Information checkedInformation unaudited Information geprüft Information ungeprüft «Handle, als wären es deine eigenen Daten»
Laut Angaben des Internationalen Währungsfonds gilt mittlerweile jeder fünfte Cyberangriff dem Finanzsektor. Die Schäden, die dadurch drohen, sind enorm und nicht nur materieller, sondern auch immaterieller Natur. Deshalb arbeiten der Leiter der Stabsstelle Business Risk Management, Jousry Abdel-Khalek, und sein Team täglich dafür, dass die LLB verschont bleibt. Wie das gelingt, verrät er im Interview.
Jousry, kannst du dich und dein Team kurz vorstellen?
Ich bin seit Januar 2020 bei der LLB-Gruppe und Leiter der Stabsstelle Business Risk Management sowie der Group CISO. Die Stabsstelle ist in drei Teilbereiche aufgeteilt: Operational Risk, Data Protection & Outsourcing und Information & Cyber Security. Insgesamt umfasst das Team fünfzehn Mitarbeitende. Ausführliche Informationen zu unserem Bereich und unseren Aufgaben findet ihr auch im Intranet.
)
Die US-amerikanische Bank JP Morgan hat Zahlen veröffentlicht, wonach sie täglich von mehreren Milliarden Cyberattacken betroffen ist. Wie sieht es bei uns aus?
Wir spüren tendenziell einen Anstieg am Finanzplatz FL. Eine Erklärung dafür könnte sein, dass sich Hacker neue Opfer suchen. JP Morgan, UBS & Co. haben mittlerweile zu gute Sicherheitsdispositive. Die Angriffe gelten daher jetzt kleineren Finanzplätzen beziehungsweise anderen Sektoren, wie etwa der Industrie.
Was passiert konkret, wenn ein Angriff auf unsere Systeme festgestellt wird?
Beispielsweise bekommen wir aus dem Fachbereich eine Information, dass ein Vorfall stattgefunden hat, zum Beispiel vom Kundenberater. Und je nach Vorfall leiten wir dann entsprechende Gegenmassnahmen ein. Wenn es ein eher breit angelegter Angriff ist, dann reagieren wir auch in der Breite. War es dagegen ein gezielter Vorfall, setzen die Abwehrmassnahmen genau dort an. Je nachdem werden noch weitere Stellen einbezogen, wie etwa die Polizei. Als private Institution sind wir nicht befugt, Kriminelle aktiv zu jagen oder auch andere Systeme zu infiltrieren. Wir schützen unsere Systeme und Kundinnen und Kunden durch Abschottungsmassnahmen.
Cyberkriminalität ist kein neues Phänomen. Heisst, Hacker hatten bereits reichlich Zeit, sich und ihre Methoden zu perfektionieren. Was können wir dem als relativ kleine Einheit entgegensetzen?
Natürlich sind uns die Angreifer einen Schritt voraus. Aber wir versuchen, mit den Möglichkeiten, die wir haben, den Abstand nicht zu gross werden zu lassen. Aber die Ressourcen und Kapazitäten der Grossen, insbesondere wenn es sich um staatliche Angreifer handelt, sind gross und vielfältig.
Sind wir also schutz- und wehrlos?
Hier kann ich beruhigen. Nein, natürlich nicht. Wir können trotzdem viel tun. Zum Beispiel, indem wir sichere Anwendungen entwickeln, unsere Systeme testen und uns immer wieder fragen: Geht es noch besser? Oder indem wir Ethical Hacker beauftragen, mittels sogenannter Red-Teaming-Attacken, unsere Systeme anzugreifen, und so mögliche Schwachstellen aufdecken. Zudem profitieren wir durch die Mitgliedschaft in verschiedenen Verbänden und Netzwerken von deren Know-how, Grösse und der Zusammenarbeit.
Nicht selten gelangt schädliche Software oder Ähnliches via E-Mail in Unternehmen und kann dabei immensen Schaden anrichten. Wie bewertest du dieses Kommunikationsmittel? Fluch oder Segen?
Ganz ehrlich? Ich würde mir wünschen, dass bedeutend weniger E-Mails verschickt werden und stattdessen wieder öfter das persönliche Gespräch gesucht wird. Sei es mit einem Anruf oder warum nicht auch bei einem gemeinsamen Kaffee? Denn mit jeder nicht verschickten E-Mail beziehungsweise mit jedem nicht geöffneten Anhang sinkt die Gefahr, dass Daten in die falschen Hände geraten.
Wo ist die grösste Schwachstelle in unserem Sicherheitsdispositiv?
Hier muss man ganz klar sagen: Die grösste Schwachstelle ist der Mensch. Wir alle sind emotionale und soziale Wesen. Das bedeutet auch, dass wir manchmal zu freundlich sind und uns überrumpeln lassen. Das fängt schon damit an, dass ich eine Person, die ich nicht kenne, durch eine verschlossene Tür mitnehme. Und einmal drin, haben Kriminelle quasi schon die erste Hürde genommen.
Ein zweiter Punkt ist, wir wollen soziale Interaktion, wir reden miteinander. Da ist es natürlich wichtig, dass ich darauf achte, was ich sage und zu wem ich es sage. Datensicherheit beginnt also nicht erst am Laptop.
Was kann man dagegen tun?
Stetig informieren, sensibilisieren und schulen. Bis alle verstanden haben, wie wichtig dieses Thema ist. Bei der Weitergabe von Informationen und mit dem ständigen Prüfen von Daten, ob der Empfänger berechtigt ist, sie zu erhalten.
Ein Beweis dafür, welche Bedeutung das Thema Datensicherheit innerhalb der LLB-Gruppe hat, ist auch das mehrjährige Gruppenprojekt «Cyber». Dieses ist jetzt abgeschlossen. Wie ist es gelaufen und was ist dein Fazit?
Ein zentrales Ziel des Projekts war es, die Reaktionsfähigkeit im Falle eines Cyberangriffs zu erhöhen. Zudem sollten neue Prozesse zur kontinuierlichen Schwachstellenanalyse definiert und eingeführt werden. Ich kann sagen, dass uns das gelungen ist, denn mit dem Projekt haben wir unsere Cyberabwehrfähigkeit durch technische Massnahmen deutlich erhöht. Wenn sich die Systeme ungewöhnlich verhalten, wird jetzt sofort Alarm geschlagen. Dadurch können wir viel früher eingreifen, sei es bei ungewöhnlichen Netzwerkaktivitäten oder sogar, wenn wir angegriffen werden. Dass wir damit wirklich eine Verbesserung erreicht haben, hat sich zum Beispiel auch beim letzten «geplanten» Red-Teaming gezeigt. Da konnten wir den Angriff viel früher und besser abwehren.
Ist es damit getan?
Nein, natürlich nicht. Cyber Security ist ein Prozess und kann nicht in einem einzigen Projekt final umgesetzt werden. Mit jeder Aktivität oder jedem Angriff hinterfragen wir unsere Prozesse und Massnahmen, um zukünftig noch besser reagieren zu können. Es sind auch weitere Massnahmen in der Umsetzung, wie z. B. erweiterte Pentest-Aktivitäten.
Jetzt kann man natürlich sagen, bis anhin sind wir von grossen Angriffen verschont geblieben. Braucht es den ganzen Aufwand wirklich?
Diese Frage lässt sich schnell beantworten, wenn wir uns vor Augen führen, was uns im schlimmsten Fall bei einem schweren Cyberangriff passieren könnte: Ein solches Szenario wäre zum Beispiel, dass unser Zahlungssystem mittels einer Ransomeware, eine Verschlüsselungssoftware, angegriffen wird und wir unsere Datenintegrität verlieren würden. Damit wären wir vom Zahlungsverkehr ausgeschlossen und nicht mehr zahlungsfähig. Das hätte schwerwiegende Folgen für Liechtenstein selbst. Ein weiterer möglicher Fall wäre ein effektiver Datendiebstahl, bei dem die gestohlenen Daten dann im Darknet auftauchen. Das wäre natürlich mit einem immensen Vertrauensverlust verbunden. Also lohnt sich der Aufwand wirklich? Auf jeden Fall!
Hat es solche Fälle bereits gegeben bei uns?
Nein, zum Glück noch nicht. Was wir hatten, ist, dass unsere Kundinnen und Kunden attackiert wurden, etwa mit Phishing oder Ähnlichem.
Wenn dir die gute Fee einen Wunsch gewähren würde, welcher wäre das?
Ich würde mir wünschen, dass jeder Einzelne von uns den Umgang mit Daten viel stärker hinterfragt: Sprich, muss XY wirklich diese Daten erhalten, um seine Aufgaben zu erfüllen?
Reicht vielleicht auch eine schlankere Information ohne diverse Mitempfänger im CC? Und umgekehrt: Kenne ich den Absender und erwarte ich das Mail? Oder frei nach KEO: «Handle, als wären es deine eigenen Daten.»