Defending Cybersecurity in Switzerland (DALL-E 2).
Für den Delegierten des Bundes für Cybersicherheit Florian Schütz läuft in der Schweiz läuft im Bereich Cybersicherheit vieles gut. Dennoch gibt es seiner Meinung noch viel Luft nach oben. In der Politik genauso wie in der Wirtschaft.
asut: Laut dem Digitalbarometer 2023 sehen rund zwei Drittel der Schweizer Bevölkerung im Bereich Cybersecurity «hohe bis maximale Gefahr». Liegen sie richtig damit oder anders gefragt: Wie ist die aktuelle Cybersicherheitslage?
Florian Schütz: Der Meldungseingang zu Cybervorfällen beim NCSC bewegt sich aktuell mit durchschnittlich 700 Meldungen pro Woche auf hohem Niveau. Wir führen dies einerseits auf die gestiegene Sensibilität der Bevölkerung zurück, nehmen jedoch auch eine leichte Steigerung der Cyberangriffe wahr. Auch lässt sich feststellen, dass die Cyberkriminellen innovativ sind und immer neue Angriffsszenarien und -vektoren verwenden, um ihr oberstes Ziel zu erreichen: Nämlich mit möglichst wenig Aufwand einen möglichst hohen Gewinn zu erzielen.
Wer ist Cyberangriffen am stärksten ausgesetzt: Behörden (Bund, Kantone, Gemeinden), Unternehmen oder Private?
Im Fokus der Angreifer sind alle Systeme, die im Internet stehen, nicht genügend geschützt sind und aufgrund von Schwachstellen Einfallstore bieten. Unabhängig davon, ob es sich um Behörden, Unternehmen oder Privatpersonen handelt.
Leider gibt es noch immer Firmen, die zwar die Chancen der Digitalisierung nutzen, aber das damit einhergehende Cyberrisiko nicht gut genug verstehen.
Ist die zunehmende Anzahl von Cyberangriffen verschiedenster Art ein unvermeidbarer Kollateralschaden der fortschreitenden Digitalisierung?
Natürlich besteht ein Zusammenhang. Mit der zunehmenden Verschiebung unterschiedlicher Lebensbereiche ins Internet, verschiebt sich klassische Kriminalität auch ins Digitale. Viele Vorfälle liessen sich aber schon vermeiden, wenn die Systeme besser entwickelt und sicherer betrieben würden.
Hunderte von – trotz Warnungen des NCSC – noch immer nicht auf kritische Sicherheitslücken hin gepatchte Exchange-Server werden bei Schweizer Unternehmen und Gemeinden betrieben. Wie lässt sich das erklären? Wird der Cybersecurity noch immer nicht genügend Rechnung getragen?
Leider gibt es noch immer Firmen, die zwar die Chancen der Digitalisierung nutzen, aber das damit einhergehende Cyberrisiko nicht gut genug verstehen oder gar nicht ernst nehmen. Ein weiterer möglicher Grund ist, dass es bei einer komplexen IT schwierig sein kann, alle Arbeiten zu priorisieren, während gleichzeitig der Betrieb aufrechterhalten werden muss. In der Geschäftsleitung eines jeden Unternehmens sollte genügend Cyberwissen vorhanden sein. Vor allem muss man verstehen, welche Prozesse in welchem Masse von digitalen Leistungen abhängig sind und welche Auswirkungen ein Ausfall der Systeme hätte. Ganz wichtig sind aber auch eine seriöse Finanzplanung und das Etablieren von Managementsystemen, die einen sicheren Betrieb ermöglichen.
Wie gut ist die Schweiz bezüglich Cybersecurity aufgestellt?
Eine generelle Aussage zum Stand der Cybersicherheit in der Schweiz ist schwierig. Die Bandbreite reicht von sehr gut aufgestellten Unternehmen bis hin zu solchen, bei denen Cybersicherheit noch kein Thema ist oder die mit diesem Thema überfordert sind. Im europäischen Vergleich befindet sich die Schweiz im Mittelfeld. Mit Blick auf unsere Berufslehren und Hochschulen, dank denen die Schweiz über sehr gute IT- Infrastrukturstandards, viel IT-Fachwissen und eine hohe IT-Kompetenz verfügt, könnten wir hier durchaus etwas besser sein.
Unternehmen und Behörden sind in der Schweiz für ihre Cybersicherheit selbst verantwortlich. Die Aufgabe des Staates ist es, die Rahmenbedingungen so zu gestalten, dass sie diese Verantwortung wahrnehmen können.
Was tut der Bund, was ist Aufgabe der kantonalen und kommunalen Behörden, was liegt in der Verantwortung von Unternehmen und Privatnutzer?
Unternehmen und Behörden sind in der Schweiz für ihre Cybersicherheit selbst verantwortlich. Die Aufgabe des Staates ist es, die Rahmenbedingungen so zu gestalten, dass sie diese Verantwortung wahrnehmen können. Einer der Aufträge des NCSC ist beispielsweise die Sensibilisierung für Cyberrisiken. In diesem Zusammenhang veröffentlicht das NCSC viele Handlungsempfehlungen oder Warnungen auf seiner Webseite. Die nationale Anlaufstelle Cybersicherheit des NCSC hilft Ratsuchenden bei der Lösung ihres Problems. Zudem führt das NCSC in Zusammenarbeit mit der Schweizerischen Kriminalprävention und anderen Partnern Sensibilisierungskampagnen für Privatpersonen durch.
Die Prioritäten legt die Politik fest – nimmt sie die Cybersicherheit genügend ernst?
Mit der Gründung des NCSC Mitte 2020 hat der Bundesrat bereits einen wichtigen Meilenstein gesetzt, um das Thema zu priorisieren. Mit dem Entscheid der Überführung des NCSC in ein Bundesamt im vergangenen Dezember, hat er die Wichtigkeit der Cybersicherheit weiter unterstrichen. Auch im Parlament ist Cybersicherheit immer wieder ein Thema. Eine meiner Aufgaben ist es, die strategische Betrachtung des Themas zu fördern. Hier bin ich noch nicht ganz am Ziel. Zu oft geht es in Diskussionen um Angriff und Verteidigung. Das ist aber der falsche Fokus. Die Diskussion müsste eher in die Richtung gehen, wie die Schweiz Cybersicherheit strategisch nutzen kann, zum Beispiel indem man die Stärken des Bildungssystems nutzt oder wie man kosteneffiziente Entwicklung sichererer digitaler Systeme am Wirtschaftsstandort Schweiz ermöglicht.
Wo sehen Sie in der Schweiz wesentliche Lücken und Verbesserungspotenzial?
In der Schweiz läuft im Bereich Cybersicherheit vieles gut, dennoch gibt es noch viel Luft nach oben, sowohl in der Politik wie auch in der Wirtschaft. Wie vorher erwähnt, ist es zentral, dass sich die Diskussionen nicht bloss um Angriff und Verteidigung drehen. Wir müssen auch nicht alles neu erfinden. Die Luftfahrt zum Beispiel kennt die umfassende Untersuchung von Flugunfällen, um aus den Erkenntnissen das Gesamtsystem besser zu machen. Seitens NCSC könnten beispielsweise die Ursachen eines Vorfalls oder einer Bedrohung noch genauer untersucht werden und daraus spezifischere Analysen und Handlungsanweisungen, auf den jeweiligen Sektor zugeschnitten, erstellt werden. Diese würde den Beteiligten erlauben, besser informiert zu entscheiden, was geändert werden muss, um die Resilienz zu erhöhen. Doch das erfordert entsprechende Ressourcen.
Im letzten Herbst bemängelte die Finanzkontrolle, dass Cyberangriffe auf die Bundesverwaltung dem NCSC nicht rasch genug gemeldet würden. Werden die Überführung des NCSC in ein Bundesamt sowie die Meldepflicht für Cybervorfälle auf kritische Infrastrukturen hier eine Verbesserung bringen?
In der Bundesverwaltung ist eine Meldepflicht von Cyberangriffen auf die Bundes-Infrastruktur bereits seit längerer Zeit etabliert. Die von der EFK eingebrachten Empfehlungen betreffend Prozesse hat das NCSC entgegengenommen und die Umsetzung gestartet. Dies geschieht unabhängig vom Entscheid zum Bundesamt. Mit der Bildung eines Bundesamtes wird das Thema Cybersicherheit generell gestärkt und Synergien können genutzt werden. Die Meldepflicht für kritische Infrastrukturen soll dem NCSC einen besseren Überblick über Cybervorfälle in der Schweiz ermöglichen und seine Handlungsfähigkeit verbessern.
Die Fragen stellte Christine D'Anna-Huber. Dieses Interview wurde schriftlich geführt.