Weshalb Unternehmen damit rechnen sollten, dass sie irgendwann gehackt werden

Sie sind seit über 20 Jahren in der Branche tätig. Wie hat sich Ihr Blick auf die Cybersicherheit seither verändert, insbesondere seit der Gründung von SCRT?

Paul Such: Es hat sich viel getan. Der Markt hat sich verändert und auch meine persönliche Sichtweise. Anfang der 2000er-Jahre war die Cybersicherheit noch ein echtes Nischenthema. Man musste potenzielle Kunden überzeugen und ihnen erklären, warum man einen Penetrationstest machen sollte, warum Sicherheit wichtig ist, welche Risiken es gibt usw. Vor 20 Jahren bedeutete die Arbeit im Bereich Cybersicherheit, Antivirenprogramme zu verkaufen. Heute sind sich die Menschen der Bedrohungen bewusst. Sie wissen, dass man etwas Zeit, Energie und Budget investieren muss. Die öffentliche Wahrnehmung hat sich verändert, ebenso wie die Berichterstattung in den Medien. Damals wurde in den Medien kaum darüber berichtet. Heute vergeht keine Woche, in der nicht über einen Angriff oder einen Vorfall berichtet wird. Auch aus meiner Sicht änderte sich die Positionierung. Als ich anfing, hatte ich gerade erst die Schule abgeschlossen. Ich sah mich nicht als Unternehmer. Ich hatte einen, zwei, dann drei Angestellte, bis ich schliesslich SCRT gründete.  Heute arbeite ich sowohl als Ingenieur als auch zunehmend in Führungspositionen.  Aber im Grunde genommen bin ich immer noch begeistert von dem, was ich tue, und im Herzen bin ich immer noch ein Ingenieur.

Es ist schon aufregend, streng vertrauliche Daten zu schützen oder bei einem ­Penetrationstest auf Informationen zuzugreifen, die ­niemand sehen soll.

Was treibt Sie heute noch in diesem Bereich an?

Es ist schon aufregend, streng vertrauliche Daten zu schützen oder bei einem Penetrationstest auf Informationen zuzugreifen, die niemand sehen soll. Ich habe das grosse Glück, von meiner Leidenschaft leben zu können, und das ist grossartig. Vor 20 Jahren arbeiteten die meisten Menschen im Bereich Cybersicherheit aus Leidenschaft, weil sie etwas lernen wollten. Heute ist die Branche auch aus wirtschaftlichen Gründen attraktiv: Die Gehälter sind gut, die Nachfrage ist gross. Daher findet man manchmal Stelleninhaber, die weniger leidenschaftlich sind als früher.

Welche Angriffsmethoden beobachten Sie heute am häufigsten? Gibt es neue Trends oder auffällige Entwicklungen in den Methoden der Angreifer?

Im Grossen und Ganzen ist es in den letzten Jahren die gleiche Angriffsmethode: Ransomware, immer und immer wieder. Es gibt auch Denial-of-Service-Angriffe und Datenexfiltration. Allerdings hat sich jedoch eines geändert: Die Computerkriminalität ist professioneller geworden, was sie früher nicht unbedingt war. Heute kann man wirklich sehen, dass dies zum Lebensunterhalt krimineller Organisationen geworden ist. Sie sind extrem gut vorbereitet. Manche Angriffe werden sechs Monate, ein Jahr oder sogar achtzehn Monate lang vorbereitet. Manchmal zielen sie auf einen Zulieferer des anvisierten Unternehmens ab, und dies mit sehr hohem Detailierungsgrad und Präzision. Wir sehen weniger idealistisches Hacking. Vor zehn Jahren gab es Anonymous, die viel von sich reden machten. Jetzt geht es eher um finanzielle als um ideologische Themen, und es sind Profis.

Beim jüngsten Angriff auf Chain IQ soll es sich um eine Ransomware mit neuartigen Techniken gehandelt haben, die sich selbst zerstören sollte. Was bedeutet dies für die Cybersicherheit der Schweizer IT-Anbieter?

Dies ist typischerweise ein Angriff, bei dem der Hacker ein Unternehmen ins Visier nimmt, das kritische Informationen über interessante Kunden besitzt. Und es ist oft einfacher, einen Lieferanten anzugreifen als das Hauptziel selbst. Dies wurde unter dem Namen Supply-Chain-Angriff bekannt: Man kommt sozusagen von der anderen Seite rein. Solche Vorfälle veranlassen Unternehmen dazu, der Sicherheit ihrer Zulieferer mehr Aufmerksamkeit zu schenken. Dies wird bereits von einigen Standards wie ISO 27001 gefordert, in denen empfohlen wird, zu überprüfen, ob ein Lieferant, dem man Zugang zu kritischen oder sensiblen Daten gewährt, über ein Mindestmass an Sicherheit und IT-Hygiene verfügt.

Heutzutage ist jede Struktur, die von der IT abhängig ist, ein potenzielles Ziel.

Was sind Ihrer Meinung nach die grössten Herausforderungen im Bereich der Cybersicherheit, denen sich Schweizer KMUs heute gegenübersehen?

Es gibt mehrere. Erstens gibt es eine Kostenherausforderung. Man muss begründen können, warum man mehrere Tausend Franken für die Cybersicherheit ausgibt. Solange Unternehmen nicht mit einem (Hacker-)Problem konfrontiert sind, fällt es ihnen oft schwer, den Wert der Security-Investitionen zu erkennen. Zweitens gibt es ein Verständnisproblem. Cybersicherheit ist immer noch ein technischer Bereich, heute aber auch ein Wachstumssektor. KMUs werden daher immer häufiger mit Verkäufern konfrontiert, die ihnen Wunderlösungen versprechen, obwohl Unternehmen oft nur die Grundprinzipien anwenden müssen: Updates durchführen, gute Passwörter verwenden und Mitarbeitende schulen. Damit muss man anfangen, bevor man in teure Lösungen investiert. Was ich auch sehe – und das ist nicht nur bei KMUs der Fall –, ist die Erwartung, dass sich die Investitionen rentieren. Die Unternehmensleitungen und Vorstände beginnen, Rechenschaft zu verlangen. Sie wollen Beweise für die erzielten Fortschritte. Und das ist eine neue Herausforderung: KMUs müssen jetzt in der Lage sein, zu messen, was sie tun. Sie müssen sagen können: «2024 waren wir hier, 2025 sind wir hier.» Ob es sich nun um Reaktionszeiten oder die Anzahl der Vorfälle handelt: Es müssen klare Indikatoren vorhanden sein.

Gibt es grosse Unterschiede hinsichtlich des Security-Reifegrads zwischen den verschiedenen Branchen (Finanz- und Gesundheitswesen, Industrie usw.)?

Ja, in manchen Branchen hat man keine Wahl. In der Finanzbranche etwa, die ich gut kenne, da ich im Verwaltungsrat einer Bank bin, gibt es Compliance-Verpflichtungen. Die Finma kontrolliert, dass bestimmte Massnahmen umgesetzt werden, es gibt Audits usw. Das wird ernst genommen, weil sie keine andere Möglichkeit haben. Andere Sektoren wie das Gesundheitswesen sind ebenfalls teilweise reguliert. Und ganz allgemein haben alle Unternehmen, die mit sensiblen Daten umgehen – Personalwesen, Patente, Bankdaten – in der Regel eine etwas weiter entwickelte Sicherheitskultur. Problematischer sind jene Unternehmen, die nicht erkennen, dass sie interessante Ziele abliefern. Heutzutage ist jede Struktur, die von der IT abhängig ist, ein potenzielles Ziel. Ob eine Autowerkstatt oder ein Industrieunternehmen – wenn dieses Unternehmen eine Buchhaltung, ein Abrechnungssystem oder ein Telefon hat, bleibt es ein sehr interessantes Ziel, und es ist sehr wahrscheinlich, dass es für die Wiederherstellung seiner Daten bezahlen wird, wenn es von einer kriminellen Gruppe mittels Crypto-Locker angegriffen wird. 

Die Sicherheit kann man auslagern, aber die Risiken bleiben bei Ihnen.

Auch der öffentliche Sektor bleibt nicht verschont. Eine kürzlich durchgeführte Umfrage ergab, dass fast die Hälfte der Schweizer Gemeinden nicht über ein vollständiges Inventar ihrer IT-Systeme verfügt. Wie erklären Sie sich, dass dieser Mangel an Transparenz im Jahr 2025 immer noch besteht?

Ehrlich gesagt, ich habe darauf keine klare Antwort, aber einige Vermutungen: Oftmals wurde die Digitalisierung in Gemeinden oder kleinen Verwaltungen nach und nach und ohne eine wirklich klare Strategie durchgeführt. Das sieht man auch heute noch: In manchen kleinen Strukturen ist die Person, die sich um die IT kümmert, auch für andere Bereiche zuständig. Diese Verwaltungen sind oft zu klein, um eine richtige IT-Abteilung oder sogar eine verantwortliche Person dafür zu haben. Sie tun, was sie können, mit den Mitteln, die sie haben, und dem Wissen, das sie besitzen. Vielleicht wäre es eine Möglichkeit, sich stärker auf spezialisierte Dienstleister zu verlassen – und die IT in die Hände von Personen zu legen, die das beruflich machen.

Kann man die Cybersicherheit auslagern, ohne die Kontrolle über die Risiken zu verlieren?

Die Sicherheit kann man auslagern, aber die Risiken bleiben bei Ihnen. Wenn Sie die Auslagerung gut geplant haben, sind Sie sich der Risiken, die Sie eingehen, normalerweise bewusst. Es ist ein Fehler, zu glauben, dass man sich von Risiken freisprechen kann, nur weil man sie auslagert.

Rechnen Sie damit, dass Sie irgendwann gehackt werden!

Was bietet Swiss Post Cybersecurity konkret an, um diesen Herausforderungen zu begegnen? Inwiefern unterscheidet sich Ihr Ansatz?

Wir decken die gesamte Schweiz in Fragen der Cybersicherheit ab. Und wir sind auch einer der wenigen wirklich nationalen Akteure, da die Eigentümerschaft des Unternehmens zu 100 Prozent in der Schweiz liegt. Wir sind eine unabhängige Konzerngesellschaft der Schweizerischen Post. Was die Dienstleistungen betrifft, so bieten wir sowohl punktuelle Beratung als auch regelmäs­sige Überwachung durch Sicherheitsmonitoring an. Oder die Reaktion auf Vorfälle, selbst wenn es bereits zu spät ist. Wir sind in der Lage, bei allen Arten von Organisationen zu intervenieren: Banken, Versicherungen, Verwaltungen, KMUs, Industrieunternehmen usw. Wir sind derzeit einer der grossen Akteure in der Schweiz. Mit 160 Mitarbeitenden verfügen wir über ein breites Spektrum an Kompetenzen. Die Cybersicherheit erfordert manchmal sehr spezifische Fachkenntnisse: Wir verfügen dank unserer Grösse über die richtigen Spezialisten, die in der Lage sind, lokal auf sehr spezifische Themen einzugehen.

Welche Ratschläge würden Sie Unternehmensleitern geben, die ihre Cybersicherheit wirksam erhöhen möchten?

Zunächst einmal sollten Sie nicht an Wundermittel glauben. So etwas gibt es nicht. Man muss an der Basis beginnen, mit einer guten Sicherheitshygiene, also starken Passwörtern, der Anwendung von Patches und einer Risikoanalyse, und alle Mitarbeitenden in die Verantwortung einbeziehen. Man darf nicht glauben, dass die Sicherheit von einer einzigen Person geregelt wird. Das ist nicht der Fall und wird auch nie der Fall sein. Es ist nicht nur die Sache des CISOs. Man muss ein Minimum an Budget dafür aufwenden. Sie können noch so gute Leute haben, wenn Sie ihnen nicht die Mittel zur Verfügung stellen, werden sie nichts tun können. Als Faustregel gilt, dass mindestens 10 Prozent des IT-Budgets für die Cybersicherheit aufgewendet werden sollten. Manchmal ist es keine schlechte Option, Outsourcing in Betracht zu ziehen, insbesondere für kleine Unternehmen. Heutzutage ist es kompliziert, die richtigen Experten anzuziehen, sie zu halten und alle notwendigen Fähigkeiten zusammenzubringen. Darüber hinaus braucht man eine Sicherheitskultur auf der Ebene der Geschäftsleitung. Das ist wichtig, denn wenn die Sicherheit nicht von der Geschäftsleitung getragen wird, kann man nicht erwarten, dass sich andere Personen im Unternehmen damit befassen. Glücklicherweise gibt es immer mehr Vorstände, die Experten für Cybersicherheit einstellen. Letzter Punkt: Denken Sie voraus! Meiner Meinung nach ist es im Jahr 2025 der richtige Schritt, ein Assume-Breach-Paradigma zu übernehmen: Man fragt sich nicht mehr ob, sondern wann es passieren wird. Rechnen Sie damit, dass Sie irgendwann einmal gehackt werden.

Zur Person
Paul Such ist Cybersecurity-Experte und seit Dezember 2024 CEO von Swiss Post Cybersecurity. Nachdem er zwischen 1999 und 2002 als Sicherheitsingenieur in verschiedenen Dienstleistungsunternehmen tätig gewesen war, gründete er das auf IT-Sicherheit spezialisierte Unternehmen SCRT und leitete es bis 2017. 2016 gründete er zudem das Unternehmen Hacknowledge, das 2022 von der Schweizerischen Post übernommen wurde. Hacknowledge und Terre­active treten seit (Juli) 2024 gemeinsam als Swiss Post Cybersecurity auf.

Abonnieren Sie jetzt den Newsletter des "IT-Markt", der Info-Drehscheibe für den Schweizer IT-Channel und verpassen Sie keine News mehr. Der Newsletter liefert Ihnen täglich die relevanten Meldungen für die Entscheider im Schweizer IT-Channel - vom Reseller über den Systemintegrator bis zum Disti.