Es ist interessanter geworden für die Hacker

Andreas Achterholt (links im Bild) ist Lead Managed Cybersecurity Services, Thomas Brüsehaber Senior Business Development Manager im Public Sector.

Andreas, du arbeitest seit 2.5 Jahren bei Adnovum. Was hat sich in dieser Zeit verändert?

Andreas: Aus meiner Sicht ist die grösste Veränderung, dass wir bei Adnovum unseren Kunden nicht mehr nur mit Rat und Tat zur Seite stehen, sondern auch konkrete Services anbieten können. Vom früheren Projektansatz haben wir aufgebaut zu einem Service-Ansatz. Das Thema Cybersecurity ist für uns intern relevant und auch bei den Verwaltungen momentan sehr aktuell. Cybersecurity ist beispielsweise auch beim Verein «Myni Gmeind» dieses Jahr ein Schwerpunktthema. Wir arbeiten auf Kommunikationsebene zusammen und stehen als Partner von «Myni Gmeind» im Hintergrund.

Wie beeinflusst das Thema Cybersecurity eure tägliche Arbeit bei Adnovum?

Thomas: Ich erlebe, dass das Thema Cybersecurity nicht nur in der Privatwirtschaft, sondern auch bei den kantonalen und kommunalen Verwaltungen an Relevanz gewonnen hat. Man sieht es unter anderem an den vielen öffentlichen Ausschreibungen. Auf Ebene der Gemeinden finden deutlich mehr Angriffe statt als noch vor ein paar Jahren.

Andreas: Ja, das kann man klar sagen. Es ist interessanter geworden für die Hacker. Seit die Digitalisierung im öffentlichen Bereich stattfindet und sich die Kommunikationsweise verändert, wird jegliche Kommunikation zwischen Kunden und Firmen oder Institutionen zum Angriffsziel. Sei es eine Mail, sei es ein Telefonat.

Thomas: Die Angriffe kommen heute auch auf Basis von KI in einer so hohen Taktfrequenz, dass der traditionelle Ansatz nicht mehr ausreicht. Wir sehen das auch in der Zusammenarbeit mit grossen Partnern wie zum Beispiel Swisscom. Für alle ist es zurzeit ein sehr wichtiges Thema und wir bekommen häufiger Anfragen von verschiedenen Teilnehmern des öffentlichen Sektors dazu.

Was meint ihr mit «traditionellem Ansatz»? Und welches wäre denn die Alternative?

Thomas: Beim traditionellen Ansatz sitzen 24 Stunden täglich Menschen hinter der Abwehr von Cyberattacken. Aber das ist eigentlich nicht mehr der einzige Weg. Da gibt es heute effizientere Möglichkeiten.

Andreas: Heute haben sich auf Basis von KI die Angriffe vervielfacht - und sie finden in einer hohen Frequenz rund um die Uhr statt. Dadurch hat sich die Angriffsfläche vergrössert. Hier bieten wir Lösungsansätze und Services an, welche einen modernen Ansatz verfolgen. Wir nennen es «Managed Cybersecurity Services». Zudem bieten wir unseren Kunden die Möglichkeit, den Reifegrad ihrer eigenen Cybersecurity zu checken. Aufgrund des Checks sehen sie dann, ob die traditionellen Sicherheitskonzepte und -mittel noch ausreichen oder nicht.

Kannst du uns den moderneren Ansatz genauer erklären?

Andreas: Durch proaktive Präventionsmassnahmen wie kontinuierliche Überwachung, Zero-Trust-Ansätze und automatisierte Bedrohungserkennung lassen sich Cyberangriffe frühzeitig erkennen und abwehren bevor sie Schaden anrichten können. Das Thema ist aber umfangreich und würde hier wohl den Rahmen sprengen. Am 2. April 2025 halte ich an der Hochschule Luzern darüber einen Vortrag mit dem Titel «Das Cyber Defense Center und seine Rolle für die Schweizer Wirtschaft – Warum traditionelle Sicherheitskonzepte nicht mehr ausreichen, um moderne Angriffe abzuwehren.» Dieses Thema wird neu in den Studiengang «Bachelor in Information & Cyber Security» an der Hochschule Luzern aufgenommen.

Kommen wir noch einmal zu eurer täglichen Arbeit: Was beschäftigt eure Kundschaft aktuell?

Andreas: Es ist die Komplexität sowohl bei der Abwehr als auch bei den Einstellungen. Man braucht Spezialfähigkeiten, die man in der Organisation nicht unbedingt hat. Die Mitarbeitenden stehen durch die tägliche Arbeit bereits stark unter Druck. Hier bieten wir diese Services als externe Partner an.

Thomas: Sorgen bereitet auch die Frage: Was passiert mit den Daten? Die Verwaltung muss sich jetzt mit der neuen Gesetzgebung auseinandersetzen und die Prozesse daran anpassen. Das ist nicht immer einfach umzusetzen. Und es wirft viele Fragen auf: Was bedeutet es für uns, was müssen wir verändern, anpassen? Was benötigen wir dazu? Können wir das selbst?

Andreas: Diese Unsicherheiten werden oft noch weiter geschürt, indem die Datenschutzbeauftragten eines Kantons unklare Instruktionen geben. Wie beispielsweise neulich in einer grösseren Deutschschweizer Stadt. Die Vorgaben waren so nicht einzuhalten, man hätte den ganzen Mailverkehr abstellen müssen. Darauf wurden die Vorgaben abgeschwächt. Solche Erfahrungen verstärken die Unsicherheit in der Verwaltung.

Du sprichst das neue Datenschutzgesetz an. Wie steht ihr persönlich dazu?

Andreas: Das neue Datenschutzgesetz ist der Haupttreiber dieser Herausforderungen.

Thomas: Da stimme ich zu, denn man muss sich dadurch noch intensiver mit dem Datenschutz auseinandersetzen. «Jetzt müssen wir wirklich etwas machen», hören wir oft.

Andreas: Die Einführung des neuen Datenschutzgesetzes ist ein notwendiger und sinnvoller Schritt vorwärts. Es berücksichtigt alle im europäischen Kontext relevanten Themen und schafft damit mehr Klarheit, auch für Lieferanten. Obwohl im ersten Moment eine grosse Unsicherheit entstanden ist. Wenn man sich jedoch damit auseinandersetzt, wird es zu einer Verbesserung führen. Es dürfte allerdings in gewissen Bereichen ein wenig detaillierter und spezifischer sein.

Kannst du dazu ein Beispiel geben?

Andreas: Vage Vorgaben im Stil von: «Man darf keine Daten unverschlüsselt auf Cloud Services ablegen», führen zwangsläufig zu Unsicherheiten. In dieser Formulierung gibt es keine Hinweise darauf, welche Daten damit gemeint sind. Es wird auch nicht deutlich vorgegeben, welche Verschlüsselungsmethoden man anwenden soll. Diese Daten sind ja heute schon verschlüsselt. Die Kunden fragen sich: Müssen wir nun die 100%-Lösung anstreben oder reicht die aktuelle 25%-Lösung, die wir bereits haben? Es gibt hier zu viel Spielraum vom Gesetz her.

Thomas: Ich hätte mir gewünscht, dass die Kantone und Gemeinden im Prozess enger begleitet worden wären. Durch bessere Rahmenbedingungen und detailliertere Vorgaben wäre es einfacher, die kantonale Gesetzgebung an das neue Datenschutzgesetz anzupassen und zu verankern. Das wäre für alle Beteiligten womöglich effizienter gewesen. Wichtig ist nun, dass Kantone und Gemeinden bei der Anpassung ihrer Datenschutzvorgaben gut unterstützt werden. Ein regelmässiger Austausch über die Erfahrungen bei der Umsetzung auf kantonaler und kommunaler Ebene ist dabei die Basis. Die gewonnenen Erkenntnisse sollten zudem in die nächste Revision des Datenschutzgesetzes einfliessen.

Vielen Dank für das spannende Gespräch!