Independent Competence Platform
for Integrated Security in Switzerland.

Security – was wird im Jahr 2022 auf uns zukommen?

Bild Hämmerli

Im Jahr 2020 kosteten die Deutschen Unternehmen - gemäss Bitcom - die Cybervorfälle über 220 Milliarden Euro. Skalieren wir diese Zahl für die Schweiz, sind es 22 Milliarden Franken, also mehr als das Vierfache des Budgets der Schweizer Armee. Weshalb?

Motivation Cyberkrimineller
Cyberkriminelle arbeiten im Kriminalitätssektor mit den höchsten Gewinnchancen, deutlich höher als das Drogengeschäft, und gleichzeitig eine viel kleinere Chance in die Fänge der Justiz zu gelangen. Deshalb können wir davon ausgehen, dass auf der Täterseite der Druck auf die Unternehmen erhalten und gesteigert wird. Ransomware wird zunehmen und sich verbreitern auf die Leitsysteme, die auch von kritischen Infrastrukturen gebraucht werden. Betroffen werden alle Sektoren sein, und wie immer wird es die am wenigsten geschützten am meisten treffen. Dort ist für die Hacker das Ertrags- zu Investition-Verhältnis am besten.

Corona und Homeoffice – ein gefundenes Fressen für Hacker?
Wir stehen wieder unter Homeoffice-Pflicht. D. h. alle arbeiten von zu Hause. In vielen Fällen können Hacker einfacher ein Homeoffice angreifen, während dem die Aufmerksamkeit der Arbeitenden bezüglich Cybersicherheit eher kleiner ist, und die regelmässigen firmeneigene Awareness Trainings nicht mehr konsistent durchgeführt werden. Es ist zu erwarten, dass die dadurch entstehenden Schwachstellen Hacker anziehen. Über die Heimgeräte wird dann versucht, in die Firmen zu kommen und auch die Kundinnen und Kunden dieser Firmen unter Hacking-Beschuss zu nehmen (Supply Chain Attacks).

Aufrüsten der Firmen bezüglich Cyber Security und erhöhte Verantwortung für Cyber Security
Viele Firmen wollen die Cyber Security erhöhen und mehr Personal anstellen.

Das Personal aufbauen: Das Cyber-Security-Personal ist schwerlich auf dem Markt verfügbar. IBM will deshalb in den nächsten drei Jahren 150'000 IT-Spezialistinnen und IT-Spezialisten weltweit in Cyber Security ausbilden. Google, Amazon, Microsoft und Apple haben in diesem Bereich auch ehrgeizige Ziele. Kleinere Firmen werden wohl mit dem Markt leben müssen und die Absolventinnen und Absolventen von den lokalen Schulen anstellen.

Die Sicherheit erhöhen: Viele Geschäftsleitungen sind sich heute der erhöhten Risiken im Cyberbereich bewusst. Die CISO werden enger eingebunden, müssen öfters rapportieren und müssen neue Konzepte zur erhöhten Sicherheit entwickeln. Die Bereitschaft zu investieren ist grösser geworden. Eine Herausforderung ist es, in vielen Firmen kompetente Ansprechpartner in der Geschäftsleitung zu finden oder auszubilden, die den Cyber-Security-Bereich koordinieren. Die CISO und Ihre Stellvertreter werden mehr in die Pflicht genommen, was beim aktuellen Druck auf Angreifer-Seite sehr unangenehm ist. Neue Strukturen für Zuständigkeiten im Cyber-Security-Bereich und neues Personal müssen auf die verbreiteten Ziele und den erhöhten Druck ausgerichtet werden.

Kleinere und mittlere Firmen brauchen externe Security Services
Für kleinere und mittlere Firmen ist es unabdingbar, mit Managed Security Providern, Security Operation Center, Cyber Defence Centern oder CERTS zu sprechen, uses cases vorzubereiten und im operativen Bereich des Alltagsgeschäfts wie auch bei schwerwiegenden Vorfällen eine professionell gelebte Partnerschaft einzugehen.  Wird der richtige Zeitpunkt verpasst, dann können die Schäden durch Hacker echt teuer werden!

Schlussfolgerung
Die Lage im Cyber-Security-Bereich ist sehr ernst, und die Fantasie, dass zahlen günstiger ist als schützen (in der Vergangenheit konnte man damit leben) ist heute ein lebensbedrohliches Risiko für jede Firma. Die Security muss auf die neue Lage angepasst und getestet werden (z. B. Pentest, Bug Bounty) sowie Ausserordentliche Risiken müssen mit Partnerschaften minimiert werden. Wer nicht handelt, wird leiden.

Prof. Dr. Bernhard M. Hämmerli
Leiter Studiengang Information & Cyber Security an der Hochschule Luzern – Informatik
Organisator des Swiss CISO Summit und des OT-IT Cyber Security Forum

Interessiert?
Cyber Security an der Hochschule Luzern studieren:
Bachelor in Information & Cyber Security
Master of Advanced Studies in Information & Cyber Security


mySecurityService

  • Consulting, Project, Education
  • Integration, Security
  • SOC-Services
  • Certifications/Standards

Security Competences

Security-Finder Schweiz: Newsletter