Information & Cyber Security, Privacy,
von Yasmin Billeter
Herr Portmann und Herr Tuccillo, wie schätzen Sie die aktuelle Bedrohung aus dem Cyberspace ein?
Prof. Armand Portmann: Die Bedrohung von Unternehmen durch Cyberattacken hat stark zugenommen. Das belegen viele Umfragen und Gespräche mit Firmenvertretern. Es ist kein Hype, sondern Tatsache.
Dr. Maurizio Tuccillo: Nicht nur die Häufigkeit von Cyberattacken, auch das Schadensmass ist gewachsen und Cyber-Kriminalität ist ein Business-Modell geworden. Im Darknet kann beispielsweise «Cybercrime as a Service» bestellt werden, um gezielte Angriffe auf Mitbewerber zu starten.
«Cyber-Kriminalität ist ein Business-Modell geworden.»
Prof. Dr. Maurizio Tuccillo
Portmann: Die Verschärfung spiegelt sich auch in der Nachfrage nach unseren Kursen wieder. Sie hat in den letzten 12 bis 24 Monaten stark zugenommen. Wir wurden in dieser Zeit auch immer wieder nach einem Angebot mit explizitem Fokus auf Cyber Security gefragt. Einen solchen Lehrgang hatten wir bisher nicht im Programm.
Jetzt haben Sie zwei neue MAS-Programme jeweils mit einer Vertiefung in Cyber Security und Privacy lanciert.
Portmann: Genau. Aufgrund der veränderten Nachfrage haben wir den bestehenden MAS Information Security aufgesplittet und gleichzeitig die Profile geschärft. Beide Programme bauen auf einem gemeinsamen Sockel auf, der Grundlagen der Informationssicherheit in den Bereichen Technik und Management vermittelt.
Sprechen wir zuerst über die Cyber Security: Wie definieren Sie diese?
Portmann: Cyber-Sicherheit beschäftigt sich mit dem Schutz moderner Infrastrukturen (Stichworte Industrie 4.0, cyber-physische Systeme, aber auch Cloud). Vor allem die kritischen Infrastrukturen (Energieversorgung usw.) wurden in den vergangenen Jahren immer verwundbarer, da deren Systeme immer öfters auch mit dem Internet verbunden sind. Gleichzeitig wurden Schutzmassnahmen entwickelt, um den neuen Bedrohungen zu begegnen – dies ist die Disziplin der Cyber Security.
Tuccillo: Kritische Infrastrukturen sind das eine, neue Anwendungen wie beispielsweise IoT das andere. Der Begriff «Cyber» ist zurzeit sehr aktuell und er wird so schnell nicht mehr verschwinden.
Mit welcher Art von Bedrohungen aus dem Cyberspace haben es Schweizer Firmen zu tun?
Portmann: Immer noch verbreitet sind Erpressungen mithilfe von Ransomware, die Daten verschlüsselt und dadurch dem Zugriff durch den Besitzer entzieht. Die Opfer erhalten den Zugriff erst wieder nach einer Lösegeldzahlung – wenn überhaupt. Eine weitere, oft anzutreffende Betrugsmasche ist die des Chefbetrugs, auf Englisch CEO Fraud, bei der versucht wird, die Finanzabteilung zur Bezahlung einer falschen Rechnung zu veranlassen.
Tuccillo: In der Finanzindustrie ist zwar viel Wert vorhanden, jedoch sind die Hürden für gezielte Angriffe höher. Eine Alternative ist es, Ransomware breit zu streuen. Dies gibt im Einzelfall weniger her, dafür ist die Erfolgschance höher. Die Attacke auf die britischen Spitäler beispielsweise war nicht gezielt, sondern breit gestreut.
«Manchmal geht es auch nicht ‹nur› um die Privatsphäre, sondern um das eigene Leben.»
Prof. Armand Portmann
Portmann: Ebenfalls im Trend ist Extortionware, auch Doxware genannt. Es handelt sich dabei um Malware, die private Informationen wie Bilder, Chat-Verläufe usw. von Handys exfiltriert. Der Angreifer bedroht das Opfer daraufhin, sämtliche gestohlenen Informationen an alle Einträge im Adressbuch zu schicken, wenn nicht das geforderte Lösegeld bezahlt wird. Manchmal geht es auch nicht «nur» um die Privatsphäre, sondern um das eigene Leben. Gemeint sind angedrohte Mord- oder Säureanschläge, die durch eine Lösegeldzahlung verhindert werden könnten – das macht vielen Leuten wirklich Angst!
Wie sollte man sich im Falle einer solchen Androhung verhalten?
Tuccillo: Auf keinen Fall antworten, sonst bestätigt man, eine potenzielle Zielscheibe zu sein. Wer unsicher ist, meldet den Vorfall der Polizei. Diese kann beurteilen, ob es sich dabei um einen Einzelfall oder einen Massenangriff handelt.
Sind KMU und Grossunternehmen von anderen Gefahren bedroht?
Portmann: Grundsätzlich sind es dieselben Gefahren. Tendenziell sind in kleineren Firmen aber die Schutzmassnahmen weniger ausgreift als in grösseren Firmen. Dies betrifft sowohl technische als auch organisatorische Massnahmen, wie etwa die Bewusstseinsbildung für die modernen Bedrohungen.
Wie können Unternehmen vorsorgen?
Portmann: Hier gibt es keine kurze Antwort. In unseren Weiterbildungen bekommen die Teilnehmenden das Rüstzeug, um technisch und organisatorisch vorzusorgen. Darüber hinaus bekommen sie aber auch Wissen, um den vielfältigen rechtlichen Anforderungen gerecht zu werden.
«In der Security-Branche sind in den vergangenen Jahren viele neue Berufsbilder entstanden.»
Prof. Armand Portmann
Welche Berufsaussichten haben Absolvierende des MAS Information & Cyber Security?
Portmann: In der Security-Branche sind in den vergangenen Jahren viele neue Berufsbilder entstanden. Wir befähigen die Absolvierenden in unterschiedlichsten Tätigkeitsfeldern zu arbeiten. Ich denke hier an Informationssicherheitsbeauftragte, Chief Information Security Officers, Security Engineers, SOC (Security Operations Center) Managers, Incident Responders und so weiter. Da spielen natürlich auch die eigenen Berufserfahrungen eine wichtige Rolle und selbstverständlich auch die Karrierepläne.
Wie sehen Sie die Zukunft der Cyber-Kriminalität?
Portmann: Da wir zunehmend vernetzt sind, werden wir auch immer verwundbarer – das Thema wird weiter an Bedeutung gewinnen.
Tuccillo: Weil wir bisherige analoge Tätigkeiten mehr und mehr digitalisieren und ins Internet verlagern, wird sich auch die Kriminalität diesem Trend folgen. Ein Beispiel: Wer eine Bank überfallen will, muss heute nicht mehr mit Waffen in eine Schalterhalle eindringen. Das geht im Cyberspace gefahrloser, wenn auch technisch schwieriger.
Kommen wir nun zum Thema Privacy: Die neue Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) ist seit dem 25. Mai 2018 in Kraft. Was hat sich seither für Schweizer Unternehmen verändert?
Tuccillo: Obwohl wir nicht in der EU sind, sind zahlreiche Schweizer Firmen vom Marktortprinzip und dem Niederlassungsprinzip der DSGVO (mehr dazu) betroffen. Für diese bedeutet die DSGVO zweifellos einen gewissen Mehraufwand. Dieser wäre jedoch höher, würde man eine Busse aufgrund von Datenschutzverletzungen riskieren. Die Schweiz arbeitet zudem aktuell an der Revision ihres eigenen Datenschutz-Gesetzes (DSG) aus dem Jahr 1992. Diese wird uns dann direkt beschäftigen.
Was kommt mit dem neuen DSG auf uns zu?
Tuccillo: Das neue DSG wird der DSGVO sehr ähnlich sein. Die grössten Unterschiede werden bei den Sanktionen liegen, welche im Vergleich milder ausfallen werden. Wann genau das neue DSG kommt, ist noch offen. Wir wissen hingegen, dass zuerst der öffentliche Bereich und dann die Wirtschaft datenschutzkonform gemacht wird.
Die DSGVO verlangt einen Datenschutzbeauftragten. Wäre das ein mögliches Berufsprofil nach dem MAS Information Security & Privacy?
Tuccillo: Ja durchaus. Wobei wir für das spezifische Profil des Datenschutzbeauftragten das CAS Data Privacy Officer konzipiert haben. Dieses ist Teil des MAS Information Security & Privacy. Das MAS geht aber im Bereich Informationssicherheit viel weiter.
Genügt es, wenn ein Unternehmen eine Person in der Funktion des Datenschutzbeauftragten einstellt?
Tuccillo: Je nachdem wie die Person ihren Job macht (schmunzelt). Das hängt natürlich von der Grösse und der Art des Unternehmens ab. Die Person muss auch nicht alle Aufgaben selbst ausführen, jedoch diese koordinieren. Wenn sie dies ernst nimmt, wird sie dafür sorgen, dass es genügt.
Wie sehen Sie die Zukunft des Datenschutzes?
Tuccillo: Wichtig bei dieser Frage ist zu verstehen, dass der Datenschutz nicht die Daten an sich schützt, sondern die Personen, denen diese zugeordnet sind. Durch die Digitalisierung exponieren wir unsere Persönlichkeit immer stärker und so wird sich auch die Kriminalität und die Wirtschaft weiter für die Persönlichkeiten hinter den Daten interessieren.
Vielen Dank für das Interview!
Mehr aus der Reihe im Gespräch mit
Veröffentlicht: 17. April 2019
Bachelor in Information & Cyber Security: Mit dem Studium Information & Cyber Security erwerben Sie das notwendige Fachwissen, um Unternehmen und Verwaltungen vor Hacker-Angriffen zu schützen und mit einer sicheren IT-Infrastruktur auszustatten.
Bilden Sie sich weiter: Die Hochschule Luzern bietet zahlreiche Weiterbildungen im Bereich Information & Cyber Security | Privacy
Angebote für Partnerfirmen: Wollen Sie in Ihrem Unternehmen eine neuartige IT-Security-Lösung umsetzen? Die Forschenden der Hochschule Luzern – Informatik stehen Ihnen dabei zur Seite. Sie unterstützen Kundinnen und Kunden durch innovative Forschung und Entwicklung im Bereich Anwendungssicherheit und Kryptographie.
Gefällt Ihnen unser Informatik-Blog? Hier erhalten Sie Tipps und lesen über Trends aus der Welt der Informatik. Wir bieten Einsichten in unser Departement und Porträts von IT-Vordenkerinnen, Visionären und spannenden Menschen: Abonnieren Sie jetzt unseren Blog!
Kommentare
3 Kommentare
Tom
Die CAS und MAS Kurse sind selbsttragend bzw. generieren je nach Belegung Gewinn für die Schule. Bei den regulär Studierenden sieht es anders aus. Da ist der Steuerzahler tatsächlich beteiligt, was ein grosses Glück ist für die Studenten; die Studiengebühren sind extrem niedrig. Interessanter Aspekt betreffend Messenger der GDPR/DSGVO konform ist. Threema behauptet von sich, dass sie die Anforderungen der DSGVO erfüllen. Ich bin der Meinung, dass es nicht die Aufgabe einer Universität ist Apps zu entwickeln. Die Universität hat einen Leistungsauftrag. Allenfalls kann sie unterstützen im Bereich der Konformität oder anderen Forschungsfeldern.
indyj@gmx.net
Action - not more words! I understand - to a certain extent - that these blogs are useful to promote new courses. BUT as a univeristy with (hopefully) international reputation LUASA should NOT remix courses around hype terms like ...ware! The basic concepts of the threats mentioned in this blog entry have changed as little as the Swiss criminal code over the past 10 yeras (I hope that Swiss authorities won't turn the criminal code into a wiki, soon, just to introduce new terms for old threats like extorsion). There are hundreds of courses which describe and discuss threats and awareness. From a top university the Swiss tax payer expects solutions, not warnings! It's definitely useful to teach students how "whatsapp-type" software sucks address data from every device it 'invades' and forwards the findings to its "parents" - companies in which 90% of this planet's population seem to trust more than in their government. This is where your efforts should point to! You already have everything: brain power, infrastructure (SWITCH operated), and tens of thousands of well-registered students and faculty (millions if you think of eduroam). Now just answer the questions the interviewer was not able or willing to ask: where is the GDPR-compliant messaging app for academia? why is it not built? for the same reasons why it would never be built in the Silicon Valley? I leave this last puzzle to the reader! Thanks for reading and publishing Indiana Jones
Maurizio Tuccillo
I agree - at least to a certain extent me too ;-) - with Indiana Jones. Would be desirable if universities could act beyond the limits of economic reason. But can the role of the university be to build a GDPR-compliant messaging app no one is willing to use and even worse to pay for? I myself should be happy if first and foremost I could teach students in my courses why at all they should want to have a GDPR-compliant messaging app.
Danke für Ihren Kommentar, wir prüfen dies gerne.