Frau Dunn Cavelty, Sie als cyberaffine Person: Gehören Sie zu jenen, die die Laptop-Kamera abgeklebt haben?
Myriam Dunn Cavelty: Bei meinem neuen Laptop nicht mehr. Unterdessen ist man ja gegen diese Art von Angriffen geschützt. Ausserdem habe ich jeden Tag mehrere Stunden lang Zoom-Meetings. Da muss ich mein Gesicht zeigen.
Wie erklären Sie an einer Party, was Ihr Job ist?
Ich sage immer, ich schaue mir an, was Staaten wie die USA, Russland oder China im Cyberspace machen. Das verstehen die meisten, weil die Medien in den letzten Jahren viel darüber berichtet haben. Als ich Anfang der Nullerjahre anfing, gab es fast keine Vorfälle.
Weil die Welt viel weniger digitalisiert war?
Das und weil 2010 eine Zäsur war. Die Staaten fingen erst dann so richtig an, im Cyberspace strategisch aktiv zu werden. In den letzten Jahren geht es immer mehr auch um Fake-News und darum, wie man damit die Wirklichkeit manipulieren kann. Das sieht man in den USA.
Myriam Dunn Cavelty (45) hätte auch einen ganz anderen Weg einschlagen können. Die Mutter Malerin und Zeichnerin, der Vater Philosoph, die Schwester Musikerin. Dass sie ausscherte und zur weltweit führenden Expertin im Cybersicherheitsbereich aufstieg, hat viel mit ihrer Neugier zu tun. Ende der Neunzigerjahre betrat sie mit ihrer Masterarbeit ein Feld, das sich so rasch entwickelte wie kaum ein anderes. An der ETH Zürich baute sie eines der weltweit grössten Forschungsteams in ihrem Fachgebiet auf. Dunn Cavelty lebt mit ihrem Mann, Schriftsteller Gion Mathias Cavelty, und der gemeinsamen Tochter in Zürich-Schwamendingen.
Myriam Dunn Cavelty (45) hätte auch einen ganz anderen Weg einschlagen können. Die Mutter Malerin und Zeichnerin, der Vater Philosoph, die Schwester Musikerin. Dass sie ausscherte und zur weltweit führenden Expertin im Cybersicherheitsbereich aufstieg, hat viel mit ihrer Neugier zu tun. Ende der Neunzigerjahre betrat sie mit ihrer Masterarbeit ein Feld, das sich so rasch entwickelte wie kaum ein anderes. An der ETH Zürich baute sie eines der weltweit grössten Forschungsteams in ihrem Fachgebiet auf. Dunn Cavelty lebt mit ihrem Mann, Schriftsteller Gion Mathias Cavelty, und der gemeinsamen Tochter in Zürich-Schwamendingen.
Wie steht es um die Cybersicherheit in der Schweiz?
Wir werden genauso oft angegriffen und schützen uns auch etwa gleich wie andere Staaten.
Jüngst berichteten anonyme IT-Spezialisten in der «Rundschau», es stünden «Hunderte von unbeaufsichtigten Servern» im Rüstungskonzern Ruag. Müssen wir uns Sorgen machen?
Staatliche Institutionen sind eher selten betroffen. Die Wirtschaft hingegen wird täglich von Kriminellen angegriffen, die Daten stehlen, bei Ransomware verschlüsseln und Lösegeld wollen. Diese klassischen Ransomware-Attacks haben extrem zugenommen.
Wie ist das möglich?
Viele KMU geben zu wenig für Cybersicherheit aus. Bei ihnen fehlt das Bewusstsein dafür. Und sie finden kaum Cybersecurity-Fachleute. KMU sind deshalb sehr gefährdet. Ein Problem ist auch: Viele Firmen erfüllen die Forderungen der Hacker. Kriminelle merken sich das und kommen wieder.
Zahlen die Firmen, um die Sache unter dem Deckel zu halten?
Nein, sie sind in Not. Sie haben keine guten Back-ups der Daten, und sie brauchen diese unbedingt, um ihr Geschäft weiterführen zu können. Das können banale Kundenadressen sein.
Die Eidgenössische Finanzkontrolle rügte kürzlich, die Banken würden trotz Pflicht nicht alle Vorfälle melden. In anderen Branchen wie dem Spitalwesen gibts nicht einmal eine Meldepflicht. Wie weiss man, wie es um die Cyber-sicherheit steht?
Das ist tatsächlich ein Problem. In den nächsten Jahren läuft es auf eine Ausweitung der Meldepflicht hinaus, politisch tut sich etwas. Ich weiss aber nicht, ob eine solche viel bringt. Viele Firmen bemerken einen Vorfall gar nicht. Ihr Sicherheitsnetzwerk ist nicht so ausgebaut, dass es ein Eindringen registrieren würde.
Befürworten Sie eine Meldepflicht?
Ja, damit kann man bei den KMU das Bewusstsein für Cybersicherheit fördern.
Zurück zur Ruag. Im «Rundschau»-Beitrag dringen Hacker in deren System ein. Beunruhigt Sie das?
Die Aufregung teile ich nicht. Mich erstaunt es nicht, wenn auch eine solche Institution gehackt wird. Das ist zu erwarten. Auch wenn man genug Geld ausgibt, kann man sich schon nur gegen einen Teil der Angriffe von privaten Cyberkriminellen schützen. Und wenn ein Staat ins System eindringen will, ist man praktisch wehrlos. Staaten haben enorm viel Geld und Zeit, irgendwann kommen sie rein.
Was sagen Sie dazu, dass die Ruag bestreitet, dass es einen Hacker-Angriff gab?
Wenn man sich den «Rundschau»-Beitrag mit den vielen Leuten, die auf ein Sicherheitsrisiko hinweisen, ansieht, ist es nicht glaubwürdig, wenn man den Vorfall abstreitet. Abstreiten ist das Schlimmste. Sie hätten sagen sollen, dass das möglich ist. Das hätte Vertrauen geschaffen. Wir müssen von der Idee wegkommen, im Cyberspace sicher zu sein.
Im Mai 2020 traf es den Zugbauer Stadler Rail. Hacker zogen Daten ab und forderten sechs Millionen Dollar Lösegeld in Bitcoins. Das Unternehmen zahlte nicht, ging stattdessen an die Öffentlichkeit. Im Sommer versuchten Kriminelle ins System der Hirslanden-Spital-Gruppe einzudringen. Erfolglos. Im Mai 2021 wies die «Rundschau» auf Sicherheitslücken beim Rüstungskonzern Ruag hin, man wisse von einem gefährlichen Vorfall. Die Konzernleitung stritt einen Hacker-Angriff ab. Zur gleichen Zeit legten Hacker in den USA die grösste Sprit-Pipeline des Landes lahm, das führte zu Benzin-Engpässen. Die Betreiber zahlten 4,4 Millionen Dollar Lösegeld.
Im Mai 2020 traf es den Zugbauer Stadler Rail. Hacker zogen Daten ab und forderten sechs Millionen Dollar Lösegeld in Bitcoins. Das Unternehmen zahlte nicht, ging stattdessen an die Öffentlichkeit. Im Sommer versuchten Kriminelle ins System der Hirslanden-Spital-Gruppe einzudringen. Erfolglos. Im Mai 2021 wies die «Rundschau» auf Sicherheitslücken beim Rüstungskonzern Ruag hin, man wisse von einem gefährlichen Vorfall. Die Konzernleitung stritt einen Hacker-Angriff ab. Zur gleichen Zeit legten Hacker in den USA die grösste Sprit-Pipeline des Landes lahm, das führte zu Benzin-Engpässen. Die Betreiber zahlten 4,4 Millionen Dollar Lösegeld.
Im Mai legten russische Hacker die grösste Sprit-Pipeline der USA lahm. Könnte Vergleichbares auch bei uns passieren?
Nur begrenzt. Die hochkritischen Infrastrukturen wie Staudämme oder AKW werden teils manuell bedient. Ransomware ist das grössere Problem. Verletzlich sind jene Institutionen, die am meisten sensible Daten haben, auf die sie sofort zugreifen müssen. Spitäler sind sehr schlecht geschützt, könnten also komplett lahmgelegt werden. Bei der Hirslanden-Gruppe gab es vergangenen Sommer einen Vorfall, der Betrieb lief zum Glück normal weiter.
Heikel könnte es bald auch für die Armee werden. Es heisst, dass Viola Amherd den F-35 von Lockheed Martin kaufen will. Der Flieger übermittelt dem Hersteller in den USA Daten. Von links hagelt es Kritik. Teilen Sie die Sicherheitsbedenken?
Bei Militärgütern sind wir auf andere Staaten angewiesen. Wir müssen vertrauen können. Bei der Waffentechnik ist das schwierig, weil alles so weit im Voraus geplant werden muss. Die Technologie schreitet so schnell voran, wir wissen nicht, was der Kauf eines F-35 nur schon in wenigen Jahren bedeutet. Diese Unsicherheit müssen wir aber akzeptieren. Man kauft sich so oder so ein Risiko ein.
Deuten Sie damit an, dass man dieses Risiko mit dem F-35-Flieger in Kauf nehmen sollte?
Das muss der Bundesrat entscheiden, nicht ich.
Was ist beim Thema Cybersicherheit eigentlich die grössere Misere: ein Cyber-Vorfall oder die Angst davor?
Eher Letzteres. Die Geschichte zeigt, dass die grossen Cyber-Katastrophen bisher ausgeblieben sind.
Warum reagiert die Öffentlichkeit auf einzelne Vorfälle trotzdem immer aufgebracht?
Wir haben Angst vor dem Kontrollverlust, eine Ur-Emotion des Menschen. Da klingt auch das Frankensteinmotiv an: Der Mensch erschafft etwas, delegiert vieles an eine Maschine, und diese entwickelt ein Eigenleben. Je grösser und wichtiger die Technik wird, umso mehr nehmen diese Ängste zu.
Angst macht Menschen manipulierbar. Sind wir als Gesellschaft anfällig dafür?
Sehr. Die Behörden und die Politik arbeiteten in der Vergangenheit oft mit Katastrophenszenarien, mit Fast-Vorfällen, um die Sicherheitsmassnahmen auszuweiten. Das schuf Gesellschaften im Modus der Daueralarmierung, die sich obsessiv mit möglichen Schreckensbildern beschäftigten. So war es einfacher, Gelder in die Aufrüstung des Nachrichtendienstes und des Militärs zu schieben.
So kann der Staat doch auch heute noch jederzeit argumentieren, wenn er mehr Daten sammeln will.
Diese Tendenz gibt es tatsächlich, und die muss man bekämpfen. Der Staat ist heute viel aktiver im Cyberspace als noch vor rund zehn Jahren. Dadurch schuf man aber nicht mehr Sicherheit. Im Gegenteil, die Nachrichtendienste nutzen ja gerade die Sicherheitslücken im Cyberspace zur Überwachung. Die Schwachstellen werden also nicht gemeldet und geschlossen. Der Staat oder Staaten wie China sind aber nicht die einzigen Übeltäter.
Wer sonst noch?
Wir alle arbeiten selbst an unserer Überwachung mit. Wenn wir im Haus immer mehr fernsteuern, wenn wir uns mit all den Handy-Apps und Smartwatches selber tracken.
Der Schritt hin zur staatlichen Überwachung ist klein, technisch gesehen.
Wie wurden Sie eigentlich zur weltweit gefragten Expertin auf Ihrem Gebiet?
Das fing Ende der Neunzigerjahre an. Das Internet kam frisch auf. Und es tobte der Kosovo-Krieg, ich schrieb im Fahrwasser eines Projekts des Schweizerischen Nationalfonds meine Master-Arbeit. Ich schaute, wie die Amerikaner im Kosovo-Krieg versuchten, über die Medien die Meinung der dortigen Bevölkerung zu beeinflussen. In jener Zeit passierte extrem viel. Einer der ersten politischen Hacks war jener der Nato-Website. Die Geburtsstunde des ersten Internet-Kriegs.
Und Sie sassen in der ersten Reihe.
Ja! Dann blieb ich hängen, wollte aber immer mal wieder aufhören und konnte nicht.
Warum?
Es passierte immer wieder etwas Neues. 2010 legte der Computerwurm Stuxnet grosse Teile des iranischen Atomprogramms lahm. Damit wurde das Forschungsfeld erst recht politisch, und ich machte weiter.
Sie stammen aus einer Familie von kreativen Freiberuflern, sind mit einem Schriftsteller verheiratet. Scheren Sie da nicht aus?
Mein Job ist auch kreativ. Ich habe immer versucht, neue Ideen einzubringen, neuen Fragen nachzugehen. Und ich mache Musik und schreibe. Auch ich habe ein Hippie-Herz.
Färbt Ihre Arbeit auf Ihre Familie ab? Weiss Ihre Tochter mehr über Sicherheitspasswörter als andere Kinder?
Ja, vielleicht. Ich spreche mit meiner Tochter die ganze Zeit über Sicherheit im Netz. Verbieten bringt aber gar nichts. Das weiss ich von meinen Nerd-Kollegen. Die fingen mit Hacken an, weil die Eltern bestimmte Webseiten sperrten.
Was wollen Sie Ihrer Tochter mitgeben?
Sie soll fähig sein, die Risiken selbst einschätzen zu können. Und zu mir kommen, wenn sie unsicher ist. Das klappt sehr gut.