"Man hört gerne auf uns, denn wir sind politisch neutral und unabhängig"

Frau Widmer, die Information Security Society Switzerland, kurz ISSS, vernetzt Security Professionals. Was heisst das konkret?

Ursula Widmer: Wir haben drei Haupttätigkeiten: Zum Ersten organisieren wir drei grosse Kongresse in Bern, Zürich und St.Gallen als Erfahrungsaustausch-Plattform für ICT-Security-Experten und für ICT-Security-Interessierte. Denn die ICT ist eine sich sehr rasch entwickelnde Branche, nicht so wie beispielsweise die Baubranche, wo das Expertenwissen seit vielen Jahrzehnten gewachsen und über sehr lange Zeit das gleiche ist. Die ICT ist eine sich viel rascher entwickelnde Branche, bei der sich Experten in manchen Themen selbst unsicher sind. Zum Zweiten organisieren wir unsere Security Lunches, bei der Experten sich zu einem bestimmten Thema im lockeren Rahmen und einer kleinen Gruppe mit anderen Interessierten austauschen können. Das ist dann eine Art Weiterbildungsplattform. Und drittens haben wir unsere Special Interest Groups, in denen wir uns vertieft mit aktuellen Fragestellungen auseinandersetzen und Lösungen ausarbeiten, um die Grundlagen der ICT Security zu verbessern. Wir haben auch die Möglicheit, eine Taskforce zu bilden, wenn bestimmte Themen dies erfordern.

Welche Themen behandeln Sie in diesen Special Interest Groups?

Derzeit beschäftigt sich eine dieser Gruppen mit dem Thema Smart Grid Security und im Besonderen mit Smart Metering Security. Wir wollen damit rechtliche Mindestanforderungen an diese intelligenten Messsysteme aus der Sicht von Datenschutz und Datensicherheit definieren. In anderen Gruppen behandelten wir unter anderem Sicherheitsrisiken der digitalen Signatur oder des elektronischen Patientendossiers.

Können Sie damit denn auch wirklich etwas bewegen?

Ja, denn wir sind politisch neutral und unabhängig von Sponsoren, und deswegen hört man auch gerne auf uns. Aber es ist zugegebenermassen auch nicht immer ganz einfach, wertneutral und frei von Partikularinteressen zu handeln.

Welches sind die bisher grössten Erfolge von ISSS?

Wir haben es unter anderem geschafft, junge, angehende Berufsleute anzusprechen. Diese interessieren sich für uns und kommen an unsere Veranstaltungen. Mit unserem ISSS Excellence Award, mit dem wir erstklassige Bachelor-, Master- und Doktorarbeiten zur IT- und Informationssicherheit auszeichnen, betreiben wir zudem Nachwuchsförderung. Uns geht es bei unserer Tätigkeit grundsätzlich auch um die Sensibilisierung des ICT-Security-Nachwuchses und der an Security-Themen interessierten angehenden Berufsleute, egal welcher Studienrichtung. Wir wollen nicht zu einem elitären Club werden, sondern offen sein für junge Leute, damit sich diese mit Experten austauschen und Fragen stellen können. Und vielleicht wird dannn der eine oder andere selbst einmal zum Experten.

Was fasziniert Sie als Juristin am Thema IT-Sicherheit?

Als Juristin will ich ja Risiken rechtzeitig erkennen und vermeiden helfen, will also wenn immer möglich primär präventiv tätig sein. Sollte sich aber ein Risiko realisieren, dann gilt es, dahingehend zu unterstützen, dass die ordentlichen Geschäftstätigkeiten baldmöglichst wieder aufgenommen werden können – Stichwort erfolgreiches Business Continuity Management. Für eine ausreichende ICT-Sicherheit wiederum gibt es viele rechtliche Anforderungen, beispielsweise aus dem Datenschutz, für die Übermittlung, den Export, die Speicherung und die Verarbeitung von Informationen. Nun kann man aber nur einen Teil davon rechtlich ausreichend definieren. Die Technologie eröffnet uns hingegen die Möglichkeit, gewisse rechtliche Anforderungen und Probleme technisch zu lösen, beispielsweise wenn man bestimmte Daten löschen will und muss. Oder, anders gesagt: Wenn man rechtliche Anforderungen umsetzen will, dauert das immer eine Weile oder kann auf dem rechtlichen Weg gar nicht erst erfolgreich durchgesetzt werden.. Mit einer technischen Lösung hingegen passiert dann auch wirklich etwas.

Welche Security-Themen beschäftigen Unternehmen derzeit am meisten?

Sie wollen unter anderem wissen, wie viel sie in die Sicherheit investieren müssen, beziehungsweise ob und wann sie zu viel oder zu wenig investieren. Auch die Themen Datenschutz und Datensicherheit sind bei Unternehmenein Dauerthema, genauso wie Cloud Computing und Sicherheit. Und nicht zuletzt stellt sich die Frage, wie ein Unternehmen mit einem etwaigen Datenverlust umgeht. Da braucht es Richtlinien und Szenarien, die man auch umsetzen und testen kann.

Wo sehen Sie bei Unternehmen den grössten Handlungsbedarf in Bezug auf ICT-Security-Themen?

Unter anderem wäre es wichtig, dass Unternehmen nicht unausgereifte Software ausliefern respektive einsetzen, denn diese ist viel anfälliger für Schadsoftware und dass die Softwareindustrie rascher auf erkannte Schwachstellen reagiert.

Welche Security-Themen werden die Unternehmen in Zukunft beschäftigen?

Das Internet der Dinge beispielsweise wird viele spannende Fragestellungen mit sich bringen. Ausserdem merken viele Leute gar nicht, dass sie Tools und Apps nutzen, die ihnen schaden können, sei es nun beruflich oder privat. Ich als Juristin beispielsweise nutze Siri nicht in meinem beruflichen Alltag. Denn ich weiss n weiss nicht, wo diese Daten, die ich damit verarbeite, letztlich genau landen.