Das war die Global Cyber Conference 2023 in Zürich
Mitte September 2023 hat die zweite Ausgabe der Global Cyber Conference (Zurich Edition) stattgefunden. Die Konferenz brachte namhafte Branchenvertreter aus der Schweiz und über 30 weiteren Ländern zusammen. Am ersten Tag sprachen unter anderem Florian Schütz vom NCSC über Regulierungen und Raphael Reischuk vom NTC über Cyberresilienz.
Am 14. und 15. September 2023 ist das Dolder Grand zum Security-Hub der Schweiz geworden. Im Zürcher 5-Sterne-Hotel fand die zweite Ausgabe der Global Cyber Conference (GCC) (Zurich Edition) statt. Der Event brachte das "Who's who" der hiesigen Cybersecurity-Branche zusammen. Aber nicht nur - getreu dem Namen reisten auch globale Persönlichkeiten für die Konferenz nach Zürich.
In seiner Begrüssung sagte Samir Aliyev, CEO und Gründer des Organisators Swiss Cyber Institute, dass die Teilnehmenden aus über 30 Ländern angereist seien. Darunter Australien, Aserbaidschan, Dänemark, Deutschland, Frankreich, Indien, Israel, Kanada, Katar, den Niederlanden, Oman, Saudi-Arabien, die USA und dem Vereinigten Königreich, um nur ein paar wenige zu nennen.
Samir Aliyev, CEO und Gründer des Swiss Cyber Institute, begrüsst das Publikum. (Source: Netzmedien)
Es war zwar nicht die erste GCC - dafür wartete der Anlass mit einer anderen Premiere auf: mit der ersten Verleihung der Swiss CISO Awards. Insgesamt 6 Preise verliehen die Organisatoren im Rahmen eines Gala Dinners am Abend nach dem ersten Konferenztag. Wer eine Trophäe mitnehmen durfte, erfahren Sie hier.
Vor der Award-Party stand aber zunächst noch das Vortragsprogramm an. Und dieses konnte sich zeigen lassen. In kurzen Präsentationen von 15 Minuten (30 für Paneldiskussionen) kamen unterschiedliche Personen die Bühne, darunter Florian Schütz, der Delegierte des Bundes für Cybersicherheit und designierter Direktor des sich im Aufbau befindenden Bundesamts für Cybersicherheit, sein spanisches Pendant Felix Barrio Juárez (Director General des Spanish National Cybersecurity Institute) und Sultan Altukhaim, General Manager der Saudi Communications, Space & Technology Commission. Die Privatwirtschaft war ebenfalls prominent vertreten - unter anderem mit Twint-CISO Kai Schramm, dem Chief Privacy Officers von Mars und eBay Anna Pouliou respektive Anna Zeiter sowie Olivier Martinet, Group CISO der TX Group.
Regulierungen
Die erste Präsentation der diesjährigen Konferenz hielt Florian Schütz. In seiner Viertelstunde sprach er diverse Themen an. Dabei kam er immer wieder auf die Frage zurück, welche Rolle der Schweizer Staat übernehmen soll. "Es ist nicht meine Aufgabe, Sie zu schützen", sagte er, bevor er scherzhaft ergänzte: "Es tut mir Leid, falls Sie das gedacht haben, aber schützen müssen Sie sich selbst." Wenn man vergisst, die Haustüre abzuschliessen, erwarte man ja auch nicht, dass der Staat einen Soldaten vor dem Haus stationiere. "Die Aufgabe des Staates ist es, sicherzustellen, dass Sie in der Lage sind, sich zu schützen."
Schütz bemängelte ferner, dass es weniger Ingenieure in Cybersecurity-Funktionen gebe, als er es gern hätte. "Wir haben das Engineering rausgenommen", sagte er. "Wir müssen es nun wieder reinbringen." Er verglich die Lage mit anderen Branchen, in denen Regulierungen verhindern, dass man unsichere Produkte erwerben kann. "Man kann keinen Teddybär kaufen, der mit giftigen Farbstoffen gefärbt wurde. Man kann aber sehr wohl unsichere IT-Produkte kaufen." Er sprach in diesem Zusammenhang von einer "technischen Schuld", die von fehlerhaften, gestressten oder zu kurzen Entwicklungen an die User vererbt werde.
Das Thema der Regulierungen wurde später in einem Roundtable wieder aufgegriffen. An diesem nahmen ausser Schütz auch Sultan Altukhaim sowie Todd James, VP und Head of Incident Response bei Swiss Re, teil. Schütz erinnerte daran, dass Regulierungen nicht automatisch mehr Sicherheit schaffen. "Man kann komplett compliant, aber trotzdem nicht sicher sein", sagte er.
Das Panel zum Thema Regulierungen (v.l.): Moderator und NZZ-Journalist Markus Städeli, Florian Schütz vom NCSC, Todd James, VP und Head of Incident Response bei Swiss Re, und Sultan Altukhaim, General Manager der Saudi Communications, Space & Technology Commission. (Source: Netzmedien)
Regulierungen könnten aber mehr Sicherheit schaffen, indem sie etwa Hürden aufstellten für den Zutritt zu gewissen Märkten. Dafür seien aber nicht zwingend Regulierungen vonnöten. Konsumentenmagazine wie beispielsweise "Kassensturz" oder auch Labels für Produkte würden bereits Hürden aufstellen, indem sie die Wahl der Konsumenten beeinflussen.
"Regulierungen alleine genügen aber nicht", sagte Altukhaim. "Sie müssen auch durchgesetzt werden, andernfalls erreicht man nur eine Scheinsicherheit." Bei der Erstellung von Regulierungen müsse zudem darauf geachtet werden, dass diese Vorgaben fair, transparent und anwendbar sind, sonst würden sie mehr schaden als nützen.
Todd James von Swiss Re vertrat eher die andere Seite der Medaille. Seiner Meinung nach sei die Schweiz im Vergleich zu anderen Ländern (vor allem in Asien) nicht so stark reguliert. Zugleich sagte er aber auch, dass die Schweiz nicht noch mehr Regulierungen brauche.
"Ein Blick auf unsere Wirtschaft zeigt, dass der bisher eingeschlagene Weg nicht schlecht war", sagte Schütz. Die Schweiz sei zwar willig, aber auch vorsichtig bei Regulationen. Was und wie man reguliert, müsse wohl überlegt werden. Während der Diskussion sprach Schütz auch erstmals öffentlich seine Idee an, weg zu kommen von Minimalstandards und stattdessen mehr in Richtung von Best Practices zu schwenken. Noch handelt es sich dabei aber um eine Idee und noch nicht um einen konkreten Plan.
Resilienz
Der erste Tag stand ganz im Zeichen der Cyberresilienz. Es ging also um die Fähigkeit, sich beispielsweise von einer Cyberattacke zu erholen und sich an neue, disruptive Umstände anzupassen. Zu diesem Thema referierte auch Raphael Reischuk, Mitgründer des Nationalen Testinstituts für Cybersicherheit (NTC). Es zeigte auf, wie das unerbittliche Streben nach Effizienz (vor allem kurzfristige Effizienz) der Resilienz im Weg stehen kann.
Dies sei etwa der Fall bei "Just in time"-Manufacturing (sehr effizient, aber nur unter den besten Voraussetzungen). Aber auch die modernen Arbeitsplätze fallen in diese Kategorie. Gemeinsam genutzte Arbeitsplätze seien sehr schlank und effizient, aber dieser Ansatz setze eine sehr gute Konnektivität voraus.
Raphael Reischuk, Mitgründer des Nationalen Testinstituts für Cybersicherheit. (Source: Netzmedien)
In seiner Rede nannte Reischuk aber auch drei Beispiele, bei denen Effizienz zugunsten der Widerstandsfähigkeit geopfert wird:
- Die Schweizer Demokratie
- Der Schweizer Föderalismus
- Die menschliche Reproduktion
Insbesondere das letzte Beispiel erläuterte Reischuk mit viel Humor. Die menschliche Fortpflanzung sei "sehr ineffizient". Man müsse zuerst das richtige Alter erreichen, dann noch einen Partner finden. "Also los auf Tinder und swipe, swipe, swipe." Findet man endlich einen Partner, stellt sich bald heraus, dass das doch keine so gute Idee war. "Also wieder auf Tinder und swipe, swipe, swipe." Man finde wieder jemanden, aber sobald man die Eltern kennenlerne, stelle sich heraus, dass auch diese Beziehung keine gute Idee sei. "Also nochmal: los auf Tinder und swipe, swipe swipe!" Und selbst wenn man endlich die richtige Beziehung finde, müsse man trotzdem noch 9 Monate warten.
Unternehmen müssen also eine Balance finden zwischen den beiden Endpunkten. Dafür müssen sie die Ineffizienz akzeptieren und einen Plan für den Umgang mit ihr erstellen.
Das könnte Sie auch interessieren: Das Nationale Testinstitut für Cybersicherheit (NTC) hat es sich zum Ziel gesetzt, quasi ein Pendant zur Empa im Cyberbereich zu werden - umfassend, transparent und zum Wohle der Gesellschaft. Wie es auswählt, was es prüft, welche Meilensteine es nun anpeilt und weshalb die Schweiz überhaupt ein NTC braucht, sagt Raphael Reischuk, Mitgründer des NTC und Mitglied des Cybersecurity Advisory Board der SATW, hier im Interview.
Referenzszenarien
Matthias Glatthaar, Head Data Privacy and Digital / Group Data Protection Officer beim Migros-Genossenschafts-Bund, widmete sein Vortrag dem revidierten Schweizer Datenschutzgesetz (DSG). Dabei ging er auf die unterschiedlichen Meldepflichten ein zwischen dem DSG und der EU-DSGVO. Eine Lösung für alle Meldepflichten gebe es zwar nicht. Aber wer einen Plan und Referenzszenarien vorbereite, könne einfacher durch diese Datenschutzregeln navigieren.
Matthias Glatthaar, Head Data Privacy and Digital / Group Data Protection Officer beim Migros-Genossenschafts-Bund. (Source: Netzmedien)
Als Tipp empfahl er etwa, die Strategien rund um die Meldepflicht mit der PR-Strategie zu koordinieren. So seien beispielsweise die Chancen, nach einer Strafanzeige wegen eines Datendiebstahls den Täter zu finden, relativ gering. Aber es zeige der Öffentlichkeit, dass man alles daran setze, um das Problem zu beheben. Ausserdem solle man eine schlechte Situation nicht noch schlimmer machen und daher im Zweifelsfall lieber eine Datenschutzverletzung zu viel melden als eine zu wenig. In dieselbe Ecke gehörte auch der Ratschlag, lieber zu viel zu dokumentieren als zu wenig. Falls es zu einer Untersuchung kommt, ist man froh, wenn man alles den Behörden aufzeigen kann.
Die Global Cyber Conference (Zurich Edition) läuft noch bis zum 15. September um 17:30 Uhr. In einem anschliessenden Networking-Apéro können die Teilnehmenden den Event noch ausklingen lassen und ihre Eindrücke mit den anderen Gästen teilen.