Shira Kaplan: «Wir müssen den Angreifern das Leben schwer machen»

Von Samuel Gerber | Stv. Chefredaktor

Die Unternehmerin Shira Kaplan hat einst für die israelische Armee Hackerangriffe abgewehrt. Nun testet sie die Verteidigung der Schweizer Banken. «Das Problem ist, dass es bei der Cybersicherheit nie wirklich genug ist», mahnt sie im Gespräch mit finews.ch.

Frau Kaplan, die Schweizerische Bankiervereinigung (SBVg) fordert von der Schweizer Regierung eine Krisenorganisation im Kampf gegen Cyberkriminalität – und der Bundesrat führt das Thema nun offiziell als Ziel seiner Sicherheitspolitik. Was halten Sie davon?

Auf jeden Fall besser spät als nie. In der Schweiz sind 8 Billionen Dollar an Kundengeldern konzentriert – 25 Prozent des weltweiten Vermögens sind bei hiesigen Finanzinstituten geparkt. Das ist ein sehr attraktives Ziel für Cyberkriminelle. Schweizer Unternehmen, ob gross oder klein, müssen sich vom Gedanken verabschieden, dass dieses Land geopolitisch neutral oder durch Berge geschützt ist. In einer digitalen Welt ist dies absolut irrelevant.

Als Spezialistin für Cybersecurity werden Sie beauftragt, die Verteidigungssysteme der Schweizer Banken zu testen. Was ist Ihr Eindruck von deren Fähigkeiten?

Die Schweizer Banken stehen vor der gleichen Jahrhundertfrage wie viele Unternehmen in einer sehr wohlhabenden Wirtschaft: Wie kann ich bei so vielen IT-Projekten die Cybersicherheit überall einbinden? Diese besteht nach wie vor im Wesentlichen darin, Pflaster zu verteilen. Das wird sich auch in den nächsten zehn Jahren nicht gross ändern, obwohl etwa Microsoft auf den Bereich fokussiert. Aber die Komplexität der IT bedeutet, dass es keine Patentlösung gibt, die für alle passt.

Was heisst das für die hiesigen Banken?

Sie müssen in eine Fülle von Cyber-Abwehrlösungen investieren. Das ist nicht einfach und bereitet den zuständigen Chief Information Security Officer viel Kopfzerbrechen und jede Menge Aufregung.

Die Schweizer Banken, vor allem die grossen, investieren bereits viel Geld in die Cybersicherheit. Ist das Thema auch finanziell ein Fass ohne Boden?

Das Problem ist, dass es bei der Cybersicherheit nie wirklich genug ist. Man könnte immer noch mehr investieren und versuchen, eine weitere digitale Tür zu schliessen. Aus diesem Grund verfolgen immer mehr Finanzinstitute einen risikobasierten Ansatz bei der Cyberabwehr:

«Das Gute an den Schweizern ist, dass sie sehr schnell lernen»

Wo bin ich am anfälligsten – dort werde ich mich zuerst schützen. Wenn sie 20 Prozent ihrer Vermögenswerte schützen, können sie 80 Prozent der Organisation schützen . So geht zumindest die Theorie.

Und wie steht es mit der Praxis?

In Wahrheit besteht die einzige unmittelbare Lösung zur Bekämpfung der Cyberkriminalität darin, jeden zu schulen. Wenn die Assistentin des Chefs geschult ist, wenn der Chef geschult ist, wenn die Ehefrau und die Kinder des Chefs geschult sind, sowie alle Mitarbeitenden im Unternehmen, verringern wir das Risiko von Cyberangriffen erheblich. Unser Ziel muss es sein, den Angreifern das Leben schwer zu machen, wenn sie eine Lücke in der Abwehr suchen.

Hat der Schweizer Finanzplatz da einen grossen Nachholbedarf?

Das Gute an den Schweizern ist, dass sie sehr schnell lernen. Wenn sie einmal so weit sind, werden sie sehr schnell aufholen. Mein Unternehmen Cyverse bietet modernste Technologien zur Cyberabwehr an. Wir sind jetzt seit fast sechs Jahren in diesem Geschäft. Anfangs verstand niemand, was wir tun, aber jetzt scheinen unsere Lösungen für viele Schweizer Unternehmen, die uns anrufen, ein Selbstläufer zu sein.

Die Digitalisierung von Finanzdienstleistungen hat im Zuge der Pandemie einen Schub erfahren – ist das auch ein Segen für Hacker?

Die Digitalisierung ist für diese Leute generell ein Segen, weil sie mehr Lücken schafft, durch die Hacker eindringen können. Wenn sie plötzlich von Ihrem Heimgerät aus arbeiten, werden ihr Heimgerät und ihr Heimnetzwerk zu einem Zugangspunkt für Hacker zu ihrem Unternehmens-Netzwerk.

Auf jeden Fall nehmen die Angriffe auf Banken und andere Finanzinstitute fast exponentiell zu. Einige Experten sagen, dass es jetzt nur noch um Schadensbegrenzung geht. Würden Sie dem zustimmen?

Vor sieben Jahren sagte der Chief Information Security Officer von IBM vor Tausenden von Cybersicherheits-Enthusiasten in Tel Aviv: «Gehen Sie davon aus, dass Ihr Unternehmen angegriffen wurde». Jeder Geschäftsinhaber in einer hyperdigitalen Welt sollte diese Philosophie beherzigen.

«Wir sollten schon im Kindergarten damit beginnen, diese Dinge zu lehren»

Denn dann können sie sich auf das Wesentliche konzentrieren: Sich selbst und ihre Mitarbeiter zu schulen, die wichtigsten Vermögenswerte schützen und dafür sorgen, dass das Unternehmen den Betrieb wiederherstellen kann, wenn es von einem Angriff betroffen ist.

Man muss sich also benehmen, als wäre man schon gehackt?

Die Menschen müssen aufhören, sich vor dem Thema IT und Cybersicherheit zu fürchten. Wenn sie wissen, wie sie ihre Tür und ihr Auto abschliessen können, müssen sie auch ein Grundverständnis dafür haben, wie sie ihre digitalen Werte schützen können. Und als Mutter von drei kleinen Kindern, die in der Schweiz aufwachsen, möchte ich diese Gelegenheit nutzen, um zu sagen: Wenn wir die Schweizer Wirtschaft darauf vorbereiten wollen, für die nächsten Generationen an der Spitze zu stehen, sollten wir damit schon im Kindergarten beginnen, diese Dinge zu lehren.

Eine neue Bedrohung scheint von mit Künstlicher Intelligenz unterstützten Angriffen auszugehen. Wie ernst ist das Problem?

KI setzt die Technologie auf Steroide. Sie gibt Computern die Macht, Entscheidungen zu treffen und zu handeln. Natürlich sollten wir über KI-gesteuerte Angriffe besorgt sein. Aber wir sollten uns vor allem Sorgen darüber machen, dass wir uns nicht informieren und denken, dass alles in Ordnung ist, weil wir in der Schweiz sind.

Um diese spezielle Bedrohung zu bekämpfen, plant die UBS ein Forschungszentrum in Israel. Ist Cyverse daran beteiligt?

In den letzten Jahren haben mehrere multinationale Schweizer Unternehmen in Israel Zentren für Cybersicherheit aufgebaut. Da wir uns an der Schnittstelle zwischen der Schweizer Wirtschaft und der israelischen Cyberindustrie befinden, waren wir natürlich an vielen Aktivitäten beteiligt.

«In der Schweiz kann man nur das Beste und Vertrauenswürdigste anbieten»

Ich möchte mich nicht speziell zur UBS äussern, da ich dazu keine Erlaubnis erhalten habe. Ich kann Ihnen nur sagen, dass ich sehr beeindruckt bin von der zukunftsorientierten Herangehensweise der UBS an die Cybersicherheit. Die Grossbank hat absolut fantastische Leute an ihrer Seite. Allerdings könnte es für sie eine Herausforderung sein, neue Mitarbeiter zu gewinnen, denn in Israel herrscht derzeit ein enormer Kampf um Talente, wenn es um Fachkräfte für Cybersicherheit geht.

Sie sind eine Botschafterin für israelische Fintechs und Cybersicherheits-Startups in der Schweiz. Wie gefragt sind deren Dienste?

In den letzten sechs Jahren haben wir uns nur auf den Wiederverkauf israelischer Cybersicherheit-Produkte konzentriert, die zum Schutz der Schweizer Digitalwirtschaft beitragen können. Ich bin 38 Jahre alt, und ich kann Ihnen sagen, dass wir in den nächsten 50 Jahren genau dasselbe tun werden. Denn die Herausforderung wird nur noch grösser werden.

Die Schweizer Institutionen sind jetzt sehr offen für israelische Cyber-Innovationen. Sie sehen die mehr als 500 israelischen Cyber-Startups, in die allein in den letzten sechs Monaten mehr als 3 Milliarden Dollar investiert wurden, und wissen, dass Israel im globalen Kampf gegen Cyberkriminelle eine wichtige Rolle spielen kann. In die Schweiz kann man aber nur das Beste und Vertrauenswürdigste anbieten, sonst ist man sehr schnell aus dem Geschäft.

Shira Kaplan ist CEO und Mitgründerin von Cyverse, einer auf Cyber Security spezialisierten Firma in Zürich. Kaplan war in Israel als Analystin für die Armee tätig. Sie hat ein MBA von der Universität St. Gallen und ist in einigen israelischen Tech- und Cyber-Security-Startups investiert.