FBI-Horror-Storys, Dune-Analogien und die Frage des Fachkräftemangels

Ende November hat das Dolder Grand das globale "Who's who" der Cybersecurity-Branche unter einem Dach vereint. Dieses Ziel verfolgt nämlich die Global Cyber Conference, die dieses Jahr am 26. und 27. November im Zürcher 5-Sterne-Hotel stattfand. 320 Personen aus 50 Ländern und 5 Kontinenten kamen zur dritten Ausgabe der Konferenz, erklärten Moderatorin Olivia Kinghorst und Samir Aliyev, CEO des Organisators Swiss Cyber Institute, auf der Bühne. 

Der Fokus liege auf Wissenstransfer und Networking. Man werde also keine Sales Pitches, sondern Best Practices sehen in den Präsentationen. Die meisten Vorträge sind zudem sehr kurz gehalten. In 15 Minuten mussten sich die Redner und Rednerinnen fokussieren und ihre Präsentationen wirklich auf den Punkt bringen. 

Teil der Global Cyber Conference war auch die zweite Ausgabe der Swiss CISO Awards. Die Preise wurden zusammen mit EY verliehen. Wer alles mit einem Award geehrt wurde und wer sich als Swiss CISO of the Year bezeichnen darf, erfahren Sie hier. 

Samir Aliyev, CEO des Swiss Cyber Institute. (Source: Netzmedien)

Für die Eröffnungs-Keynote hatte die Konferenz Stefan Andonovski, den Minister für digitale Transformation von Nordmazedonien, in die Schweiz. Andonovski erinnerte das Publikum daran, dass es bei der Digitalisierung nicht nur darum gehe, mit den neuesten Trends mitzuhalten und neue Technologien zu implementieren. Es gehe auch darum, diese abzusichern - idealerweise bereits bei der Entwicklung. 

Die Herausforderungen rund um Cybersecurity seien im westlichen Balkangebiet "sogar noch intensiver", sagte Andonovski. Die Anzahl Ransomware-Attacken seien beispielsweise um 200 Prozent gestiegen. "Dies sind keine blossen Datenpunkte", sagte er. "Dies sind reale Bedrohungen für Privatpersonen und Unternehmen." Aber im Cyberraum stehe niemand alleine da, sagte der Minister und betonte zum Abschluss seiner Rede die Wichtigkeit von Kooperation in der Cyberabwehr, um die Resilienz aller zu stärken.

Stefan Andonovski, Minister für digitale Transformation von Nordmazedonien. (Source: Netzmedien)

Sicher entwickeln - statt mit Security-Spezialisten entwickeln

Die zweite Eröffnungskeynote hielt Florian Schütz. Der Direktor des Bundesamtes für Cybersicherheit (BACS) hatte bereits im Vorjahr eine Rede an der Konferenz gehalten (lesen Sie hier mehr dazu). 

In diesem Jahr sprach Schütz den Fachkräftemangel an. "Gibt es wirklich einen Fachkräftemangel?", fragte er das Publikum. "Oder machen wir es einfach falsch?" Schütz war davon überzeugt, dass letzteres der Fall sei. "Wir können es uns nicht leisten, dass jedem Entwickler ein Cybersecurity-Spezialist zur Seite sitzt und ihm sagt, wie er Software sicher entwickeln soll." Softwareentwickler müssten die Sicherheitsaspekte von Software selbst kennen - so wie ein Automechaniker die Sicherheitsaspekte von Fahrzeugen kenne.

Florian Schütz, Direktor des Bundesamtes für Cybersicherheit. (Source: Netzmedien)

Das Schweizer Ausbildungssystem mit dem Lehrlingssystem könnte genutzt werden, um diese Fähigkeiten sehr gezielt für die jeweiligen Jobs zu vermitteln. "Das ist eine Chance, Arbeitskräfte auszubilden, die tatsächlich ein sicheres Produkt herstellen können", sagte der BACS-Direktor. Dann würden wir deutlich weniger Security-Probleme sehen.

Was Cybersecurity-Spezialisten mit den Fremen von Dune verbindet

Das Thema griffen im Laufe der Konferenz auch Peter Kosel, Gründer sowie Talent Community Manager, und Joshua Bucheli, Talent Community & Business Development Manager bei Cyberunity auf. In ihrer Präsentation verglichen sie effizientes Talentmanagement mit der Welt von Dune. In den Büchern und Filmen leben die Fremen auf dem Wüstenplanet Arrakis mit wenig bis gar keinem Wasser, wie sie erklären. Um die Verschwendung von Wasser, ihrer wichtigsten Ressource, zu verhindern, tragen sie "Stillsuits - Anzüge, die Schweiss, Atemfeuchtigkeit oder andere Körperflüssigkeiten auffangen, um das kritische, aber knappe/begrenzte Wasser, das ihnen zur Verfügung steht, zu sparen, damit es aufbereitet und wiederverwendet werden kann", wie sie erklärten.

Peter Kosel, Gründer sowie Talent Community Manager, und Joshua Bucheli, Talent Community & Business Development Manager bei Cyberunity. (Source: Netzmedien)

In der Cybersecurity sei nicht Wasser, sondern die Talente, also die Cybersecurityspezialisten, die begrenzte und kritische Ressource. "In Anbetracht der Tatsache, dass es so wenige Cybersicherheitsspezialisten gibt und der Workforce-Gap eher grösser als kleiner wird, liegt die Lösung für den 'Krieg' um Talente vielleicht darin, effizienter mit den Talenten umzugehen, die uns zur Verfügung stehen", sagte Kosel. 

"Vielleicht müssen wir sparsamer mit diesen Talenten umgehen - sie wiederverwenden, umverteilen, austauschen und sogar teilen", sagte Bucheli. "Wenn Cybersicherheitsspezialisten effizienter auf dem Markt zirkulieren können, dann können wir vielleicht auch, wie die Fremen von Arrakis, mit weniger mehr erreichen und diese endliche Ressource so strecken, dass für alle genug vorhanden ist."

Lesen Sie dazu auch die Kolumne von Peter Kosel: "Know your Talents" statt "War for Talents".

Diverse Teams für diverse Rollen

Unter den zahlreichen Referenten war auch Tana Dubel, die CISO von Logitech. Sie hielt ihre Rede am zweiten Konferenztag. Am Abend zuvor hatte sie die Auszeichnung als CISO of the Year erhalten, wie Sie hier nachlesen können. In ihrer Rede ging es um inklusive Cybersicherheitspraktiken und wie unterschiedliche Perspektiven der Cyberabwehr nutzen.

Tana Dubel, die CISO von Logitech und CISO of the Year 2024. (Source: Netzmedien)

Im Gegensatz zu Florian Schütz war sie wieder klar der Meinung, dass es einen Fachkräftemangel gibt. "Weltweit fehlen 2,8 Millionen Talente im Bereich Cybersecurity", sagte sie. "Die Zahlen variieren." Hinzu komme, dass es in dem Bereich an Diversität mangle - weltweit liege der Frauenanteil bei nur 25 Prozent. "Und hier in der Schweiz ist der Anteil noch viel geringer", sagte Dubel. Bei Diversität gehe es aber nicht nur um den Frauenanteil, sondern auch um "unterschiedliche  Nationalitäten, Altersgruppen, Lernmethoden und vieles mehr". 

Cybersecurity sei aber eine Chance, diverse Teams aufzubauen. Schliesslich biete der Bereich eine Reihe von sehr unterschiedlichen Rollen. "Die Agentur der Europäischen Union für Cybersicherheit (ENISA) etwa listet 12 verschiedene Rollen und Profile, die von technischen bis hin zu leitenden und operativen Rollen und Profilen reichen", sagte Dubel. "Und um diese vielfältigen  Aufgaben erfüllen zu können, brauchen wir eine Vielfalt an Fähigkeiten und Erfahrungen in unseren Teams."

Per aspera ad astra

Das Personalwesen war natürlich nicht das einzige Thema an den beiden Tagen. Alina Matyukhina, CSO und Global Head of Cybersecurity bei Siemens SI Buildings, hielt ebenfalls eine Eröffnungs-Keynote und sprach darüber, wie man komplexe Organisationen absichert. Matyukhina empfahl drei Schritte für Unternehmen, die gerade beginnen, Cybersecurity zu implementieren oder falls sie ihre Maturität in dem Bereich verbessern wollen. 

1. Eine klare Rollenverteilung und Definition von Verantwortlichkeiten. "Denn die Mitarbeitenden müssen wissen, an wen sie sich wenden können mit ihren Cybersecurity-Anliegen", sagte sie. 
2. Cybersecurity in den Prozessen einbetten. Zudem solle man beginnen, die Prozesse und Produkte des Unternehmens zu zertifizieren. 
3. Mit gutem Beispiel vorangehen und Erfahrungen mit der Community teilen. "Denn Cybersecurity ist nicht ein Job für nur einen Mann oder eine Frau. Es erfordert ein Team."

Alina Matyukhina, CSO und Global Head of Cybersecurity bei Siemens SI Buildings. (Source: Netzmedien)

"In diesem Sinne möchte ich Ihnen mein persönliches Motto mit auf den Weg geben", sagte Matyukhina. "Per aspera ad astra" - übersetzt bedeutet die lateinische Redewendung von Seneca etwa "durch Mühsal gelangt man zu den Sternen". Die Cybersicherheit stelle einen immer wieder vor Herausforderungen, sagte Matyukhina. "Aber durch diese Herausforderungen können wir wachsen und uns innovieren."

Wenn das FBI an die Tür klopft 

Ein Unternehmen, das bereits bei Matyukhinas drittem Schritt angekommen ist und seine Erfahrungen mit der Community teilt, ist Cloudflare. "Waren Sie schon einmal an einem ernsten Cybervorfall beteiligt?", fragte Christian Reilly, Field Chief Technology Officer EMEA bei Cloudflare, das Publikum an der Global Cyber Conference. "Bei dieser Frage geht natürlich keine Hand hoch, weil niemand so etwas zugegeben will", scherzte er. Also begann er mit seiner Story. 

2013 habe das FBI bei ihm an der Türe geklopft. "Und für diejenigen, die das FBI noch nie selbst gesehen haben: Ja, sie sehen genauso aus wie in den Filmen!" Das FBI wollte von Reilly wissen, wieso das Unternehmen Daten des US-amerikanischen Verteidigungsministeriums an chinesische state-sponsored Bedrohungsakteure weitergebe. "Die erste Reaktion ist natürlich: Woher wissen die das? Bevor man realisiert, dass man diese Frage natürlich nicht dem FBI stellen kann", erzählte Reilly scherzhaft weiter. 

Christian Reilly, Field Chief Technology Officer EMEA bei Cloudflare. (Source: Netzmedien)

Es folgten 14 Monate an forensischen Untersuchungen, um herauszufinden, was genau passiert war und wie ein Eindringling so lange unbemerkt im Netzwerk herumschnüffeln konnte. "Und das, obwohl wir Millionen und Abermillionen in die - unserer Meinung nach - beste Cybersecurity der Branche investiert hatten."

"Es gibt keine Tabletop-Übung, die Sie machen können, keine Simulation, die Sie darauf vorbereitet, dass das FBI an die Tür klopft", sagte Reilly. Die grösste Herausforderung für Unternehmen derzeit, sei die etablierte, historische Nulltoleranz-Kultur gegenüber Misserfolgen. "Wir Menschen sind auf Erfolg programmiert, nicht auf Misserfolg", sagte er. Das mache den Wechsel zu einer "Assume Breach"-Mentalität schwierig. "Aber ich bin wirklich überzeugt, je mehr wir uns auf diese Kultur des Schutzes verlassen, diese Kultur, dass wir nicht versagen dürfen, desto schwieriger wird es für uns, tatsächlich sicher zu sein."

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.