«Niemand ist vor einem Hackerangriff vollständig geschützt.»
Patrick Buser, Mitglied der Geschäftsleitung der SmartIT, hat die übergeordnete Verantwortung für das Thema Security bei der SmartIT Services AG. Im Interview nimmt er Stellung zu den jüngsten Angriffen auf IT-Dienstleister, die ISO-27001-Zertifizierung und die Position der SmartIT.
Das Interview wurde von Kristian Hachen durchgeführt.
Kristian: Patrick, was haben die jüngsten erfolgreichen Hacker-Angriffe auf namhafte IT-Dienstleister bei dir ausgelöst?
Patrick: Tiefes Unbehagen. Ich kenne beide Dienstleister, die Berner IT-Welt ist relativ klein. Entsprechend weiss ich mindestens teilweise, welche Anstrengungen bei den Firmen im Bereich IT-Sicherheit gemacht werden. Dass es trotzdem in so kurzer Zeit zu diesen beiden Vorfällen kam, ist beunruhigend und ich bedaure es sowohl für IT-Dienstleister als auch deren betroffenen Endkunden zutiefst. Persönlich habe ich auch null Verständnis für direkte oder indirekte Angriffe auf Firmen und Institutionen, die sich um die Gesundheit und das Wohlergehen von Menschen kümmern.
Was bedeuten diese beiden Angriffe für deine Arbeit bei der SmartIT?
Es ist nicht so, dass wir infolge der Attacken in blinden Aktionismus verfallen. Wir haben einen Fahrplan im Bereich IT-Sicherheit, um uns stetig zu verbessern und ein immer dichteres Netz aus Sicherheitsmassnahmen zu spinnen. Wir haben allerdings ein paar Massnahmen im Fahrplan re-priorisiert. Das Thema Security ist unglaublich schnelllebig und es geht darum, sich möglichst schnell den aktuellen Gegebenheiten anzupassen.
IT-Sicherheit ist ein stetiger Prozess und nicht ein erreichbarer Zustand.
Patrick Buser
Welche Rolle spielt die ISO-27001-Zertifizierung, welche die SmartIT jüngst erreichte?
Eine sehr grosse Rolle. Auch die Vorbereitung und schliesslich die Erreichung der ISO 27001-Zertifizierung war Teil unseres Security-Fahrplans. Der Weg dorthin war lang, steinig und herausfordern, jedoch auch enorm lehrreich. Wir machen uns aber nichts vor: Mit dem Zertifikat alleine können wir uns nichts kaufen. Die ISO-Zertifizierung ist ein Meilenstein, den wir unbedingt erreichen wollten. Die Latte der Anforderungen an die IT-Sicherheit wird hier bereits recht hoch angesetzt. Aber wir sehen tagtäglich, dass keine Zertifizierung dieser Welt eine Sicherheitsgarantie darstellt. IT-Sicherheit ist ein stetiger Prozess und nicht ein erreichbarer Zustand.
Das ist für Kundinnen und Kunden von IT-Dienstleistern nicht unbedingt beruhigend.
In den Gesprächen mit unseren Kundinnen und Kunden sind wir sehr transparent. Wir nehmen unseren Unternehmenswert «aufrichtig» sehr ernst, suchen proaktiv den Dialog mit unseren Kundinnen und Kunden und kommunizieren auf Augenhöhe. Wir können sichtbar machen, welche Anstrengungen wir im Bereich IT-Sicherheit unternehmen und dass wir uns trotz hoher Standards immer weiter verbessern.
Was kannst du den Kundinnen und Kunden der SmartIT sagen, die aufgrund der jüngsten Attacken besorgt sind?
Wie bereits Ende 2022, als ebenfalls ein IT-Dienstleister aus dem Raum Bern angegriffen wurde, haben wir unsere Konzepte und Standards überprüft und den Security-Fahrplan wo nötig angepasst und re-priorisiert. IT-Security ist bei uns täglich auf der Agenda und wir sind daran, unsere Massnahmen immer dichter ineinander zu verweben. Aber wie oben bereits erwähnt, niemand ist vor einem Hackerangriff vollständig geschützt. Deshalb investieren wir nicht nur in die Gefahrenabwehr, sondern auch in die Erkennung von Angriffen und in die entsprechenden Reaktionen. Als Service Providerin haben wir in diesem Bereich tendenziell mehr technische Mittel und Spezialisten-Know-how zur Verfügung, als ein KMU, welche zwar der gleichen Gefahr ausgesetzt ist, sich aber allenfalls weniger effizient selbst schützen kann.
Im Nachgang der Angriffe wurde immer wieder das Schlagwort eines «Security Operations Center» genannt. Hätten diese Angriffe damit verhindert werden können?
Diese Frage lässt sich nicht pauschal beantworten. Insgesamt benötigt es einen ganzen Strauss an Massnahmen und hohe Wachsamkeit bei den Mitarbeitenden. Ein Security Operations Center ist ein weiteres Puzzleteil, das dabei hilft, die Sicherheitssituation laufend zu analysieren, Lücken zu füllen und zu überwachen. Genau so ein Security Operations Center für KMU bieten wir ebenfalls seit Sommer 2022 als Leistung an. Nicht zuletzt um Lücken sichtbar zu machen, um mit unseren Kundinnen und Kunden geeignete Massnahmen zu treffen und gemeinsam besser zu werden.