die Verwaltung privilegierter Zugriffe, eine robuste Überwachung und grundlegende Hygienemassnahmen in Bezug auf Endpunkte und Anwendungen – bleiben die wichtigsten Verteidigungslinien. Ohne diese Grundlagen können noch so viele KI-gesteuerte Tools die eklatanten Lücken in der Sicherheitslage nicht ausgleichen. Ich gebe zu, dass KI-Tools sicherlich bestimmte Aspekte der Cybersicherheit verbessern können, insbesondere bei der schnelleren Erkennung und Reaktion auf Bedrohungen, aber ich warne hier davor, dass die Gefahr besteht, dass Unternehmen sich vom neuesten Hype ablenken lassen (was in der Technologiebranche und insbesondere in der von Technologieanbietern geführten Cyberwelt durchaus üblich ist), anstatt sich den anhaltenden grundlegenden Sicherheitsherausforderungen zu stellen.

Cyberkriminelle nutzen oft bekannte Schwachstellen aus, die aufgrund mangelnder Aufmerksamkeit für die Grundlagen nicht gepatcht (geflickt) oder verteidigt wurden. Wenn sich Unternehmen auf die Verbesserung dieser Grundlagen konzentrieren, werden sie ihre Anfälligkeit für häufige Angriffe deutlich reduzieren, bevor sie überhaupt auf fortschrittliche KI-Systeme angewiesen sind.

Allerdings stellen KI-Systeme selbst eine neue Angriffsfläche dar. Die rasche Zunahme von KI-Anwendungen in Unternehmen hat neue Schwachstellen geschaffen, da KI-Systeme anders aufgebaut sind als herkömmliche Anwendungen und anfällig für neuartige Angriffsvektoren sein können. Herkömmliche Tools zum Testen von Anwendungen reichen nicht aus, um Schwachstellen in KI-Systemen zu identifizieren. Hierfür sind spezielle Testlösungen erforderlich, wie sie von Unternehmen wie MindGard angeboten werden, die sich auf KI-spezifische Schwachstellen konzentrieren. Dazu gehört die Überwachung des KI-Verhaltens, der Leistung und der Ergebnisse auf Anomalien sowie die Erkennung von «Schatten-KI» – nicht autorisierte oder nicht verwaltete KI-Anwendungen, die innerhalb der Organisation betrieben werden.

Während KI also sowohl zur offensiven als auch zur defensiven Seite der Cybersicherheit beitragen kann, sollte die Entdeckung und Schwachstellenprüfung von KI-Systemen für Unternehmen, die mit der Integration dieser Technologien beginnen, eine Priorität sein. Dies ist besonders wichtig, um die Risiken durch unkontrollierte KI-Anwendungen zu mindern und sicherzustellen, dass Unternehmen bei der Einführung neuer Technologien widerstandsfähig bleiben.

Zusammenfassend lässt sich sagen, dass der Weg nach vorne klar ist: Es ist wichtig, zunächst die Grundlagen zu schaffen, um die dringendsten und häufigsten Cyberrisiken zu bewältigen. Sobald diese sicher umgesetzt sind, können Unternehmen ihre Aufmerksamkeit auf KI richten, nicht nur, um deren Verteidigungsfähigkeiten zu nutzen, sondern auch, um sicherzustellen, dass KI-Systeme selbst gründlich getestet und gegen potenzielle Schwachstellen abgesichert werden.

Teil zwei dieses Interviews wird am 25. Oktober 2024 veröffentlicht.

John Madelin verfügt über mehr als 30 Jahre praktische Erfahrung in zahlreichen Front-Line-Rollen, die sich auf die Konzeption, den Aufbau und das Management von Cybersicherheit konzentrierten – und intensive Verantwortlichkeiten im Bereich des Managements von Cybervorfällen umfassten. Johns Erfahrung erstreckt sich auf die Bereiche Regierung, Banken, Einzelhandel, Fertigung und Versorgungsunternehmen. Sein praktischer Ansatz wird durch seine Beteiligung an der Verwaltung einer der größten Datenbanken für Cybervorfälle der Branche mit Strafverfolgungsbehörden untermauert.

• Als langjähriges Mitglied der Sicherheitsgemeinschaft hat er viele bedeutende Rollen und Verantwortlichkeiten übernommen. In den letzten Jahren gehörten dazu:
• Entwurf des öffentlichen Konsultationsdokuments der britischen Regierung zum Cyber-Beruf;
• Vorsitz von RISCS, einem der führenden Forschungsausschüsse, der der britischen Regierung Material zur Cybersicherheit zur Verfügung stellt;
• Stark involviert in den Verizon Data Breach Report in der Anfangsphase
• Zusammenarbeit mit Analyst Cyentia (Wade Baker ex Verizon DBR) bei zweijährigen Vorstands- und CISO-Interviews
• Er wurde Oxford Martin Associate zum Thema internationale Zusammenarbeit, woraus NIS2 wurde;
• Er bot Beratung als akademischer Betreuer an der University of Cambridge an;
• Er beriet eine andere große nationale Regierung als reguläres Ausschussmitglied;
• Und er war Co-Direktor von CSEConnect, einer von NCSC gesponserten Initiative zur Professionalisierung der Cyber-Akademia.
• Sowohl CISO als auch Dienstleister für grosse Sicherheitsunternehmen.

Lesen Sie auch: Shira Kaplan: Aufbau eines Cybersecurity-Ökosystems in der Schweiz

---

---