Tom, was umfasst eure Tätigkeiten bei EY im Bereich Cybersecurity?
Cybersecurity ist eines der Top-Unternehmensrisiken. Dessen sind sich viele Unternehmen bewusst; sie benötigen aber Expertise im Umgang mit diesen Bedrohungen. Wir helfen ihnen mit Assessments, ihre Schwachstellen zu identifizieren und geeignete Gegenmassnahmen zu treffen. Die «Achillesferse» kann auf technischer oder organisatorischer Ebene liegen; mehr und mehr sind die Unternehmen, insbesondere in der Finanzbranche, auch regulatorischen Vorgaben unterworfen. Wir beraten hinsichtlich des erforderlichen Sicherheitsdispositivs, führen unter anderem auch so genannte Penetration-Tests durch und unterstützen in der Umsetzung, etwa wenn es um Prozesse oder die Implementation von Sicherheitstechnologien geht. Dabei agieren wir herstellerunabhängig, arbeiten aber mit bewährten Alliance-Partnern zusammen.
Nach deinen Erfahrungen: Wo stehen die Schweizer Banken und Versicherungen in ihrer Sicherheit?
Gemäss unserer EY 2023 Global Cybersecurity Leadership Insights Study ist die Schweizer Finanzindustrie nach eigenen Aussagen zufrieden damit, wie unternehmensintern mit dem Thema Cybersecurity umgegangen wird. Doch ich stelle immer wieder fest, dass nicht alle Banken und Versicherungen auf dem Stand sind, auf dem sie angesichts der wachsenden Bedrohungen eigentlich sein müssten. Nach meinen Erfahrungen ist die Maturität teilweise noch nicht sehr hoch. Vor allem angesichts dessen, dass Cyberkriminelle auf der einen Seite und die Security-Verantwortlichen in den Finanzinstituten auf der anderen sich ein Katze- und Maus-Spiel liefern. Da erstere immer professioneller und «kreativer» werden, entstehen ständig neue Bedrohungsszenarien, so dass man mit dem Implementieren von Erkennungs- und Abwehrmechanismen nie fertig wird. Kommt hinzu: Ein Cyberangreifer muss bei einem gezielten Angriff auf ein Unternehmen nur ein einziges Mal richtig liegen und schon ist das Malheur passiert. Eine Bank oder Versicherung muss hingegen alle Angriffe erfolgreich abwehren oder erkennen – es ist bis zu einem gewissen Grad ein Wettkampf mit unterschiedlich langen Spiessen!
Mit welchen Bedrohungen ist die Finanzindustrie denn derzeit am meisten konfrontiert?
Nach wie vor ist Ransomware eine der grössten Gefahren neben Phishing und Data Leakage, in welcher Form auch immer. Gerade bei den Banken handelt es sich um sehr sensitive Daten. Besonders grosse Sorgen bereitet uns im Sicherheitskontext neuerdings die künstliche Intelligenz in den Händen Cyberkrimineller. CEO-Fraud – dass Mitarbeitende zu Handlungen animiert werden, indem die/der Vorgesetzte imitiert wird – ist nun nicht mehr nur per Phishing-Mail, sondern auch per Anruf oder sogar Videocall möglich, da Stimme, Video und Lippenbewegungen mittlerweile gut gefälscht werden können.
Tom, Du wirst über dieses Thema an der ix.perience, dem Banken- und Versicherungsforum der Inventx, ein Referat halten. Wird es darin einen «düsteren» Ausblick in die Sicherheitszukunft geben?
Die Entwicklung in der generativen KI in Richtung Deep Fakes ist zwar ein Gamechanger und es werden sicher bis zum Termin der ix.perience am 4. September noch einige neue Bedrohungen hinzukommen. Doch ich werde nicht nur über die Risiken sprechen. Wenn das Thema Security richtig angepackt wird, ergeben sich nämlich auch Chancen. Die grösste: Sicherheit über das reine Risikomanagement hinaus als Enabler für Digitalisierungsprojekte zu sehen. Ich werde somit am 4. September in Bern nicht nur die Herausforderungen und allfällige Lösungswege thematisieren, sondern auch das Potenzial, das in einer hohen Maturität der Cybersecurity liegt. Und ich freue mich auf eine interessierte Zuhörerschaft aus dem Banken- und Versicherungsumfeld.