Kyndryl, ein Unternehmen, das im September 2021 aus der Abspaltung eines grossen Teils der bisherigen IBM entstand und gemäss eigenen Angaben der weltweit grösste IT-Servicedienstleister ist, hat kürzlich eine Umfrage bei 300 IT-Entscheidungsträgern durchgeführt. Maria Kirschner, Vice President und General Manager von Kyndryl Alps, gibt im Interview einen Einblick in die Ergebnisse, eine Einschätzung zur aktuellen Lage der IT-Sicherheit in der Schweiz sowie Empfehlungen, wie diese erhöht werden kann.
Frau Kirschner, Kyndryl hat eine Befragung bei rund 300 IT-Entscheidungsträgern durchgeführt. Welche Resultate sind für Sie hervorzuheben?
Für mich herausgestochen ist die Zuversicht der Unternehmen. Die Frage, ob sie auf IT-Angriffe vorbereitet sind, würden die meisten mit Ja beantworten, allerdings besteht eine deutliche Diskrepanz zwischen ebendieser Zuversicht und der Realität: In der Umfrage gaben 88 Prozent der Befragten an, dass sie gut darauf vorbereitet sind, mit widrigen Umständen, Cyberangriffen oder Kompromittierungen, die ihre IT-Ressourcen stören, umzugehen und sich davon zu erholen. Gleichzeitig räumten 92 Prozent der Befragten ein, dass ihr Unternehmen in den letzten zwei Jahren von negativen Ereignissen betroffen war.
Wie schätzen Sie die Lage in der Schweiz ein?
Gemäss der International Telecommunication Union on Cybersecurity steht die Schweiz in der weltweiten Rangliste der Cybersicherheit an 42. Stelle. Die Zahl der wöchentlich an das Nationale Cybersicherheitszentrum (NCSC) gemeldeten Vorfälle steigt deutlich an und zeigt, dass auch Schweizer Unternehmen und Organisationen Cyberangriffen ausgesetzt sind. In der ersten Oktoberwoche 2023 verzeichnete die zentrale Meldestelle rund 1516 Fälle, in denen die Cybersicherheit beeinträchtigt wurde. Damit hat die Cyberkriminalität in der Schweiz laut Statista einen Höchststand erreicht.
Zielen die Angriffe auf einen bestimmten Bereich ab?
Ja. Wir haben festgestellt, dass insbesondere Banken im Visier der Hacker stehen. Solche Angriffe können natürlich weitreichende, gravierende Folgen für verschiedenste Interessengruppen haben. Zudem entwickelt sich die digitale Umgebung extrem schnell, und die Cyberbedrohungen werden so auch immer ausgefeilter. Deswegen ist es umso zentraler, dass Finanzunternehmen jeder Art korrekt vorbereitet sind. Wie ihre Cyberstrategie genau aussieht, liegt bis zu einem gewissen Grad in ihrer Hand. Unabhängig davon, ob sie beim Management von IT-Risiken noch einen langen Weg vor sich sehen oder sich sicher sind, dass sie auf dem richtigen Weg sind, bestehen einige Ansatzpunkte, um diese Sicherheit zu gewährleisten.
Um mit den Cyberbedrohungen Schritt halten zu können und, sollte es zu einem Angriff kommen, die Umgebung schnell wiederherzustellen, sollten gemäss Maria Kirschner sieben Aktivitäten berücksichtigt werden:
1. Silos aufbrechen
IT-Organisationen arbeiten allzu oft in einem Silo, getrennt von anderen Unternehmensbereichen. Der sicherste Weg für den Erfolg einer Cyberresilienzstrategie ist das Aufbrechen eben dieser Silos. Resilienz sollte Teil der Unternehmenskultur sein, in der Mitarbeitende, die nicht in der IT tätig sind, ebenfalls zu wichtigen Gesprächen eingeladen werden. Cyberresilienz sollte in der Mission der Finanzunternehmen verankert sein.
2. Bestandsaufnahme machen
Viele Finanzdienstleister stehen vor der Herausforderung, dass ihre IT-Landschaft immer umfangreicher und komplexer wird. Es ist wichtig, die kritischen IT-Ressourcen zu identifizieren und zu kartieren, welche die Geschäftsziele unterstützen und voranbringen. Diese Vermögenswerte müssen vorrangig geschützt und im schlimmsten Fall nach einem Zwischenfall wiederhergestellt werden.
3. Übergang zu einem Zero-Trust-Vertrauensrahmen
Es ist wichtig, einen «Deny-by-default»-Standard zu haben, um sicherzustellen, dass nur diejenigen, die Zugang zu den Systemen benötigen, diesen auch erhalten, während ihn jene, die ihn nicht benötigen, nicht bekommen.
4. Erstellung und Durchführung eines Krisenmanagementplans
Manchmal sind unerwünschte Ereignisse unvermeidbar. Dazu ein Beispiel: Menschliches Versagen ist die häufigste Ursache für IT-Störungen. Die Festlegung von Rollen und Zuständigkeiten in den einzelnen Teams, die Einrichtung eines Kommunikationsprozesses, die Dokumentation von Prozessen und die Verbesserung der Transparenz tragen häufig dazu bei, die Auswirkungen eines unerwünschten Ereignisses zu verringern. Sobald ein Plan erstellt ist, ist es zudem wichtig, ihn regelmässig zu testen.
5. Kontinuierliche Modernisierung der Cyberresilienzstrategie
Geschäftsziele ändern sich immer wieder im Bankenbereich. IT-Systeme werden immer komplexer, und externe Faktoren wie Vorschriften können Änderungen erforderlich machen. Um sicherzustellen, dass die Cyberresilienzstrategie effektiv ist, müssen diese grundlegenden Schritte Teil einer laufenden Diskussion sein.
6. Implementierung eines robusten Wiederherstellungsplans für Cybervorfälle
Da die digitale Transformation und die Hyperkonvergenz unbeabsichtigte Einfallstore für Cyberrisiken, Schwachstellen, Angriffe und Ausfälle schaffen, wird eine Cyberresilienzstrategie schnell notwendig. Diese hilft den Finanzunternehmen, Risiken, finanzielle Auswirkungen und Reputationsschäden zu verringern.
7. Häufige Information der Geschäftsführung und des Vorstandes
Am wichtigsten ist, dass Banken und Co. nicht warten, bis es zu spät ist. Die Unterrichtung der Unternehmensleitung und des jeweiligen Vorstands über Cyberereignisse und andere IT-Risiken – einschliesslich der Pläne zur Minderung dieser Risiken – kann dazu beitragen, die organisatorische Ausrichtung von oben nach unten voranzutreiben und die notwendigen Änderungen vorzunehmen, um sicherzustellen, dass cybergestützte Systeme auch bei ungünstigen Ereignissen betriebsbereit bleiben können.
