Cybersicherheit während des Ukraine-Kriegs: Interview mit Cyberexpertin Vivian G. Simon

Gerade jetzt ist das Thema Cybersicherheit gefragt wie nie. Erst im Dezember hat thebroker.ch gefragt, ob neue Cyber-Versicherungen nötig seien. Seither hat sich in Europa, ja auf der ganzen Welt, viel verändert. Cyberrisiken gehören gemäss Allianz Riskbarometer 2022 zum weltweit – auch in der Schweiz – grössten Risiko 2022. Wir sprechen mit der Dozentin und Autorin für Cybersicherheiten, Vivian G. Simon, welche Wichtigkeit die Cybersicherheit gerade wegen des Ukraine-Kriegs haben wird.

Frau Simon, wie und wo erreichte Sie die Nachricht über den Angriff Russlands auf die Ukraine?

Die Nachricht erreichte mich frühmorgens in Berlin via Eilmeldung vom Mobiltelefon, nach Einmarsch der Russen in die Ukraine. Das heisst also am 24. Februar um etwa 5 Uhr (MEZ), da war es – vor Ort in Kiew war es also etwa 6 Uhr früh. 

Waren Sie überrascht?

Dass es zu einem Einmarsch kommen könnte, hatte ich aufgrund der geopolitischen Entwicklungen nicht ausgeschlossen, ich könnte schon fast sagen: Ich habe es nach der Anerkennung am 21. Februar der Regionen Donezk und Luhansk als «unabhängige Volksrepubliken» durch Wladimir Putin befürchtet. Tatsächlich sehr überrascht und sehr in Sorge gebracht hat mich das Tempo vom Zeitpunkt der Anerkennung bis hin zum militärischen Schlag nur drei Tage später. Zum jetzigen Stand lässt sich dies sicherlich mit dem offenbar beabsichtigten Blitzkrieg Russlands erklären – der so, wie nun klar wurde, länger andauert.

Als Expertin und Dozentin für Cybersicherheit mussten Sie Ihre Unterlagen neu einordnen, nehme ich an.

Falls Sie damit meinen, dass nach Eintritt von nationalen und / oder internationalen Grossereignissen Informationen im Rahmen meiner Dozentur aktualisiert werden müssen, kann ich dies bestätigen. Ich denke allerdings, dass Aktualisierungen und Ergänzungen von Informationen nicht nur meine Arbeit betreffen, sondern selbstverständlich auch in allen Bereichen länderübergreifend getätigt werden. 

Wovor muss sich Ihrer Ansicht nach der Westen vor allem wappnen?

Da ich keine Militärexpertin bin, kann ich Ihnen zu militär-strategischen Schutz-und Abwehrmassnahmen nichts sagen. Bezogen auf «Cybersicherheit» wurde die Gefahrenlage schon vor dem Ukraine-Krieg seitens des Bundesamtes für Sicherheit in der Informationstechnik BSI als «kritisch bis angespannt» eingeschätzt. Dies gilt zunächst einmal für Deutschland, aber auch das Nationale Zentrum für Cybersicherheit NCSC der Schweiz* registriert vermehrt Cyberangriffe. Etwa die Hälfte der in der Schweiz gemeldeten Fälle waren Betrugsdelikte, das heisst kriminelle Handlungen im Zusammenhang mit Online-Shops, Immobilienanzeigen und vorgetäuschten Liebesbeziehungen. In Deutschland liegen zurzeit Angriffe mit Ransomware an erster Stelle. In Bezug auf den Ukraine-Krieg ist allgemein Vorsicht geboten bei Hilfe- und Spendenaufrufen, bei möglichen Deepfakes und Bildern über mobile Endgeräte von Gefechtssituationen, die sich nicht immer eindeutig auf Echtheit und Datum verifizieren lassen. Die Manipulation von Meinungsbildung in der Bevölkerung spielt hier eine grosse Rolle.

Wie kann der Westen sich am besten vor Cybergefahren schützen?

Cybersicherheit lässt sich nicht auf eine Region beschränken, da im Internet Ländergrenzen aufgehoben sind. Grundsätzlich hat Cybersicherheit zwei wichtige Komponenten: Zum einen die IT-Sicherheit, bei der durch das Ergreifen aller technischen Massnahmen Infrastrukturen, Hardware und Software sowie persönliche und nicht personenbezogene Daten gschützen werden. Die zweite Schutz-Komponente der Cybersicherheit ist der Mensch selbst: Es braucht vor allem bei den Nutzer*innen das Bewusstsein, dass das Internet zwar wunderbar und erhellend sein kann, es aber ganz dringend Sorgfalt und Veränderungskompetenz braucht, damit die Reise auf der unendlichen, sich immer weiterentwickelnden Datenautobahn möglichst schadenfrei gelingt. Hierzu braucht es Aufklärung, wie ich sie in meinen Dozenturen vermittle.

In der Schweiz werden verschiedene Cyberrisk-Versicherungen angeboten: Benötigen diese nun Anpassungen?

Dies kann ich nicht konkret beantworten, da ich die Policen und internen Strukturen der jeweiligen Versicherungen nicht ausreichend kenne. Aber es ist sicherlich richtig und wichtig, technische Anpassungen und Weiterbildungen für Führungskräfte und Mitarbeitende regelmässig vorzunehmen – natürlich zugeschnitten auf die individuellen Anforderungen der Companies. 

Inwiefern?

Bei der IT-Komponente sollten beispielsweise regelmässig von Expert*innen Sicherheits-Checks und Pen-Tests durchgeführt werden. Auch mittels eines digitalen Zwillings können mögliche Schäden begrenzt werden. Mitarbeitende und Führungskräfte sollten für die virtuelle Welt sensibilisiert und geschult werden. Denn wenn sich das Internet weiterentwickelt – was auch für Angreifer gilt, die immer professioneller werden – sollten Unternehmensbeteiligte auf allen Ebenen nicht aussen vor gelassen werden.

In einem Interview mit Kessler & Co. AG wurde gesagt, dass erst circa zwanzig Prozent ihrer Kund*innen gegen Cyberrisiken versichert seien. Ist diese Zahl nicht sehr klein?

In Bezug auf einzelne Kooperationen zwischen Konzernen und ihren Kunden kann ich keine Aussage treffen. Richtig ist aber, dass Versicherungen gegen Cyberrisiken verstärkt ins Bewusstsein von Unternehmensentscheidern dringen und sicherlich vor allem für KMU eine sinnvolle Investition sind – vorausgesetzt, die Versicherung ist individuell auf das jeweilige Unternehmen zugeschnitten. 

Wie wird das Cyberrisiko einer Firma geprüft?

Hier gibt es eine ganze Reihe von Möglichkeiten bei der IT und im Personalwesen, wie schon teilweise angetönt. Bevor die aktive Prüfung in Firmen beginnt, geht in der Regel eine Analyse voraus, anhand derer Ist- und Sollzustand ermittelt werden. Das bedeutet, dass Transparenzgespräche zur Bedarfsermittlung anfangs im Mittelpunkt stehen.

Immer wieder nennt man die Mitarbeitenden, bei welchen das grösste Risiko lauert. Weshalb ist dies so?

Mitarbeitende auf allen Hierarchieebenen sind Menschen und damit beeinflusst von äusseren Faktoren wie Stress und Zeitdruck sowie inneren wie Zufriedenheit, Glück oder Angst. Sie reagieren nicht wie ein Computer, der determiniert nach Vorgabe arbeitet. Je nach Auswildung, Resilienz, Gefühlslage und Veränderungskompetenz passiert es, dass einzelne Mitarbeitende ungewollte Entscheidungen treffen können. Dazu gehört der verhängnisvolle Klick auf den verseuchten Link einer Phishing-Mail.

Welche Massnahmen empfehlen Sie Firmen im Versicherungssektor?

Die Massnahmen, die ich empfehle betreffen nicht nur den Versicherungssektor, sondern sind universell anwendbar. Versicherungen sind in dieser Thematik hier meiner Einschätzung nach jedoch besonders gefordert, da Versicherer mit vielen personenbezogenen Daten arbeiten. Inwieweit sensible Daten oder Kontakte der jeweiligen Company über Drittdienste, die Internet-Assets entdecken, einzusehen sind, wäre sicherlich ein erster Schritt. Awareness-Schulungen der Mitarbeitenden und Führungskräfte sind zentrale Begleitmassnahmen.

* Quelle: Statista

Das Interview hat Binci Heeb geführt.

Vivian G. Simon ist ausgebildete Redakteurin und studierte Change Managerin für den digitalen Wandel (Exzellenz-Uni Hamburg). Sie arbeitet als Dozentin und Autorin für Cybersicherheit im DACH-Raum. Ihr Schwerpunkt liegt auf der Stärkung von Veränderungskompetenzen für Führungskräfte. Vivian G. Simon ist Mitglied im UVOH Plön, bei MPoint/Hamburg und in der BSI-Denkwerkstatt «Dialog für Cybersicherheit» und dort Workstream-Patin für die Entwicklung nutzerfreundlicher, sicherer und nachhaltiger Produkte. Sie ist Autorin des Booklets «Sicher.Vernetzt. Cybercrime ist ein Teil unserer Gesellschaft …» // www.viviansimon.de