Bernhard Hämmerli, IT-Security-Experte und Professor am Departement Informatik an der Hochschule Luzern (HSLU), wurde vergangenen Donnerstag an der Generalversammlung der Information Security Society Switzerland (ISSS) zum Ehrenmitglied ernannt. Im Gespräch mit Computerworld erzählt er, wie es dazu gekommen ist und wie es um die Cyber-Sicherheit in der Schweiz steht.

Bernhard Hämmerli: Als Gründungsmitglied bin ich seit 1993 im Vorstand der ISSS. Erst lange Zeit als Vizepräsident, dann als Präsident und schliesslich wieder als Vorstand. Da habe ich sehr viel erlebt und viele gute und spannende Kollegen erleben dürfen. Nach 25 Jahren wurden Adolf Dörig (Gründungspräsident), Rolph Häfelfinger (zweiter Präsident) und ich als Dritter Präsident zum Ehrenmitglied ernannt. Der Vorstand hat das Geschäft in einem offenen Prozess vorbereitet, aber nur die Generalversammlung kann Ehrenmitglieder wählen. Von uns dreien bin ich der einzige, der in den letzten 10 Jahren noch aktiv zur ISSS beigetragen hat.

Hämmerli: Klar, eine solche Ehrung ist immer ein Ansporn, sich noch mehr nützlich zu machen, und die Kernanliegen der Informationssicherheit mit mehr Elan vorwärts zu bringen. Insbesondere geht es mir um die Kommunikation der Änderungen im Cyberspace: Mit seinen nun mehr als 20 Jahren ist das Internet erwachsen geworden und die «Good Guys» und «Bad Guys» sind nun im Besitz von professionellen, kraftvollen Instrumenten. Die Schäden bei Unachtsamkeit und fehlender Professionalität können heute sofort für jede Firma bilanzrelevant werden. Das muss sich heute jeder Verantwortungsträger zu 100 Prozent verinnerlichen.

Hämmerli: Grundsätzlich sind alle Befürchtungen der Experten von 1992 bis heute eingetreten, einige sogar noch etwas verstärkt – beispielsweise alles um Fake News und Manipulation. Erst kurz nach der Jahrtausendwende verstanden Experten, wie diese Phänomene in der heutigen Gesellschaft angekommen sind. Mittlerweile ist der Cyberspace in jede Aktivität der Gesellschaft eingebunden und stellt in der Landesverteidigung neben Heer, Luftwaffe, See und Weltraum das fünfte und eventuell wichtigste Operationsfeld dar. Nebst dem sorgenerregenden Aufrüsten der klassischen Armeen findet ein Wettlauf um die Dominanz im Cyberspace statt. Die Auswirkungen davon sind massiv und können auf die Wettbewerbsfähigkeit und militärische Stärke durchaus entscheidende Auswirkungen haben.

Hämmerli: Persönlich habe ich einen engen Bezug zur Schweiz und Norwegen, zwei der ganz wenigen Vertrauenskulturen weltweit. Diese Vertrauenskultur beinhaltet Gutgläubigkeit und eine gewisse Scheu, dem eher schmutzigen Tun auf der Welt klaren Kopfes ins Auge zu blicken. In der Schweiz lieben wir es, zu diskutieren. Die Zeit, die uns bleibt, um rechtzeitig Massnahmen zu ergreifen, ist aber sehr kurz. Meines Erachtens ist es wahrscheinlicher, dass wir eher den Anschluss an die Sicherheit verpassen als an die Digitalisierung. Da sind dringend wichtige Entscheidungen zu treffen.

Hämmerli: Die Schweiz hat mehrere weltweit führende Firmen, die sich auf höchstem internationalem Niveau schützen. Aufgrund des relativ hohen Wohlstandes im Vergleich zum Ausland sind wir auch in der Lage, in den Firmen mehr in die IT-Sicherheit zu investieren. Aber sehr viele KMU zahlen teures Lehrgeld mit Vorfällen.

Hämmerli: IT-Entscheider haben die Aufgabe, für die notwendigen Geschäfte der Firma Prioritäten zu setzen – und zwar gestern, heute und morgen. In der Vergangenheit waren die Schäden von IT-Security-Ereignissen eher bescheiden und konnten bezahlt werden. Versäumnisse der IT-Sicherheit konnten relativ locker kompensiert werden. Wer in den kommenden Jahren so fortfahren will wird sehr unangenehm überrascht werden. Jetzt ist definitiv ein «Re-Thinking» notwendig. Ich wünsche mir, dass alle IT Entscheider das verstehen.

Hämmerli: Das Wichtigste, was die ISSS bisher beigetragen hat, sind Lehrgänge, Konferenzen und Veranstaltungen im Bereich der Informationssicherheit. Auch künftig wird das unsere Hauptaufgabe bleiben, neue Tendenzen und Strategien zu kommunizieren. Ausserdem haben wir zu speziellen Themen auch Fachgruppen ins Leben gerufen, die branchenspezifische Beiträge leisten, beispielsweise zur Leitsystemsicherheit der Energiebranche.

Hämmerli: Mit nachdenklichem Lächeln kann ich sagen, alle bisherigen und viele mehr. Neue Themen sind Cyber-Versicherungen, die Regulierung des Cyber-Kriegs, die Cyber-Ächtung von Fehlverhalten (ähnlich zur Giftgasanwendung) sowie neue Verteidigungstechniken – darunter fallen unter anderem Cyber-Intelligence, Cyber-Profiling, Intelligence Collaboration, External Threat Intelligence, Security Analytics oder auch DDoS Mitigation. Aus sozialer Sicht müssen wir die Bedeutung und Interpretation der Information neu entwickeln, sodass wir zu einer Gesellschaft werden, die sich gegen Fake News sowie Medien- und Wahlmanipulation abhärtet. Im Bereich Datenschutz sind neue Gleichgewichte zu schaffen, zwischen geschäftlichen Anforderungen offener Datenverwendung (Facebook) und Privatheit (Datenschutz). In der ersten Runde sieht es so aus, als hätte Europa durch den Datenschutz viele Chancen mit neuen Anwendungen im Datenbereich nicht nutzen können. Schlägt die rüde Verwendung von persönlichen Daten beispielsweise von Facebook zurück, sodass Europa in der zweiten Runde siegen wird? Sie sehen, die nächste Zeit wird im Datenraum sehr spannend bleiben.