Wie sich die Post gegen digitale Angriffe rüstet

Denise Birchler

3. September 2019 10:00 Zuletzt geändert: 13. September 2019 8:01

Online-Shopping, E-Banking, SMS… Digitale Dienstleistungen erleichtern unseren Alltag. Doch sie machen uns auch verletzlich – Cyberkriminalität ist überall. Auch beim riesigen Informatiknetz der Post, auf das jeden Tag rund 350 Angriffe erfolgen. Wolfgang Eger, CIO der Post, über das IT-Netz der Post, warum es für Hacker so attraktiv ist und ob es überhaupt ausreichend geschützt werden kann.

 

Täglich 350 Hackerangriffe. Monatlich zehn Millionen Spam-Mails. Wolfgang Eger, können Sie als IT-Chef der Post überhaupt noch ruhig schlafen?

Wolfgang Eger: Klar. Meine Leute sind Profis.

Die Post betreibt eines der grössten Informatik-Netzwerke in der Schweiz. Es ist das Fundament für schweizweit tausende von elektronischen Dienstleistungen der Post und von Partnerunternehmen. Jeden Monat kommt es zu rund 10’000 Angriffen auf dieses IT-Netz. Raubt Ihnen das nicht den Schlaf?

Die Post investiert enorm viel in ihre Informationssicherheit: Wir orientieren uns an internationalen Standards und beobachten permanent die aktuelle Bedrohungslage sowie die Trends der Technologieentwicklung. Laufend installieren wir die neusten Sicherheitsupdates und arbeiten permanent daran, Schwachstellen in Systemen und Prozessen zu erkennen und zu korrigieren – beispielsweise indem wir uns gezielt selber hacken und durch unabhängige Sicherheitsprüfer angreifen lassen. Denn Sicherheit ist nie Stillstand. Das alles gibt mir das Vertrauen, um jeden Abend beruhigt einschlafen zu können.

Was aber nicht heisst, dass es nicht doch zum Albtraum kommen könnte…

Grundsätzlich ist jedes IT-System angreifbar. Und ausschliessen können wir einen Angriff auch trotz all dieser Sicherheitsvorkehrungen nicht zu 100 Prozent. Aber unsere Monitoring- und Alarmsysteme funktionieren unabhängig vom IT-Netz der Post und arbeiten rund um die Uhr, 365 Tage im Jahr. Und tagtäglich setzen sich rund 80 Mitarbeitende mit viel Ehrgeiz und Berufsstolz dafür ein, für die Hacker und Angreifer einen möglichst schwierigen Hindernislauf aufzubauen, mit überraschenden und neuen Hürden, die anders verteilt sind.

Welche Hürden sind denn für Sie und Ihre Mitarbeitenden die grössten?

Die grösste Herausforderung liegt für uns darin, dass Sicherheit auch über die Grenzen der Post hinaus besteht. Es braucht sie beim Kunden zu Hause, sie ist Thema bei den Online-Shops, bei den Dienstleistungen der Post, dann aber auch bei der Auslieferung von Waren etc. Da gibt es mehrere Bereiche, die wir als Post zwar nicht direkt beeinflussen oder absichern können, die vom Kunden aber dennoch als Teil der Post wahrgenommen werden. Hier arbeiten wir eng mit externen Partnern zusammen. Denn die Kunden vertrauen uns ihre Daten und Informationen an, dieses Vertrauen ist unser grösstes Gut. Und für die Sicherheit dieser Daten geben meine Mitarbeitenden tagtäglich ihr Bestes.

Nun haben neben Ihren Mitarbeitenden aber noch 40’000 weitere Mitarbeitende einen Post-Account. Heisst: 40’000 potenzielle Eingangstore für Hacker ins Post-System…

Die Sensibilisierung und Aufklärung der Mitarbeitenden über Cyberrisiken ist ein wichtiger Teil unserer Arbeit. Sie müssen sichere Passwörter wählen und diese alle paar Monate wechseln. Ausserdem schulen wir sie regelmässig gezielt zu Sicherheitsthemen und führen Online-Sicherheitstests durch. Und seit diesem Sommer steht im Outlook-Programm neu ein sogenannter «Phishing-Button» zur Verfügung, der verdächtige Mails per Klick direkt an die richtige Stelle weiterleitet.

Warum ist das IT-Netz der Post so attraktiv für Hacker?

Die Post stellt wichtige Dienstleistungen für die Grundversorgung in der Schweiz bereit und verfügt dadurch über sehr viele Kundendaten und Informationen, die dem Postgeheimnis unterliegen. Informationen sind Macht. Und letztendlich Geld. Dies macht die Post zu einer interessanten Zielscheibe für Hackerangriffe.

Dann geht es den Hackern also um Geld?

Die Beweggründe dieser Menschen oder Gruppierungen können – genau wie bei Angriffen auf andere Firmen und Unternehmen – sehr unterschiedlicher Art sein. Geld und Macht sind sicher eine mögliche Motivation. Es kann aber auch einfach nur darum gehen, Schaden anzurichten. Oder die Angreifer wollen Aufmerksamkeit für gewisse Themen erlangen. Sicher ist einzig: Hinter den meisten Angriffen steckt kriminelle Energie.

Wie schützt ein IT-Chef seine privaten Geräte und Daten?

IT-Chef hin oder her, selbstverständlich erhalte auch ich Phishingmails. Aber genau wie bei der Post lege ich auch privat grossen Wert auf Sicherheit: sichere Passwörter wählen und sie nicht aufschreiben, regelmässig Backups erstellen und auch meine Familie sensibilisieren. Alles Dinge, die eigentlich jeder weiss. Nur sollte man sie auch wirklich sorgfältig beachten und permanent pflegen. Denn auch privat gilt: Sicherheit ist kein Stillstand.