Michael Schlüter, CISO bei SWICA, im Interview «Cyberattacken erfolgen ständig – die Frage ist, wie wir reagieren»
In der IT-Branche herrscht ein permanenter Wettlauf zwischen Schutzmassnahmen und Hackerattacken. Daten zu schützen und die Systeme aufrecht zu erhalten, zählt daher auch bei einer Krankenversicherung zu den wichtigsten Aufgaben. Michael Schlüter ist Chief Information Security Officer bei SWICA und erklärt, was dabei die grössten Herausforderungen sind.
Von Gioia Wetter
Michael Schlüter, was macht ein Chief Information Security Officer (CISO) genau?
Die Aufgaben und Verantwortlichkeiten eines CISO werden unterschiedlich festgelegt und gelebt. Allgemein geht es darum, den Sicherheitsapparat zum Schutz der Informationen sicherzustellen. Für SWICA bedeutet dies vor allem, dass wir die Daten unserer Versicherten schützen. Wir verwalten sensible Informationen und verfügen über eine gewisse Grösse am Markt. Dabei nehme ich auch eine beratende Funktion ein, der die möglichen Risiken und entsprechenden Schutzmassnahmen aufzeigt.
Von was für Informationen sprechen wir?
Wir verfügen über besonders schützenswerte Daten wie medizinische Angaben und Informationen zum persönlichen Lebensbereich unserer Versicherten.
Daneben gilt es aber auch Zugangsdaten wie Passwörter und weitere Geschäftsgeheimnisse vor unbefugten Zugriffen zu schützen. Wichtig ist zu verstehen, dass relativ unbedeutende Informationen in grosser Menge auch immer einen höheren Wert haben, weshalb generell alle Geschäftsdaten verhältnismässig geschützt werden müssen.
Wie gross ist das Risiko, dass SWICA von einem Cyberangriff betroffen sein könnte?
Wir werden – wie jede grössere oder bekanntere Firma – ständig angegriffen. Deshalb ist es wichtig, dass wir diese bösartigen Aktivitäten erkennen und adäquat – also schnell und konsequent – reagieren.
Irgendwann werden auch die besten Schutzschilde geknackt.
Michael Schlüter, CISO bei SWICA
Welche Konsequenzen drohen denn bei einem Sicherheits-Leck?
Die Reputation und das Vertrauen gegenüber SWICA könnten als Folge eines Sicherheits-Lecks empfindlich leiden. Zudem können künftig auch Bussen und Verwaltungsmassnahmen ausgesprochen werden, was SWICA zusätzlich belasten würde. Auch wenn die Daten «nur» beschädigt würden, wären wir als Gesundheitsorganisation unter Umständen nicht mehr produktiv. Das hätte neben den Reputationsschäden potentiell auch direkte monetäre Konsequenzen.
Der Faktor Mensch, also die Mitarbeitenden, bieten nachweislich die grösste Angriffsfläche, wenn es um Cybersicherheit geht. Wie geht SWICA damit um?
Das ist richtig. Es ist schnell passiert, dass man im privaten Umfeld – teilweise unabsichtlich – sensitive Daten preisgibt oder ein Phishing-E-Mail nicht als solches erkennt und mit einem Klick darauf mit Malware in Kontakt kommt.
Aus Sicherheitsperspektive wäre es am einfachsten, wir könnten den Zugang zu jeglichen Daten einschränken. Logischerweise geht das nicht, weil dann niemand mehr arbeiten könnte. Die Abwägung zwischen Sicherheit und Benutzerfreundlichkeit ist daher eine tägliche Gratwanderung. Daher ist es sehr wichtig, die Mitarbeitenden zum Thema Informationssicherheit und Datenschutz zu sensibilisieren. Dazu läuft bei SWICA eine Initiative, bei der wir verschiedene und regelmässige Schulungsmassnahmen umsetzen. Gleichzeitig betreiben wir auf technischer Seite ein breit ausgebautes, aktuelles Abwehrdispositiv.
Wo sehen Sie für SWICA die grössten Herausforderungen in der Zukunft der IT-Sicherheit?
Aus heutiger Sicht ist die Reaktionsfähigkeit besonders wichtig: Früher herrschte die Meinung, dass man sicher ist, wenn man besonders starke «Mauern» baut. Ein Trugschluss, wie sich in fast allen Fällen herausgestellt hat – irgendwann werden auch die besten Schutzschilde geknackt. Darum ist man von dieser Idee weggekommen und akzeptiert, dass Angriffe stattfinden. Das ist auch bei SWICA der Fall. Wichtig ist, diese zu erkennen und richtig zu reagieren. Schnell und flexibel zu bleiben, diese Herausforderung begleitet uns stetig.
Die gesamte Branche steht vor der Aufgabe, die Vor- und Nachteile der Cloud-Anwendungen zu navigieren. Was bedeutet das für SWICA?
Dank der Cloud-Möglichkeiten werden grosse Mengen an Daten gespeichert und können einfach geteilt werden. Aber das muss auf eine sichere Art und Weise erfolgen. Zum einen müssen datenschutzrechtliche Bedingungen eingehalten werden. Das ist nicht einfach, da die gängigen grossen Cloud-Server fast alle im Ausland betrieben werden. Hier betreten wir, wie alle Anwender, Neuland. Zum anderen besteht die Gefahr, dass die Daten durch eine bösartige Attacke abfliessen. In diesem Sinne befassen wir uns auch mit dem Thema Datensparsamkeit zur Stärkung der Sicherheit und auch zur Schonung der Finanzen – denn das Speichern von vielen Daten ist nicht kostenlos.
Am 14. September 2023 wurden erstmals die Swiss CISO Awards verliehen. Den Award in der Kategorie «Future Leaders» für junge, innovative Talente gewann Michael Schlüter, CISO bei SWICA.
