Aufrufe
vor 11 Monaten

Netzwoche 14/2019

34 Technology Event Was

34 Technology Event Was der Schweiz fehlt, um zum Cybersecurity-Mekka zu werden Warum denken viele beim Stichwort «Cybersecurity» zuerst an Israel? Und warum nicht an die Schweiz? Start-ups mit spannenden Ansätzen gibt es hierzulande mehr als genug. Aber werden die von den hiesigen Kunden auch genutzt? Um diese und weitere Fragen zu beantworten, luden Netzmedien und Datastore zum ersten «CISO-Roundtable». Autor: Coen Kaat Wer an Cybersecurity denkt, hat vermutlich sogleich Bilder von Israel im Kopf. Vielleicht auch von den USA, aber es ist vor allem das Land, wo Milch und Honig fliessen, das sich in der Branche einen Namen gemacht hat. An die Schweiz denken aber wohl nur die wenigsten, wenn ihnen Fragen rund um Malware und Co. durch den Kopf gehen. Aber warum eigentlich? An Start-ups, die sich mit der Materie auseinandersetzen, mangelt es hierzulande nicht. Dies zeigt etwa die «Swiss Cyber Security Technology Start-up Map» von Datastore. Die Karte listet 44 Schweizer Jungunternehmen aus der IT-Security- Industrie. Um diese Frage nach dem Warum zu beantworten, lud die Netzmedien-Redaktion Chief Information Security Officers (CISO) und Vertreter von Schweizer IT-Security- Start-ups zum ersten CISO-Roundtable ein. Mitorganisiert wurde die Paneldiskussion vom Distributor Datastore. Das ungenutzte Potenzial Dass die Ausgangslage für die Schweiz sehr gut ist, wurde im Gespräch sehr schnell klar. Die USA oder China profitieren zwar von einem immens grossen Heimmarkt. Aber eigentlich wäre Europa der grössere Markt. «China und die USA sind zwar homogener», sagte einer der Gesprächsteilnehmer. «Mit über 700 Millionen Einwohnern ist Europa aber ein echter Super-Markt.» Und wenn man die Karte von Europa ansieht, liegt die Schweiz mittendrin. Nicht nur geografisch. «Niemand findet uns super lässig, aber auch niemand super blöd», sagte ein weiterer Teilnehmer. So gesehen, sei die Schweiz noch ein unbeschriebenes Blatt. Darum stünden alle Möglichkeiten offen. Möglichkeiten, die von ausländischen Firmen durchaus wahrgenommen werden. «Unternehmen wie Google kommen nun in die Schweiz, weil sie wohl die Nähe zur ETH und zur EPFL suchen.» Ausser mit Spezialisten könne die Schweiz aber auch noch mit einem weiteren Vorteil punkten: Neutralität. «Die politischen Voraussetzungen hierzulande garantieren – zumindest in den nächsten Jahren – eine stabile Lage für Entwickler. Es wird niemand aus Bern kommen, um Sie zu zwingen, irgendwelche Backdoors einzubauen oder Datenströme unbemerkt umzuleiten. Was dies betrifft, ist « Die Neutralität der Schweiz kann und soll man auch als Verkaufsargument verwenden. » Roundtable-Teilnehmer Cameron McNiff (l.) von Datastore und Bertram Dunskus von Upgreat. die Schweiz neutral.» Einerseits könnten Soft- und Hardware hersteller hierzulande relativ offen entwickeln. Andererseits müsse auch kein Staat fürchten, IT-Produkte aus der Schweiz seien mit der Absicht zu spionieren entwickelt worden. Diese Neutralität könne und solle man auch als Verkaufsargument verwenden. Die grosse Hürde Wer Kunden hat, findet weitere. Wer keine Kunden hat, hat es schwer, welche zu finden. Ein Early Adopter ist bedeutend schwieriger zu finden als ein Investor. Darin waren sich die teilnehmenden Start-ups einig. «Schon als kleines Start-up sehe ich mich gezwungen, eine Sales-Organisation aufzubauen und quasi von Tür zu Tür zu gehen, um meine Lösungen zu verkaufen.» Diese ersten Kunden sind für Start-ups besonders wichtig, denn sie haben eine Signalwirkung für andere. Die meisten Firmen in Europa zögen es allerdings vor, abzuwarten und zu sehen, was die anderen machen. Daher wagten es nicht viele Firmen, sich auf ein Start-up einzulassen. «Es wäre sicher hilfreich, wenn Schweizer Firmen etwas mehr auf Start-ups zugehen würden», sagte einer der Start-up-Vertreter. Dahinter stecken zwei Probleme, wie die Diskussion zeigte. Erstens: Die Schweizer CISOs kennen die hiesigen Security-Start-ups nicht. «Wer kann sich in der Schweiz schon gut verkaufen?» Viel geschickter mache es die isra- 14 / 2019 www.netzwoche.ch © netzmedien ag

35 elische Cybersecurity-Branche. Sie schicke regelmässig Vertreter auch in die Schweiz und gehe gezielt potenzielle Kunden und Partner an. Für jedes Problem oder Bedürfnis hätten sie die perfekte Lösung: ein israelisches Startup oder auch mal ein Grossunternehmen. Um das Vertrauen zu gewinnen, würden sie gerne auch mal einen CTO oder einen CEO vorbeischicken. Bevor sie eine Lösung verkaufen, verkaufen sie sozusagen zunächst ihr Unternehmen. «In der Schweiz gibt es nur wenige Firmen, die eine vergleichbare Marketing-Tour durch Europa veranstalten könnten», sagte einer der Gesprächsteilnehmer. Aber genau das würde den Start-ups und dem Standort Schweiz enorm helfen, sichtbarer zu werden. Zweitens: «Der Druck ist enorm gross», sagte einer der CISOs. Belegschaften werden verkleinert, Standorte geschlossen. Und vor diesem Hintergrund müssten sich CISOs entscheiden, entweder eine bekannte Firma einzukaufen, die in Gartners Magic Quadrant vertreten ist, oder ein Schweizer Start-up, das erst noch beweisen muss, dass es in drei Jahren noch auf dem Markt sein wird. «Dann pushen natürlich auch die übrigen Kollegen vom Management, lieber die bekannte Firma zu wählen», ergänzte ein weiterer CISO. Gewisse Firmen haben auch Einkaufsrichtlinien, die es verunmöglichen, First Adopter zu werden. «Um Abhängigkeiten zu vermeiden, darf ich bei keiner Firma Geld ausgeben, wo wir als Kunde zu gross wären», sagte einer der CISOs. Wozu dies unweigerlich führt: «Für uns war es am Anfang einfacher, bei deutschen Firmen Termine zu erhalten als bei Schweizer Firmen», sagte einer der Start-up-Vertreter. Damit die Schweiz zur Security-Nation werden kann, muss sie zunächst ihre eigenen Security-Start-ups fördern – und dafür braucht es mehr als Awards, Inkubatoren und Business Angels. Dafür braucht es vor allem Kunden. Die gestärkte Kooperation Die Start-up-Vertreter gaben den CISOs Kontra. Zumindest die Jungunternehmen im Raum verfügten nach eigenen Angaben bereits über erste Referenzkunden. Ferner zeigten Studien, dass 90 Prozent der IT-Spin-offs der ETH nach fünf Jahren immer noch aktiv sind. Dies unterstreicht ein Problem: Anbieter und Anwender reden aneinander vorbei anstatt miteinander. «Viele CISOs haben keine Ahnung, was technisch bei ihnen läuft», sagte einer der CISOs. Die meisten seien rein administrativ tätig: Sie könnten zwar Geld ausgeben, aber da sie die Risiken im Unternehmen nicht kennen, wissen sie gar nicht, was dagegen zu tun ist. Schuld daran ist unter anderem eine Inflation von Aufgaben. «Früher waren CISOs für die interne Sicherheit verantwortlich», sagte einer der Gesprächsteilnehmer. Das war noch überschaubar. Nun müssen sich die CISOs aber auch um sämtliche externe Schnittstellen kümmern, und von denen gibt es immer mehr. Sogar wenn eine Person alle Skills vereint, die der Job heute erfordert, wäre es ein enormer Spagat. «Und dazu kommt auch noch, dass der Tag nur 24 Stunden hat», ergänzte ein weiterer Diskussionsteilnehmer. «Es gibt durchaus CISOs, die erkennen, dass wir über Know-how verfügen, das ihnen fehlt, und uns deshalb anheuern», sagte ein Vertreter aus der Start-up-Szene. «Aber wir haben alle auch schon andere Erfahrungen gemacht: CISOs, denen das Know-how fehlt und uns genau deshalb keine Plattform geben wollen. So wollen sie verhindern, dass ihre Kollegen erfahren, wie gefährdet ihr Unternehmen wirklich ist. «Wir sehen zum Teil wirklich fahrlässiges Verhalten.» Um möglichst erfolgreich zu sein, solle man darum eine zweigleisige Strategie fahren: Dem Business die Risiken aufzeigen und dem CISO die Lösungen. Auf diese Weise habe der CISO schon eine Antwort, wenn das Business besorgt auf ihn zukomme. So könnten Start-ups und CISOs gemeinsam aufzeigen, wie IT-Security die Geschäfte der Schweizer Unternehmen voranbringe, statt dem Business im Weg zu stehen. Und wenn CISOs dabei vermehrt ein Auge auf hiesige Security-Lösungen werfen, könne dies zugleich auch die Schweiz als Security-Nation beflügeln. Das erste CISO-Roundtable fand in den Räumlichkeiten der Netzmedien statt. i PODIUMSTEILNEHMER Die Teilnehmer des Podiums waren: ▪▪ Endre Bangerter, Threatray ▪▪ Bertram Dunskus, Upgreat ▪▪ Markus Happe, Exeon Analytics ▪▪ Rolf Hefti, Terreactive ▪▪ Marc Landis, Netzmedien ▪▪ Cameron McNiff, Datastore ▪▪ Andreas Schneider, Tamedia ▪▪ Sandra Tobler, Futurae ▪▪ Crispin Tschirky, e3 Den vollständigen Artikel finden Sie online www.netzwoche.ch www.netzwoche.ch © netzmedien ag 14 / 2019

Archiv