Marcel Zumbühl, Chief Information Security Officer der Schweizerischen Post
1. Die Post ist ein Logistikunternehmen. Wofür braucht es da einen Chief Information Security Officer?
Informationssicherheit hat in unserem Konzern grosse Bedeutung. Was wohl wenige wissen: Die Post ist die drittgrösste IT-Arbeitgeberin der Schweiz. Denn moderne Logistik funktioniert nicht ohne eine starke IT. Die heutigen Paketmengen können nur dank robuster Infrastruktur und technologischen Hilfsmitteln innert den geforderten Fristen sortiert und zugestellt werden. Auch Postautos sind kleine fahrende Rechenzentren. Überall wo Technologie im Einsatz ist, besteht die Gefahr von Cyberangriffen. Im Übrigen bietet die Post Privat- und Geschäftskunden neben der Paket- und Briefzustellung viele digitale Services von «meine Sendungen» über den digitalen Briefkasten bis E-Voting und Digital Health.
Unsere Kundinnen und Kunden vertrauen uns. Dieses Vertrauen bedeutet Verantwortung. Daher investiert die Post kontinuierlich in eine starke Informationssicherheit. So wehrt sich die Post monatlich erfolgreich gegen rund 100 gezielte Angriffe und über 10 Millionen Phishing-Versuche. Sie investiert aber nicht nur in die Robustheit des Unternehmens sondern auch in die Sicherheit der Dienstleistungen und Produkte.
2. Die Post unterstützt neu das Cybersecurity-Framework OWASP Core Rule Set. Worum geht es dabei?
OWASP Core Rule Set (kurz: OWASP CRS) in Verbindung mit Apache ModSecurity, ist eine der wirksamsten IT- Abwehrlösungen, die heute verfügbar ist. Mit der Lösung können wir dank gut definierten Regeln typische Angriffsmuster rasch erkennen und damit Bedrohungen melden und blockieren. Bei der Post hat sich die Lösung zuletzt im Rahmen der öffentlichen Intrusionstests des E-Voting-Systems bewährt. 2023 hat die Post im Rahmen des Tests über 50'000 Angriffe erfolgreich abgewehrt.
OWASP CRS ist eine Open-Source-Lösung. Sie wird lizenzfrei und damit kostenlos vertrieben. Eine aktive Fachcommunity prüft und entwickelt die Lösung weiter – wirkungsvoll, aber ohne Einnahmen. Mit dem Sponsoring unterstützt die Post die Stiftung und damit ein starkes Abwehrsystem, das hilft, Cybersecurity weltweit zu stärken.
3. Welchen Stellenwert hat Open Source in der Cybersecurity?
Open Source wird oft nur mit der lizenzfreien Bereitstellung von Software in Verbindung gebracht. Der Gedanke geht aber über den kommerziellen Aspekt hinaus: Es geht auch um «Open Knowledge», damit meine ich Transparenz, partizipative Sicherheit und kollektive Intelligenz. Diese setzen Unternehmen heute gezielt für eine möglichst wirksame Cybersecurity ein. Wenn wir den Programmcode einer Applikation offenlegen, können Fachleute diesen eingehend prüfen und Schwachstellen melden. Diesen Ansatz verfolgen wir u.a. bei E-Voting: Alle wesentlichen Komponenten und Dokumentationen des Systems sind seit 2021 öffentlich einsehbar.
Die Post fördert aktiv, dass ethische Hackerinnen und Hacker ihre Anwendungen angreifen. Unser Bug-Bounty-Programm gehört zu den grössten europaweit. Seit über vier Jahren setzen wir gezielt auf die Schwarmintelligenz einer grossen Community von ethischen Hackerinnen und Hackern, mit denen wir zusammen unsere Systeme kontinuierlich prüfen und verbessern. Dafür erhalten sie je nach Schweregrad der gefundenen und bestätigten Lücken Prämien. Beim E-Voting-System beträgt die maximale Belohnung für eine kritische Lücke 250’000 Franken. Bisher haben wir für Verbesserungsvorschläge zum E-Voting-System insgesamt rund 200’000 Franken ausbezahlt. Im übergreifenden Bug-Bounty-Programm aller Post-Services sind es 600’000 Franken.
4. Seit 2022 sichert die Post nicht nur ihre eigenen Systeme gegen Cyberangriffe, sondern bietet Cybersecurity-Monitoring und -Abwehr auch Unternehmen und Behörden an. Wie kam es dazu?
Wir alle erledigen tagtäglich Vieles im Internet. Bestellen wir online, buchen wir einen Arzttermin oder füllen wir unsere Steuererklärung im Internet aus, geben wir Daten von uns Preis. Diese gilt es vor Angriffen zu schützen. Die Post selbst verarbeitet sensible Daten. Seien es die offiziellen Postanschriften der Schweizerinnen und Schweizer oder Bankdaten von PostFinance-Kunden. Für den Schutz dieser Daten hat die Post eine hohe Cybersecurity-Kompetenz aufgebaut. Mit der Übernahme der Firma Hacknowledege SA aus Morges und der terreactive AG aus Aarau bieten wir nun auch unseren Geschäftskunden wirksame Instrumente zum Schutz ihrer Systeme und Daten.
Die Post als Unternehmen im Besitz des Bundes steht für eine verantwortungsvolle Digitalisierung. Dafür sind Cybersecurity und der sorgsame Umgang mit Daten wichtige Grundpfeiler.
5. Wie arbeitet die Informationssicherheit der Post mit ihren Cybersecurity-Konzerngesellschaften zusammen?
Als CISO der Post bin ich in beiden Firmen Mitglied im Verwaltungsrat. So bin ich direkt in die strategische Steuerung eingebunden. Auch umgekehrt gibt es einen Wissenstransfer: Die Lösungen der beiden Cybersecurity-Konzerngesellschaften kommen insbesondere beim Schutz unserer Konzerngesellschaften zum Einsatz. Neben gezielten Penetrationstests helfen sie uns, den Cybersecurity-Schutz der Post auf diese Gesellschaften auszudehnen. Auch operativ findet ein regelmässiger Austausch zwischen den Teams der Post und den beiden Konzerngesellschaften statt. Beide Gesellschaften sind so Teil unseres Cybersecurity Expertenteams.
6. Welche Entwicklungen werden die Cybersecurity 2024 aus Ihrer Sicht prägen?
Spätestens seit ChatGPT ist künstliche Intelligenz in aller Munde. Diese Lösungen sind im Alltag praktisch. Sie bieten jedoch neue Herausforderungen für die Cybersecurity. Zum Beispiel sind sie manipulierbar. Wenn sie mit Falschinformationen gefüttert werden, kommen sie von ihrer ursprünglichen Aufgabe ab. Die Post arbeitet zusammen mit dem Institut Dalle Molle für künstliche Intelligenz der Universität der italienischen Schweiz an der Robustheit Systemen der Künstlichen Intelligenz. Wir wollen verstehen, wie wir den Schutz verbessern können, wie wir Angriffe erkennen, abwehren und für Betriebskontinuität sorgen können. So wollen wir den Schutz der KI-Lösungen verbessern, die wir in der Logistik einsetzen und auch grundsätzlich einen Beitrag für den sicheren Einsatz künstlicher Intelligenz in der Schweiz leisten.
Im Bereich der Kryptografie wird 2024 ein spannendes Jahr. Wir erwarten die ersten Verschlüsselungsalgorithmen, die sich auch mit sogenannten Quantencomputern nicht knacken lassen. Zwar sind solche Quantenrechner erst in einem Laborzustand. Aber die Entwicklung geht rasch voran und wir erkennen schon jetzt, dass die heute gängigen Verschlüsselungen dieser Rechenkraft nicht gewachsen sein wird. Die neuen Algorithmen zu testen und ihre Einführung zu beschleunigen wird für unsere Spezialistinnen und Spezialisten im Kryptografiezentrum in Neuenburg eine wichtige Aufgabe werden.
Und zum Thema partizipative Sicherheit: 2024 wird unser grosses Bug-Bounty-Programm fünfjährig und wir wollen im Laufe des Jahres alle Online-Anwendungen, die unter *.post.ch laufen, in ein öffentliches Programm überführen. Wir möchten so anderen Unternehmen Mut machen, Cybersecurity als Chance zu sehen. Denn erfolgreiche Cybersecurity ist, wenn die Kundinnen und Kunden Systemen vertrauen.
