Simon Maurer ist bei der Schweizerischen Vereinigung für Qualitäts- und Management-Systeme (SQS) Leitender Auditor und für die Norm ISO/IEC 27001 verantwortlich. Die SQS ist in der Schweiz die führende Zertifizierungsstelle für Informationssicherheits-Managementsysteme gemäss dieser Norm. Maurer verfügt über eine jahrzehntelange Führungserfahrung in der Informatik und berät neben seiner SQS-Tätigkeit Firmen zur Informationssicherheit.
Wir haben Simon Maurer ein paar Fragen zu seinen Aufgabenbereichen gestellt.
Wie sind Sie zu Ihrer Position als SQS-Produktverantwortlicher und Leitender Auditor gekommen?
Als ich Geschäftsführer einer Informatik-Firma war, haben wir uns bei der SQS zertifizieren lassen. Ich lernte damals, was es heisst, ein Managementsystem neu aufzubauen. Und ich lernte mehrere Auditoren kennen. Eines Tages wurde ich von ihnen gefragt, ob ich Interesse hätte zu auditieren. Ich habe den Entscheid gewagt, mich selbständig zu machen, und ihn keinen einzigen Tag bereut. Vor mehreren Jahren wurde ich von meiner Vorgesetzten in der SQS gefragt, ob ich zusätzlich die Produkteverantwortung für die ISO/IEC 27001 zu Informationssicherheits-Managementsystemen übernehmen möchte, und ich sagte zu. Es ist eine äusserst spannende Rolle in einem sehr dynamischen Umfeld.
Wie haben sich die Bedrohungen im Bereich der Cybersicherheit in den letzten Jahren entwickelt?
Die Informatik befindet sich in einem tiefgreifenden Wandel. Viele Firmen wollen in die Cloud wechseln, benötigen aber nach wie vor einen lokalen Informatikbetrieb. Damit erhöhen sie die Komplexität ihrer Betriebsplattformen massiv. Entsprechend steigen ihre Risiken. Ein klassisches Beispiel: Das Inventar der eingesetzten IT-Mittel wird nicht gründlich gepflegt, und dadurch gehen wichtige Sicherheits-Updates vergessen. Besteht dann ein Zugang zum Internet, nützen Angreifer diese Schwachstellen aus. Zudem wird die Software-Entwicklung immer komplexer, wodurch das Risiko steigt, dass die Entwickler Schwachstellen in der Testphase nicht erkennen. Befinden sich diese in weltweit eingesetzten Lösungen, können Tausende von Kunden gleichzeitig gehackt werden.
Welche Entwicklungen erwarten Sie im Bereich der Cybersicherheit?
Die künstliche Intelligenz (KI) ist sicher der Megatrend. Sie wird auf der Seite der Angreifer mittlerweile auch von Menschen ohne Programmierkenntnisse genutzt, z.B. um Malware herzustellen oder um perfekt formulierte Phishing-Mails zu schreiben. Auf der Seite der Verteidiger wird die KI ebenfalls genutzt, z.B. um Anomalien im Netzwerk frühzeitig zu erkennen. Ich stelle – damit verbunden – zudem eine starke Zunahme der Regulationstätigkeiten fest, insbesondere in der EU, aber auch in der Schweiz, z.B. mit dem neuen CH-Informationssicherheitsgesetz. Für die Firmen in der Schweiz erhöht sich auch dadurch die Komplexität deutlich.
Welche Vorteile bietet die Implementierung der Norm ISO/IEC 27001 für Organisationen?
Diese Norm beinhaltet die heutige «best practice» im Bereich der Informationssicherheit. An der neuen Version, welche Ende 2022 veröffentlicht wurde, hatten Experten aus der ganzen Welt mitgearbeitet, auch wir in der Schweiz. Wer ein Managementsystem nach dieser Norm in seiner Firma implementiert und zertifizieren lässt, kann sich auf einen deutlich gesteigerten Grundschutz verlassen. Die Risiken werden proaktiv erkannt und mit geeigneten Massnahmen behandelt. Insbesondere die Informatik wird mit vielen Massnahmen gehärtet. Sollte es einmal zu einem Vorfall kommen, ist eine Firma darauf vorbereitet, sie kann die Auswirkungen eindämmen und Folgeschäden minimieren. Mitarbeitende werden laufend sensibilisiert und wissen, wie mit dem Thema umzugehen ist.
Welche Rolle spielt das Risikomanagement im Kontext der ISO/IEC 27001?
Das ist ein zentraler Baustein der Informationssicherheit. Wer seine Schutzobjekte («assets») und die damit verbundenen Risiken kennt, kann sie proaktiv behandeln.
Welche präventiven Massnahmen können Unternehmen ergreifen, um sich vor Cyberkriminalität zu schützen?
Eine bessere Informationssicherheit entsteht durch eine Vielzahl von vernetzten Massnahmen. Empirische Untersuchungen zu Cybervorfällen zeigen, dass individuelle Handlungen von Menschen in über 80 Prozent für den Ausgang des Vorfalls entscheidend waren. Es lohnt sich deshalb, in die Kompetenz der Mitarbeitenden zu investieren.
Die Zertifizierung nach ISO/IEC 27001 ist sicher der «Königsweg». Der Aufbau, der Betrieb und die Zertifizierung des Informationssicherheits-Managementsystems geben die Garantie, die internationale «best practice» bestmöglich in der Firma zu integrieren.
Ein einfacheres Mittel ist, sich mit dem Cyber-Navi (cybernavi.ch) einen Überblick über die möglichen Massnahmen zu verschaffen. Wir haben dieses Tool in der Information Security Society Switzerland ISSS entwickelt.
Gibt es bewährte Verfahren oder Empfehlungen, die Sie Unternehmen im Umgang mit Sicherheitsbedrohungen geben würden?
Bleiben Sie wachsam, informieren Sie sich und sorgen Sie vor! Die Cyberkriminellen kennen keine Ethik und attackieren jetzt z.B. auch grosse Krankenhäuser, wie gerade am letzten Weihnachtstag in Deutschland. Es ist egal, welche Firma sich hinter einer Schwachstelle befindet, mit Datendiebstahl und Sabotage lässt sich Geld erpressen.