Am 1. September hat Isabel Wagner die Professur für Cybersecurity an der Universität Basel übernommen. Sie promovierte in Erlangen in Informatik, absolvierte einen Forschungsaufenthalt in Japan und unterrichtete an der University of Hull. Zuletzt war sie Professorin für Cybersecurity an der De Montfort University Leicester.

Aussagen zum Thema Cybersecurity bewegen sich oft irgendwo zwischen "ich habe sowieso nichts zu verbergen" und dem Katastrophenszenario eines weltweiten Blackouts mit zusammenbrechender Infrastruktur und Krieg. Welche Gefahren aus dem Cyberraum sehen Sie, mit welchen wir uns auseinandersetzen müssen?

Grundsätzlich gibt es sehr vielfältige Bedrohungen aus dem Cyberraum. Konkret hängen diese nicht nur davon ab, welche Hard- und Software von einer Organisation oder Einzelperson eingesetzt werden, sondern auch davon, über welche Kompetenzen und Ressourcen mögliche Angreifer verfügen und welche Ziele und Motivationen diese verfolgen. Deswegen fangen Überlegungen zur Cybersecurity oft mit einem sogenannten Threat Model an, das heisst, mit einer systematischen Auflistung welche Rechensysteme vorhanden sind und von welchen Angreifertypen diese wie angegriffen werden könnten. Auf dieser Grundlage können dann geeignete Schutzmechanismen identifiziert werden.


Besonders für kleine Unternehmen stellt Cybersecurity eine grosse Herausforderung dar: Fachkräfte sind schwierig zu finden, Sicherheitslösungen teuer und gerade für Laien kaum zu bewerten. Was raten Sie einem Schweizer KMU als ersten Schritt zu unternehmen?

Ein guter erster Schritt ist es, die Konfiguration der eingesetzten IT-Produkte zu überprüfen. Es ist durchaus sinnvoll, sich dabei von erfahrenen Sicherheitsexperten beraten zu lassen, die in relativ kurzer Zeit vorhandene Systeme deutlich sicherer konfigurieren können als dies oft werkseitig voreingestellt ist. 

Desweiteren ist es wichtig, angebotene Softwareupdates zeitnah einzuspielen. Dies verhindert, dass Sicherheitslücken, die neu bekannt werden, von Angreifern einfach ausgenutzt werden können. Die Ransomware WannaCry im Jahr 2017 zum Beispiel befiel nur Windows-Systeme, die die aktuellen Patches noch nicht eingespielt hatten.


Der Faktor Mensch wird oft als "schwächstes Glied der Kette" im Bereich Cybersecurity erwähnt. Wie schaffen wir es, die Nutzer:innen zu sensibilisieren, ohne Sie gleich zu IT-Fachkräften ausbilden zu müssen?

Wichtiger als die Schulung von Nutzern ist es, Sicherheitsmassnahme so zu gestalten, dass sie die Arbeitsabläufe der Nutzer nicht erschweren - dass Cybersecurity-Lösungen den Nutzern also möglichst wenig im Weg stehen. Nutzer haben primär ein Interesse daran, ihre Aufgaben effizient zu erledigen, und Security sollte Nutzer darin so wenig wie möglich beeinträchtigen. Das bedeutet zum Beispiel, dass die aus Security-Sicht gewünschte Art, Vorgänge zu erledigen, einfacher sein sollte als die ungewünschten Alternativen. Beispiel Austausch grosser Dateien: wenn Dateien zu gross für einen Email-Anhang sind und Nutzer möglichst keine privaten oder kostenfreien Dienste verwenden sollen, muss eine interne Lösung bereitstehen, die ähnlich nutzerfreundlich ist, wie Nutzer das z.B. von ihrem privaten Dropbox Account gewohnt sind. Oder Beispiel Ransomware-Vermeidung: wenn Nutzer nicht auf "verdächtige" Links in Emails klicken sollen, muss man eventuell darüber nachdenken, ob Links in Emails generell klickbar sein müssen.


Nutzer:innen sehen Sicherheitsmassnahmen oft als lästig. Kann man die verschlüsselte Mailbox am Smartphone nicht öffnen, benutzt man eben die private Emailadresse. Warnungen klickt man spätestens nach dem dritten Aufpoppen unbesehen weg. Wie schaffen wir es als Unternehmen, einen guten Kompromiss zwischen absoluter Sicherheit und Usability zu finden?

Ich denke hier gibt es noch einiges an Forschungs-, Design-, und Entwicklungsarbeit zu leisten. Das Ziel sollte es sein, dass Sicherheitsmassnahmen die Nutzer möglichst wenig behindern. Dann würden Ausweichverhalten wie das Verwenden unsicherer Alternativen ganz automatisch minimiert. Im Prinzip ist dies möglich, und in einigen Bereichen gibt es schon sichere Lösungen mit hervorragender Benutzbarkeit. Ein Beispiel hierfür ist der Messenger Signal, der herausragende Sicherheits- und Privatsphäre-Eigenschaften besitzt und gleichzeitig sehr einfach zu bedienen ist. In vielen Bereichen sind solche Lösungen aber noch nicht weit genug entwickelt.


Sie haben Ihre Stelle als Professorin in Basel am 1. September angetreten. Können Sie schon sagen, was Ihr Forschungsschwerpunkt für die nächste Zeit sein wird?

Meine Forschung wird sich hauptsächlich mit Privatsphäre und Datenschutz befassen. Zum Beispiel interessieren mich technische Lösungen, die die Privatsphäre von Nutzern schützen können, beispielsweise in Smart Homes und Smart Cities. Ausserdem beschäftige ich mich damit, wie man die Effektivität solcher Datenschutz-Technologien messen kann.


Nebst Datensicherheit beschäftigen Sie sich intensiv mit Datenschutz. Viele Unternehmen sehen Datenschutz hauptsächlich als Bremse, die Innovation verhindert und Bürokratie aufbaut. Ist Datenschutz auch aus Unternehmenssicht sinnvoll und wichtig?

Da ich mich in meiner Forschung mit Datenschutz beschäftige, sage ich zu dieser Frage natürlich ja! Konkret sehe ich mindestens drei Gründe, warum Datenschutz für Unternehmen wichtig ist.

Erstens können Unternehmen mit wohldurchdachtem Datenschutz signalisieren, dass ihre Nutzer respektiert und nicht ausgebeutet werden. Dies stärkt das Vertrauen der Nutzer in das Unternehmen und kann langfristig die Kundenbindung stärken.

Zweitens kann Datenschutz auch zu Innovationen führen, zum Beispiel wenn neue Lösungen gefunden werden, so dass Daten schon auf dem Endgerät des Nutzers verarbeitet werden und somit den Einflussbereich des Nutzers gar nicht erst verlassen müssen. Ausserdem kann das Nachdenken über Datenschutz-freundliche Lösungen dazu führen, dass bessere Lösungen gefunden werden, als wenn einfach die "erstbeste" Lösung implementiert wird.

Zu guter Letzt ist Datenschutz natürlich auch wichtig, um sich bei der Datenverarbeitung an geltende Gesetze wie die EU Datenschutz-Grundverordung zu halten und Bussgelder sowie Imageschäden zu vermeiden.

 
Modernes Ticketing läuft in der Schweiz heute mit "EasyRide": Checkin in der SBB-App beim Einsteigen ins Verkehrsmittel, Checkout beim Verlassen - der günstigste Preis wird automatisch berechnet. Das ist für die Reisenden sehr komfortabel, hat allerdings seinen Preis: Der Aufenthaltsort und weitere Daten werden an die SBB und verschiedene Firmen wie Google gesendet. Wie können wir als Industrie beim Entwickeln von innovativen Lösungen mit dem Spannungsfeld zwischen Komfort/Innovation und Datenschutz umgehen?

Wenn Datenschutz schon früh in der Produktentwicklung berücksichtigt und als wichtiges Feature betrachtet wird, muss es zwischen Komfort und Datenschutz nicht unbedingt zu Spannungen kommen. Ein guter Ansatz ist es, den Prinzipien des "Privacy by Design" zu folgen, wie es zum Beispiel die EU Datenschutz-Grundverordnung empfiehlt. Konkret könnte das dann bedeuten, dass nur so wenig Daten wie nötig erhoben werden, dass Daten nur so kurz wie möglich gespeichert werden, oder dass die Einbindung von Drittanbietern reduziert wird, insbesondere wenn bekannt ist, dass das Datenschutz-Niveau des Drittanbieters niedrig ist.