Wie sich Swiss Cloud Computing gegen künftige Cyberangriffe wappnet

Im Frühling 2021 wurde Ihr Unternehmen Opfer eines Cyberangriffs. Was ist damals passiert?

Vito Critti: Die Zahl der Cyberattacken auf Schweizer Firmen ist in den vergangenen Jahren stark angestiegen. Im Frühling wurden auch wir Opfer eines massiven Angriffs. Das hat uns im Wissen bestätigt, dass die Frage nicht lautet, ob man angegriffen wird, sondern wann. Und es hat einmal mehr vor Augen geführt, wie wichtig geeignete Sicherheitsvorkehrungen und eine gute Vorbereitung für eine rasche, wirkungsvolle Bewältigung eines Angriffs sind.

Was waren die Folgen des Angriffs?

Dank unserer Sicherheitsvorkehrungen sowie eines Mehrschichtbetriebs unseres hervorragenden Teams und zusätzlicher Sicherheitsexperten waren die Auswirkungen deutlich weniger lang spürbar als bei anderen Fällen, die publik wurden. Lösegeld haben wir nicht bezahlt. Lehrgeld schon.

Wie geht es Swiss Cloud Computing heute?

Der Firma geht es gut. Rückblickend ist eine Wachstumsdelle im Frühsommer erkennbar, seither wachsen wir aber wieder zweistellig. Wir haben auch wertvolle Erkenntnisse mitnehmen können und können heute bestätigen, dass wir gestärkt aus der Krise gekommen sind. Gleichwohl: Am längsten hallt die Enttäuschung darüber nach, dass trotz unserer hervorragenden Reaktion auch Kunden zeitweise vom Angriff beeinträchtigt ­waren. Das ist das Schlimmste an so einem Angriff.

Welche Massnahmen haben Sie ergriffen, damit ein Angriff wie jener im Frühling nicht wieder gelingt?

Einen Angriff ausschliessen kann man ehrlicherweise nicht. Niemand kann das. Was wir aber wissen: Dank der weiteren Stärkung von Infrastruktur und Prozessen wären wir heute noch einmal signifikant schneller im Wiederherstellen sämtlicher Funktionalitäten, wobei wir schon im Frühling deutlich besser waren als der Benchmark. Ein drittes Datacenter und Redundanz unserer Core-Systeme sind dabei nur die offensichtlichsten Verbesserungen. Des Weiteren haben wir die Kadenz unserer Sicherheits-Audits erhöht und bewährte Massnahmen wo nötig gestärkt oder verfeinert. Weiterhin sind auch unsere "WORM-Backups" im Einsatz, die einen besseren Schutz vor Verschlüsselungstrojanern bieten und bereits im Frühling gute Dienste geleistet haben. Insgesamt wurden die Risiken deutlich verringert und der Umgang mit diesen noch einmal wesentlich verbessert.

Im Sommer 2020 wurden die Abkommen, die den Datentransfer zwischen Europa und den USA regeln, für ungültig erklärt. Wie hat sich diese Entwicklung auf die Nachfrage nach Ihren Dienstleistungen ausgewirkt?

Wir stellen fest, dass das Thema Datenschutz nicht überall die gleiche Aufmerksamkeit geniesst. Generell ist den Kunden aber wichtig, dass sie die Sicherheit haben, dass die Bearbeitung und Verarbeitung ihrer Daten bei Swiss Cloud ausschliesslich auf eigener Hardware von Swiss Cloud und ausschliesslich in der Schweiz stattfindet. Das war aber schon vorher der Fall. Einen direkten Zusammenhang auf die Nachfrage unserer Dienstleistungen können wir deshalb bisher nicht feststellen.

In der Schweiz wiederum tritt bald schon ein neues Datenschutzgesetz in Kraft. Erhalten Sie dazu viele Anfragen von Ihren Kunden?

Nein, und zwar aus zwei Gründen: Auf der einen Seite sehen wir immer wieder, dass es für die Kunden schwierig ist, Konsequenzen aus der Gesetzgebung abzuleiten. Manche setzen sich deshalb gar nicht erst damit auseinander, sondern vertrauen einfach einem lokalen Anbieter. Andere wiederum setzen sich sehr stark damit auseinander und entscheiden sich aufgrund dieses Wissens für Swiss Cloud als Schweizer Dienstleister. Bedarf nach weiterer Klärung haben diese beiden Gruppen kaum. Selbstverständlich beraten wir aber gerne dazu.

Der Bund hat sich unlängst im "Public Cloud"-Projekt ausschliesslich für ausländische Cloud-Anbieter entschieden. Wie reagieren Sie darauf?

Das ist aus unserer Sicht natürlich nicht wünschenswert. Es wäre aus unserer Sicht besser, wenn man Schweizer Firmen dafür berücksichtigen und helfen würde, sie zu befähigen – falls tatsächlich Defizite bestehen. Wie Sie dieser Tage auch lesen konnten, geht es nicht zuletzt darum, Geld zu sparen. Die Frage ist nur, welcher Preis hat die Unsicherheit bezüglich Datenschutz, staatlicher Einblicke und Regulierungen? Wenn Sie Daten in die Hände ausländischer Unternehmen legen, dann sind Sie auch von der Gesetzgebung in deren Ländern abhängig. Sie sind damit viel grösserer Unsicherheit ausgeliefert, als wenn die Daten bei Firmen liegen, die unserer eigenen Gesetzgebung unterliegen, wo es für ausländische Akteure viel schwieriger ist, an sie heranzukommen.

Welches Hauptargument würden Sie nennen, um ein Unternehmen von einer Schweizer Cloud zu überzeugen?

Ganz oben auf der Liste stehen auf jeden Fall die Rechtssicherheit, die politische Stabilität und die sehr gut ausgebaute Infrastruktur, sprich Verfügbarkeit. Grundlagen, die wir hierzulande quasi als gottgegeben anschauen. Wie die Entwicklung der "Public Cloud" aber zeigt, sind sie das aber nicht. Jeder muss für sich entscheiden, wie wichtig ihm diese Werte sind.

Nicht selten werben Schweizer IT-Anbieter mit ­besonders hohem Datenschutz für ihre Produkte. Seit dem neuen BÜPF bezeichnen kritische Stimmen gleichzeitig unser Land als Überwachungsstaat. Hand aufs Herz: Wie beurteilen Sie den Schweizer Datenschutz?

Unser Datenschutz ist gut ausgebaut. Es ist aber nicht an mir, das weiter zu beurteilen. Das Gesetz ist eine unserer Rahmenbedingungen und wir hatten bisher keine Schwierigkeiten damit.

In welchen Branchen sind Schweizer Cloud-Angebote Ihrer Erfahrung nach besonders beliebt? Und warum?

Wir haben Kunden aus verschiedenen Branchen. Generell sind Cloud-Dienstleistungen bislang vor allem im Dienstleistungssektor beliebt. Da, wo man sehr gut auch standortunabhängig arbeiten kann. Eine Cloud bietet aber mehr als das. Dienstleistungen wie Backups, SaaS oder der Ersatz lokaler Serverinfrastruktur können auch für Produktionsbetriebe interessant sein. Letztlich geht es gerade auch bei KMUs um Convenience und Sicherheit, die sich mit Cloud-Lösungen verbessern. Auch die Planungssicherheit steigt dank skalierbarer und klar im Voraus kalkulierbarer Kosten. Viele Start-ups haben das erkannt und setzten von Anfang an auf die Cloud. Mit den Jahren setzt sich das so automatisch mehr und mehr als Standard durch.

Von welchen Branchen würden Sie sich mehr Interesse wünschen?

Das ist weniger eine Frage der Branche als vielmehr der Persönlichkeit. Der Mensch ist auch ein Gewohnheitstier und manche scheuen sich davor, etwas zu verändern, wenn die bisherige Lösung noch funktioniert. Auch wenn sie vielleicht mittlerweile ein Flickwerk ist und viele personelle und finanzielle Ressourcen bindet. Aber die Entwicklung geht eindeutig in Richtung Cloud.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.