«In den Chefetagen muss dringend ein Umdenken stattfinden»

Interview von Stefan Lenherr, Lencom

Herr Porada, wie gut ist die Liechtensteiner Wirtschaft Ihrer Meinung nach aufgestellt, wenn es um das Thema Cyber Security geht?
Nach allem was ich bislang gesehen habe, ist Liechtenstein was die IT-Sicherheit angeht, keineswegs ein leuchtender Stern am Himmel. Vielmehr ist es so, dass alle Länder allgemein in Europa ziemlich weit hinterherhinken, so auch Liechtenstein, die Schweiz, Deutschland und so weiter. Alle haben die selben Probleme, dazu gehört auch, dass wir ausländischen Herstellern ausgeliefert sind. Das Windows-Betriebssystem ist extrem verwundbar, Mac und die Smartphones ebenso und fast alle Softwarelösungen. So ist auch in Liechtenstein fast alles für Hacker angreifbar und es kommt darauf an, wie mit den Technologien umgegangen wird. Die Entscheider haben aber selten ausreichend Know-How in dem Bereich und es kommt oft zu fatalen Fehlern.

Die Frage die sich viele Bürger und auch Unternehmer gleichzeitig stellen ist: Weshalb sollte man mich angreifen wollen?
Für mich ist diese Haltung äusserst problematisch. Die Antwort ist ganz einfach: Weil Hacker das können und weil es oft kinderleicht ist. Lassen Sie mich ein bisschen ausholen: Heute haben wir ein grosses Ungleichgewicht, was die Verteilung von Vermögen auf der Welt angeht. Künftig wird es eine Machtumschichtung geben, denn nicht mehr Geld regiert die Welt, sondern Nullen und Einsen. Es wird einige Leute geben, die das wesentlich besser verstehen als andere. Da wird sich eine neue Schere auftun. Ich möchte nur daran erinnern, dass Facebook-Chef Mark Zuckerberg seine Webcam am Laptop überklebt. Das illustriert doch deutlich wie es um die Spielregeln bestellt ist. Es gibt ein paar wenige Leute, die an den Hebeln sitzen und umfangreiche Daten über alle möglichen Leute haben und auf der anderen Seite solche, die ihre Daten einfach so hergeben, ohne über die Konsequenzen nachzudenken. Diese Daten sind nicht nur für Facebook und Co. äusserst wertvoll, sondern auch für Cyber-Kriminelle und fremde Regierungen.

Fehlt Ihrer Einschätzung nach in den Unternehmen noch das Bewusstsein für die Risiken, die von Hackerangriffen ausgehen?
Nein, das glaube ich nicht. Durch die vielen Cyberangriffe, die in den vergangenen Monaten und Jahren publik geworden sind, bekommen ja auch alle mit, was passieren kann und haben berechtigterweise Angst. Gleichzeitig wissen die meisten nicht, was sie machen sollen. Wie das Reh auf der Strasse schauen sie in den Scheinwerferkegel und warten auf den Aufprall. Mir ist aufgefallen, dass Unternehmenschefs meistens versuchen, den Aufgabenbereich Sicherheit weiter zu delegieren. Der Verwaltungsrat gibt es an die Vorstandsetage weiter, die beauftragt den IT-Leiter, der es seinem Fachpersonal weitergibt, welches dann dem Anbieter von Cloudservices oder dem Internetprovider den Auftrag gibt, sich um die Sicherheit zu kümmern. Alle im Betrieb sind froh, dass es jemand anderes macht. Nur hat das letzte Glied in der Kette niemals den Schaden wie das Unternehmen, wenn etwas schief läuft. Da hält sich dann die Motivation in Grenzen, wirklich etwas zu tun.

Dann muss das Thema IT-Sicherheit Ihrer Meinung nach zur Chefsache erklärt werden. 
Absolut. Man kann sogenannte Penetrationstests durchführen lassen, also eine Art Controlling machen. Das heisst, wir hacken in einem kontrollierten Rahmen Firmen, weisen dann auf Sicherheitslücken hin und helfen dabei, diese zu schliessen. Meiner Erfahrung nach wollen viele Unternehmen aber gar nicht, dass wir Schwachstellen finden. Vielmehr wollen sie hören, dass alles toll ist und sie zu ihren Vorgesetzten rennen können und sagen, dass sie alles richtig gemacht haben. Damit spielen sie den Angreifern in die Hände, die die Sicherheitslücken ausnutzen. Diese Haltung ist brandgefährlich, denn es knallt überall. Millionenbeträge werden abgegriffen, Know-how geht verloren: es findet ein Wirtschaftskrieg im Internet statt und über Kurz oder Lang kann das die komplette Wirtschaft eines Landes massiv beeinträchtigen. In den Chefetagen muss dringend ein Umdenken stattfinden. Auch sollte man den Mitarbeitern auch einmal einen Fehler verzeihen. Denn wenn die Angst davor haben müssen entlassen zu werden, wenn eine Lücke in der IT-Sicherheit bekannt wird, wird man einen Teufel tun, auf diese aufmerksam zu machen.

Was wollen Sie mit Ihrem Engagement an der Uni Liechtenstein bewirken?
Wir wollen keine Hacker ausbilden. Es geht vielmehr darum, den Managern von Morgen ein deutlich besseres Grundverständnis zu vermitteln, damit sie verstehen können, wenn Fachleute mit dem entsprechenden Know-how gewisse Dinge ansprechen und sie die richtigen Entscheidungen treffen können. Dieses Verständnis fehlt heute noch und ich denke, dass wir da einiges verbessern können.

Mit dem Kompetenzzentrum für Cyber Security will die Uni Liechtenstein dabei helfen, das Land zu einem der führenden Sicherheitsstandorte weiterzuentwickeln und auch Gründungen im Markt für Cyber Security anzuziehen. Wie realistisch ist Ihrer Meinung nach dieses Ziel? 
Für Liechtenstein spricht das Image, das es weltweit hat. Darüber hinaus sind die kurzen Wege und die – im positiven Sinne –Überschaubarkeit gute Voraussetzungen. Ich sehe durchaus Potenzial für den Cyber-Security-Standort Liechtenstein. Natürlich kann man das auch in einem anderen Land machen, aber gerade der Marketingaspekt hat bei diesem Thema einen enormen Mehrwert. Ausserdem ist mir in den verschiedenen persönlichen Gesprächen aufgefallen, dass Liechtenstein eine hohe Agilität hat und sehr schnell reagieren kann, wohingegen grosse Länder da eher träge sind. Das ist gerade bei der IT-Sicherheit ein ganz wichtiger Aspekt. Da Liechtenstein zudem eines der reichsten Länder der Welt ist und sich leisten kann, Experten in diesem Gebiet anzuheuern, sehe ich durchaus eine grosse Zukunftschance für Liechtenstein.