Mann der ersten Stunde

Tobias Christen ist CEO und Gründungsmitglied von DSwiss – die Firma hinter SecureSafe. Im Interview erzählt der Security-Spezialist, wie sich der Stellenwert des Privatsphärenschutzes verändert hat, wo die Herausforderungen für KMU liegen und was ihn an Edward Snowden fasziniert.

Welches Ereignis der letzten Jahre ist dir speziell in Erinnerung geblieben?

Mit Abstand am bedeutendsten waren die Enthüllungen von Edward Snowden. Er zeigte, dass die Massenüberwachung leicht zu Wirtschaftspionagezwecken eingesetzt werden kann. Zwei Schlussfolgerungen ziehen wir aus diesen Enthüllungen:

  1. Der gesamte Netzwerkverkehr wird andauernd inspiziert. Dies bedeutet, dass man die heiklen Daten zusätzlich zur HTTPS-Verschlüsselung weiterverschlüsseln muss.
  2. Sichere Cloud-Dienstleister müssen sich spezialisieren, um den geforderten Privatsphärenschutz zu gewährleisten.

Du hast Edward Snowden kürzlich bei einer Live-Schaltung beim Security-Insight gesehen. Wie war dein Eindruck?

Er kam in der Präsentation als bescheidener und authentischer Mensch rüber – und als Mensch, der nicht Doktrinen und Hypes verfallen ist. Sehr erfreut war ich natürlich darüber, dass wir seine Tipps in unserem SecureSafe-Setup schon umgesetzt hatten.

Wo siehst du aktuell die grösste Herausforderung des Datenschutzes in Unternehmen?

Viele Firmen lagern heute gewisse Dienstleistungen an externe Dienstleister aus. Was ins Auge sticht, ist, dass diese externen Dienstleister verstärkt von amerikanischen und chinesischen Konzernen aufgekauft werden. Dadurch sind die Kundendaten des Auftraggebers teilweise einem höheren Risiko ausgesetzt – Stichwort Industrie-Spionage. Ein effektiver Schutz sind deshalb «Zero-Knowledge-Garantien». Dies stellt sicher, dass auch der neue Besitzer des externen Dienstleisters nicht auf die Daten zugreifen kann.

Wenn du die Sicherheits-Strukturen in kleineren Unternehmen anschaust: Wie beurteilst du den Schutz ihrer Daten?

KMU lassen ihre IT oft von lokalen IT-Firmen aufstellen und betreiben. Das Sicherheitslevel, das damit erreicht wird, beschränkt sich typischerweise auf Perimeter-Sicherheit (Firewalls) und im besten Falle aktives Server-Patch-Management. Im weiteren liegen die Daten dann in Rechenzentren, welche in Staaten lokalisiert sind, in denen die Datenschutz-Regulationen häufig rudimentär ausgestattet sind. Für sensitive Daten ist dies unserer Meinung nach viel zu wenig.

Wie hat sich das Thema Hacking verändert?

Die Cyber-Kriminellen waren früher mehrheitlich isolierte Individuen mit limitierten finanziellen Ressourcen. Sie waren primär durch Neugier, Ehre oder Rache motiviert. Heute sind die Täter meist wirtschaftlich motiviert und werden häufig von Regierungen beauftragt. Es sind also vor allem gut organisierte Gruppen am Werk, die viel Geld und Ressourcen zur Verfügung haben.

Welche Weiterentwicklungen stehen bei SecureSafe in nächster Zeit an?

Der Kern von SecureSafe ist und bleibt «privacy protected storage». Darauf bauen wir zusätzliche Wertschöpfungen auf. Wir haben vor ein paar Jahren mit «SecureSending» und «Teamspaces» die Grundlagen für eine sichere Kommunikation gelegt und werden mit digitalen Workflows und der ersten Volltextsuche mit eingebautem Privatsphärenschutz (= umfassende Suchfunktion in einer verschlüsselten Umgebung) wieder ein Vorreiter sein.

SecureSafe bietet auch IT-Lösungen an, die häufig in Banken zum Einsatz kommen. Gibt es hier spezielle Anforderungen in puncto Sicherheit?

Banken sind seit jeher sehr stark auf höchste Sicherheit ausgerichtet. Das ist sicher auch ein Grund, warum sie auf SecureSafe sehr gut zu sprechen sind. Banken haben sehr starke Sicherheits-Prozesse aufgestellt, die wir auch erfüllen müssen. Unsere Zero-Knowledge-Architektur geht aber weit über den Vertraulichkeitsschutz hinaus, den Banken typischerweise implementieren.