Nicolas Mayencourt im Interview

Was Cybersecurity mit der Klimaerwärmung zu tun hat

Uhr
von Coen Kaat und kfi

Am 10. und 11. März 2021 hat die erste virtuelle Ausgabe der Swiss Cyber Security Days (SCSD) stattgefunden. Programmdirektor Nicolas Mayencourt spricht im Interview über Herausforderungen, Höchstleistungen und Schockmomente. Ausserdem sagt er, warum ihn die Debatte über Cybersecurity an die über den Klimawandel erinnert.

Nicolas Mayencourt, SCSD-Programmdirektor und CEO von Dreamlab Technologies. (Source: Tamedia AG)
Nicolas Mayencourt, SCSD-Programmdirektor und CEO von Dreamlab Technologies. (Source: Tamedia AG)

Wie zufrieden sind Sie mit der ersten virtuellen Umsetzung der Swiss Cyber Security Days (SCSD)?

Ich bin sehr zufrieden. Es gab am ersten Vormittag des Events zwar ein paar technische Herausforderungen, die zu kurzen Schockmomenten führten. Wir mussten etwa während der ersten Hauptrede das Audio-System neu starten. Unterm Strich machte das Team aber einen fantastischen Job. Das zeigt sich auch am positiven Feedback, das wir von den Gästen und Rednern erhielten.

Wo genau lag da das Problem?

Es gab eine kurzfristige Planänderung, die wir noch am selben Morgen umzusetzen versuchten. Ein Referent wollte seine Präsentation anpassen und wir wollten ihm natürlich diese Freude machen. Dies zerschoss unser Audio-Routing. Zuvor hatte das System bei den Proben noch prima funktioniert und anschliessend funktionierte es auch wieder einwandfrei. Man darf nicht vergessen, dass wir während zwei Tagen rund 90 Beiträge in drei Sprachen ausgespielt haben.

Was würden Sie im Nachhinein anders machen?

Wenn etwas funktioniert, wird es nicht mehr in letzter Sekunde noch angepasst. Ferner werden wir vor allem das Onboarding verbessern. Leider bemerkten einige Teilnehmende erst viel zu spät, dass sie aus technischen Gründen ihre Einladung nicht erhalten hatten. Bei einigen war sie wohl auch im Spam gelandet. Unser Timing sorgte derweil für positives und negatives Feedback, was ich sehr amüsant finde.

Wie gingen da die Meinungen auseinander?

Bei den Vorträgen hielten wir uns sehr strikt an den Zeitplan - mit all den Vor- und Nachteilen, die das mit sich bringt. War der Redner oder die Rednerin noch nicht fertig, wurde die Übertragung gekappt. Wir hatten kein Tool, um Regieanweisungen zu geben und den Referenten oder die Referentin darauf hinzuweisen, dass die Zeit abläuft. Das werden wir nächstes Mal sicher anders machen. Dafür hatten wir so aber einen verlässlichen Zeitplan. Das ist bei einem Grossanlass mit so vielen Auftritten unerlässlich.

Was nehmen Sie mit für die nächste Ausgabe der SCSD?

Es ist noch ein wenig früh, um über konkrete Massnahmen zu reden. Aber wir werden gewiss sämtliche Feedbacks sammeln, auswerten und aufgrund dieser Grundlage Entscheidungen treffen. Etwas haben wir aber bereits gelernt: Ein virtueller Anlass kann funktionieren und es hat funktioniert! Das war vorher nur eine Arbeitshypothese. Nun ist es ein Messwert.

Was war Ihr persönliches Highlight an den SCSD 2021?

Als Direktor der Programm-Kommission ist es für mich unmöglich, einen einzelnen Inhalt hervorzuheben. Ich verantwortete bereits zum dritten Mal das Programm der SCSD und investiere stets viel Arbeit darin, die Beiträge zusammenzustellen und einen roten Faden durch das ganze Programm zu ziehen. Darum war mein Highlight natürlich, dass wir ein so dichtes Programm so gelungen über die Bühne bringen konnten.

Welche Pläne haben Sie, um die Plattform SCSD365 über das laufende Jahr aktuell zu halten?

Aktuell kann ich nur sagen, dass wir Pläne haben diesbezüglich (lacht). Wir werden sicher weitere kleinere Events zu bestimmten Fokusthemen durchführen. Auch den Marktplatz wollen wir weiter ausbauen. Aber die Details sind noch nicht ganz spruchreif. Wir werden voraussichtlich Anfangs April mehr dazu verraten.

Im Vorfeld der SCSD 2021 wurde Edward Snowden als Special Guest angekündigt, nur um kurz darauf wieder ausgeladen zu werden. Sind Sie enttäuscht, dass es doch nicht geklappt hat?

Ja und nein. Ich persönlich hätte mich sehr über einen Austausch mit Snowden und über einen Beitrag von ihm zum Programm der SCSD gefreut. Gerne hätte ich gehört, wie er die Schweizer Cybersecurity sieht und wie man sich als kleiner Staat nachhaltig im Cyberspace schützen kann.

Aber?

Das hat SCSD-Präsidentin Doris Fiala auch schon angesprochen. Vergangenes Jahr wurde die mediale Berichterstattung der SCSD von der Crypto-Affäre überschattet. Dieses Schicksal hätten wir mit Snowden wohl auch wieder erlitten.

Was war virtuell am schwierigsten umzusetzen?

Wir Menschen sind physische Wesen und ich denke nicht, dass es einen virtuellen Ersatz fürs Networking gibt. Alle Anlässe versuchen es zwar auf unterschiedliche Weisen. Aber es ist einfach nicht dasselbe. Auch Gamification-Ansätze, bei denen man wie in Counter Strike oder Second Life durch eine immersive 3-D-Welt rennt, sind nur die ersten fünf Minuten amüsant. Wenn man schon so eine Game-Engine hat, spielt man doch lieber gleich Counter Strike. Wenn es bis zu den nächsten SCSD also noch keine Lockerungen der pandemiebedingten Restriktionen gibt, werden wir wohl Lösungen finden müssen, wie man in kleineren Gruppen dennoch netzwerken kann.

Doris Fiala erwähnte an den SCSD mehrfach Ihr neues Buch "IT-Sicherheit für KMU", das Sie zusammen mit Marc K. Peter geschrieben haben. Wie ist es zu diesem Buchprojekt gekommen?

Über 99,2 Prozent der Schweizer Unternehmen - also mehr als 590'000 - sind KMUs. Sie sind das Rückgrat unserer Wirtschaft und unserer Gesellschaft. Diese KMUs kümmern sich tagein, tagaus um ihr Geschäft innerhalb ihrer Branche und denken dabei gar nicht an Cybersecurity. Wenn wir einen möglichst grossen Einfluss auf die IT-Sicherheit der Schweiz haben wollen, müssen wir also dort ansetzen, denn da ist die Hebelwirkung am grössten. Mit dem Buch möchten wir auch Verwaltungsräten und Geschäftsführern, die nicht technisch versiert sind, aufzeigen, warum Cybersecurity relevant ist. So wollen wir dieses Rückgrat stärken, denn es ist derzeit in einem sehr schlechten Zustand.

Was ist Ihrer Meinung nach der häufigste Fehler, den KMUs in puncto IT-Security machen?

Das beginnt schon beim ersten Schritt: Viele denken noch immer, sie seien kein Ziel für Cyberkriminelle und müssten darum auch nichts machen. Aber das ist ein Trugschluss. Und sogar wenn man selber kein Ziel ist: Der eigene Computer ist sehr wohl ein Ziel.

Wie können KMUs ihre Cybersecurity rasch, aber dennoch effizient aufstocken?

Sie sollten möglichst schnell unser Buch kaufen, da stehen alle Antworten drin (lacht)! Nein, Scherz beiseite. Ich denke, es geht in erster Linie darum, gewisse Berührungsängste abzulegen. Es gibt keinen Betrieb, der heute nicht von funktionierender IT abhängig ist - das gilt auch für den Coiffeur, Bäcker und Metzger. Cyberrisiken zu beachten gehört also genauso zur Sorgfaltspflicht, wie alle weiteren Geschäftsrisiken. Die Verantwortung muss daher vom Verwaltungsrat oder der Geschäftsführung wahrgenommen werden. Ja, der technische Aspekt mag zunächst etwas verwirren. Aber was konzeptionell gemacht und gemieden werden sollte, das versteht jedes Kind! 80 Prozent einer gelungenen Cyberabwehr braucht weder ein grosses Budget noch Spezialisten, sondern einfach nur einen gesunden Menschenverstand. Und ein Schadensfall ist immer teurer und schmerzhafter als die Prävention und kann sogar in einen Konkurs führen.

Wird zu wenig Aufklärungsarbeit betrieben?

Ich habe dieses Jahr bereits zum dritten Mal an den SCSD gesagt, dass wir aufhören müssen, so naiv zu sein im Cyberspace. Aber wann hören wir endlich auf, naiv zu sein? Wir müssen jetzt aktiv werden. Denn neue Technologien wie 5G, IoT und die künstliche Intelligenz warten gleich um die Ecke. Und wenn die Cybersecurity nicht von Anfang an mitkonzipiert wird, wird das unser Ende sein.

Warum denken Sie, haben Unternehmen so viel Mühe, das Thema anzupacken?

Je länger desto mehr erinnert mich die Diskussion über Cybersecurity an diejenige über den Klimawandel. Eigentlich ist ja alles klar. Das Problem ist vielmehr, dass dieses Wissen nicht zum Handeln führt. Das liegt wohl daran, dass der Mensch eine sehr alte Technologie ist, die nur durch Schmerz lernt, wie Eugene Kaspersky es formulierte. Darum handeln wir als Gesellschaft auch erst, wenn es eigentlich schon fünf Minuten nach zwölf auf der Doomsday Clock ist statt fünf vor zwölf. Was wir derzeit unternehmen, um uns im Cyberspace abzusichern, ist nicht genug - und auch das wissen wir eigentlich schon.

Und was wäre genug?

Es ist an den Nutzern und Nutzerinnern, die Sicherheit einzufordern. Solange wir das nicht machen, wird kein Hersteller freiwillig sichere Lösungen bauen. Unsere IT- und auch die IT-Security-Industrie hat die vergangen 30 Jahre keinen guten Job gemacht; sie hat auch gar keine Motivation, einen besseren Job zu machen. Es liegt ja im Interesse der Cybersecurity-Anbieter, dass die IT nie komplett sicher ist. Andernfalls könnten diese Firmen ja nichts mehr verkaufen. Diesen Teufelskreis müssen wir durchbrechen, indem wir unsere gesellschaftliche Verantwortung wahrnehmen. Eine Möglichkeit wäre etwa, eine Produkthaftung mit drakonischen Strafen für Hersteller einzuführen, wenn ihre Produkte Sicherheitslücken aufweisen.

Mehr zu den Swiss Cyber Security Days 2021 können Sie hier nachlesen:

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_210882

Kommentare

« Mehr