Aufrufe
vor 6 Monaten

Cybersecurity 2020

  • Text
  • Cybersecurity
  • Februar
  • Malware
  • Mitarbeiter
  • Angriffe
  • Sicherheit
  • Schweizer
  • Cyber
  • Schweiz
  • Unternehmen

Die ferne Feuerwehr Ein

Die ferne Feuerwehr Ein gewisser Pessimismus machte sich auch in der Security- Start-up-Szene breit. «Schweizer Jungunternehmen fehlt es an Perspektiven», sagte einer der Gesprächsteilnehmer – selbst Start-up-Gründer. «Weil wir noch keine etablierte IT-Security- Industrie haben, fehlen die grossen Namen in der Schweiz.» Wenn also Start-ups aufgekauft werden, sind die Käufer in der Regel US-amerikanische Firmen. «So wird die lokale Industrie von den USA absorbiert», ergänzte er. Dabei spricht, gerade wenn es um Cybersecurity geht, viel für einen lokalen Anbieter. Für einen US-Anbieter seien sogar die grösseren Schweizer Firmen nur kleine Fische in einem sehr grossen Teich. «Sweden? Switzerland? US-Firmen wissen nicht mal, wo Europa ist!», sagte ein Teilnehmer – nur teilweise zum Scherz. Ein weiterer Diskussionsteilnehmer verglich die Branche mit der Feuerwehr. «Wenn es brennt, ist sie da. Zu diesem Zweck muss sie ein Feuer frühzeitig erkennen und rechtzeitig eingreifen können. Wenn aber die Feuerwehr erst noch aus Deutschland anreisen muss, ist das Haus abgebrannt, ehe sie vor Ort ist.» Die Nähe sei darum sehr relevant – allerdings nicht nur die Nähe zum Kunden, sondern auch zum ganzen Ökosystem des Kunden. Einer der teilnehmenden CISO pflichtete ihm bei. «Ich will, dass mein Security-Anbieter möglichst schnell reagiert, wenn ich einen Vorfall habe. Und ich will auch die Möglichkeit haben, mit ihm persönlich zu sprechen.» Der CISO relativierte aber auch: «Ich mache da jedoch keinen Unterschied zwischen der Schweiz, Deutschland oder Frankreich. Es geht mir mehr um Regionalität als Nationalität.» Der Meinung war auch einer der Anbieter: «Swissness ist toll, aber damit alleine ist es noch nicht getan», sagte er. Schweizer Anbieter müssten sich etwa durch ihre Agilität und ihre Spezialisten auszeichnen. Wer seine Kunden finden und binden will, muss zeigen, dass er die Extrameile gehen kann und will. Die grosse Hürde CISO-ROUNDTABLE Das waren die Teilnehmer des Roundtables: • Endre Bangerter, Threatray • Bertram Dunskus, Upgreat • Markus Happe, Exeon Analytics • Rolf Hefti, Terreactive • Marc Landis, Netzmedien • Cameron McNiff, Datastore • Andreas Schneider, Tamedia • Sandra Tobler, Futurae • Crispin Tschirky, e3 Wer Kunden hat, findet weitere. Wer keine Kunden hat, hat es schwer, welche zu finden. Ein Early Adopter ist bedeutend schwieriger zu finden als ein Investor. Darin waren sich die TECHNOLOGY Das erste CISO-Roundtable fand in den Räumlichkeiten der Netzmedien statt. 71

TECHNOLOGY teilnehmenden Start-ups einig. «Schon als kleines Start-up sehe ich mich gezwungen, eine Sales-Organisation aufzubauen und quasi von Tür zu Tür zu gehen, um meine Lösungen zu verkaufen.» Diese ersten Kunden sind für Start-ups besonders wichtig, denn sie haben eine Signalwirkung für andere. Die meisten Firmen in Europa zögen es allerdings vor, abzuwarten und zu sehen, was die anderen machen. Daher wagten es nicht viele Firmen, sich auf ein Start-up einzulassen. «Es wäre sicher hilfreich, wenn Schweizer Firmen etwas mehr auf Start-ups zugehen würden», sagte einer der Start-up-Vertreter. Dahinter stecken zwei Probleme, wie die Diskussion zeigte. Erstens: Die Schweizer CISOs kennen die hiesigen Security- Start-ups nicht. «Wer kann sich in der Schweiz schon gut verkaufen?« Viel geschickter mache es die israelische Cybersecurity-Branche. Sie schicke regelmässig Vertreter auch in die Schweiz und gehe gezielt potenzielle Kunden und Partner an. Für jedes Problem oder Bedürfnis hätten sie die perfekte Lösung: ein israelisches Start-up oder auch mal ein Grossunternehmen. Um das Vertrauen zu gewinnen, würden sie gerne auch mal einen CTO oder einen CEO vorbeischicken. Bevor sie eine Lösung verkaufen, verkaufen sie sozusagen zunächst ihr Unternehmen. «In der Schweiz gibt es nur wenige Firmen, die eine vergleichbare Marketing-Tour durch Europa veranstalten könnten», sagte einer der Gesprächsteilnehmer. Aber genau das würde den Start-ups und dem Standort Schweiz enorm helfen, sichtbarer zu werden. Zweitens: «Der Druck ist enorm gross», sagte einer der CISOs. Belegschaften werden verkleinert, Standorte geschlossen. Und vor diesem Hintergrund müssten sich CISOs entscheiden, entweder eine bekannte Firma einzukaufen, die in Gartners Magic Quadrant vertreten ist, oder ein Schweizer Start-up, das erst noch beweisen muss, dass es in drei Jahren noch auf dem Markt sein wird. «Dann pushen natürlich auch die übrigen Kollegen vom Management, lieber die bekannte Firma zu wählen», ergänzte ein weiterer CISO. Gewisse Firmen haben auch Einkaufsrichtlinien, die es verunmöglichen, First Adopter zu werden. «Um Abhängigkeiten zu vermeiden, darf ich bei keiner Firma Geld ausgeben, wo wir als Kunde zu gross wären», sagte einer der CISOs. Wozu dies unweigerlich führt: «Für uns war es am Anfang einfacher, bei deutschen Firmen Termine zu erhalten als bei Schweizer Firmen», sagte einer der Start-up-Vertreter. Damit die Schweiz zur Security-Nation werden kann, muss sie zunächst ihre eigenen Security-Start-ups fördern – und dafür braucht es mehr als Awards, Inkubatoren und Business Angels. Dafür braucht es vor allem Kunden. Die gestärkte Kooperation Die Start-up-Vertreter gaben den CISOs Kontra. Zumindest die Jungunternehmen im Raum verfügten nach eigenen Angaben bereits über erste Referenzkunden. Ferner zeigten Studien, dass 90 Prozent der IT-Spin-offs der ETH nach fünf Jahren immer noch aktiv sind. Dies unterstreicht ein Problem: Anbieter und Anwender reden aneinander vorbei anstatt miteinander. «Viele CISOs haben keine Ahnung, was technisch bei ihnen läuft», sagte einer der CISOs. Die meisten seien rein administrativ tätig: Sie könnten zwar Geld ausgeben, aber da sie die Risiken im Unternehmen nicht kennen, wissen sie gar nicht, was dagegen zu tun ist. Schuld daran ist unter anderem eine Inflation von Aufgaben. «Früher waren CISOs für die interne Sicherheit verantwortlich», sagte einer der Gesprächsteilnehmer. Das war noch überschaubar. Nun müssen sich die CISOs aber auch um sämtliche externe Schnittstellen kümmern, und von denen gibt es immer mehr. Sogar wenn eine Person alle Skills vereint, die der Job heute erfordert, wäre es ein enormer Spagat. «Und dazu kommt auch noch, dass der Tag nur 24 Stunden hat», ergänzte ein weiterer Diskussionsteilnehmer. «Es gibt durchaus CISOs, die erkennen, dass wir über Know-how verfügen, das ihnen fehlt, und uns deshalb anheuern», sagte ein Vertreter aus der Start-up-Szene. «Aber wir haben alle auch schon andere Erfahrungen gemacht: CISOs, denen das Know-how fehlt und uns genau deshalb keine Plattform geben wollen. So wollen sie verhindern, dass ihre Kollegen erfahren, wie gefährdet ihr Unternehmen wirklich ist. «Wir sehen zum Teil wirklich fahrlässiges Verhalten.» Um möglichst erfolgreich zu sein, solle man darum eine zweigleisige Strategie fahren: Dem Business die Risiken aufzeigen und dem CISO die Lösungen. Auf diese Weise habe der CISO schon eine Antwort, wenn das Business besorgt auf ihn zukomme. So könnten Start-ups und CISOs gemeinsam aufzeigen, wie IT-Security die Geschäfte der Schweizer Unternehmen voranbringe, statt dem Business im Weg zu stehen. Und wenn CISOs dabei vermehrt ein Auge auf hiesige Security- Lösungen werfen, könne dies zugleich auch die Schweiz als Security-Nation beflügeln. Cameron McNiff (l.) von Datastore und Bertram Dunskus von Upgreat. Den vollständigen Artikel finden Sie online. www.it-markt.ch 72

Archiv