Digital
Schweiz

Meldepflicht für Hackerangriffe? Delegierter für Cybersicherheit erklärt

Fahren auch in Schweden: Z�ge der Ostschweizer Stadler Rail. (Archivbild)
Nach einem erfolgreichen Hackerangriff versuchten unbekannte Täter, Stadler Rail zu erpressen und drohten mit der Veröffentlichung der erbeuteten Daten. Das betroffene Unternehmen reagierte vorbildlich.archivBild: sda
Interview

Meldepflicht für Hackerangriffe? Delegierter des Bundes erklärt, was sinnvoll wäre

Zu oft werde das Thema in den Führungsetagen noch stiefmütterlich behandelt, sagt Florian Schütz, der seit fast einem Jahr Delegierter des Bundes für Cybersicherheit ist. Er rät Firmen, bei Vorfällen offen damit umzugehen.
18.06.2020, 08:5618.06.2020, 08:57
Lucien Fluri / ch media
Mehr «Digital»

Der Bahnbauer Stadler Rail wird erpresst: Zahlt er keinen Millionenbetrag, werden geklaute interne Daten veröffentlicht. Internetbetrugsversuche mit gefälschten Masken sind während der Coronapandemie in die Höhe geschnellt. Und Spitäler hatten sich in der Vergangenheit für Cyberangriffe verwundbar gezeigt. Trotzdem gibt es in der Schweiz erst seit einem Jahr einen Delegierten für Cybersicherheit: Florian Schütz ist 38 und war zuvor unter anderem beim Onlinehändler Zalando für die IT-Sicherheit verantwortlich. Er sagt: In vielen Schweizer Unternehmen sei die Wichtigkeit des Schutzes vor Cyberangriffen noch nicht genügend angekommen.

Das Interview

Eine Zusammenfassung gibts am Ende des Beitrags.

Herr Schütz, schlafen Sie ruhig als Verantwortlicher für Cybersicherheit des Bundes?
Florian Schütz:
Absolut.

Die Coronakrise hatte keine Folgen?
Die Zahl der Meldungen mit Bezug zu Corona ist angestiegen. Wie bei jedem Grossereignis versuchten Cyberkriminelle auf den Zug aufzuspringen. Man hat mehr Fake-Shops gesehen, in denen Medikamente oder Masken angeboten wurden. Wir befanden uns zwar immer in der Lagestufe «normal». Wir haben uns aber zusätzlich vorbereitet, um die kritische Infrastruktur im ansonsten schon stark belasteten Gesundheitssektor bei Bedarf zusätzlich zu schützen.

In der Coronakrise hat man gesehen, dass die Schweiz nicht überall gut vorbereitet war. Welche Lehren ziehen sie im Bereich Cybersicherheit?
Grundsätzlich funktionierte im Cyber-Bereich alles gut. Aber wir werden überprüfen, ob wir im Falle einer Krise zukünftig zusätzliche Infrastruktur bereitstellen sollen, um die Abwehr der kritischen Infrastrukturen punktuell zu verstärken und den Informationsfluss zu beschleunigen um noch rascher handeln zu können. Und dann gibt es die Frage der Meldepflicht für Cyberangriffe. Wir haben heute keine generelle Meldepflicht. Es ist fraglich, ob wir alles wissen und ob wir die Situation korrekt einschätzen können. Wir sind darauf angewiesen, dass Vorfälle gemeldet werden.

Florian Schuetz, Delegierter des Bundes fuer Cybersicherheit, spricht an einer Medienkonferenz, am Donnerstag, 27. Mai 2020, in Bern. (KEYSTONE/Peter Schneider)
Florian Schütz, Delegierter des Bundes für Cybersicherheit.Bild: keystone

Eine Meldepflicht ist politisch umstritten.
Es wird darauf ankommen, wie sie ausgestaltet wird. Eine generelle Meldepflicht gibt es noch nicht. Der Bundesrat will bis Ende 2020 Grundsatzentscheide über die Einführung von Meldepflichten für Cybervorfälle fällen. Eine Meldepflicht, bei der man jeden Vorfall melden muss, ist nicht sinnvoll. Bereits heute gibt es eine Meldepflicht für bestimmte kritische Infrastrukturen. Es macht Sinn, dass man eine einheitliche Regelung hat. Meldepflichten führen auch zu einer Wettbewerbsgleichheit. Wenn jemand Vorfälle meldet und dadurch einen erhöhten Aufwand hat, entstehen ihm Kosten. Der andere, der nichts meldet, spart kurzfristig Geld, löst dadurch aber sein Problem nicht.

«Man muss die Leute, die hier Karriere gemacht haben, ernst nehmen. Sie haben aber oft das Gefühl, im Staat oder in Firmen nicht durchzudringen.»

Stadler Rail wurden Daten geklaut. Die Firma hat die Erpressung öffentlich gemacht. Viele Firmen wollen dies allerdings nicht.
Viele Firmen haben Angst vor einem Reputationsverlust, wenn sie einen Cybervorfall publik machen. Ich gehe davon aus, dass sich dies ändern wird. Meiner Erfahrung nach ist es immer positiv, wenn Firmen offen über Vorfälle reden. Sie nehmen so Verantwortung wahr und zeigen, dass sie die Kunden ernst nehmen. Studien zeigen: Wer nach einem Cybervorfall transparent kommuniziert und nicht vertuscht, sieht nach zwei Jahren keinen Einfluss mehr auf die Entwicklung der Firma.

Sind Schweizer Firmen gut gerüstet gegen Cyberrisiken?
Es gibt Firmen, die top aufgestellt sind, andere weniger. Was ich noch viel zu oft sehe, ist, dass das Topmanagement denkt, dies sei eine technische Frage, die sie nichts angehe. Dies ist falsch. Genauso wie Finanzrisiken relevant dafür sind, wie ich meine Firma steuere, sind es auch Cyberrisiken. Das gilt speziell, wenn ich in einem digitalisierten Bereich bin wie beispielsweise in der Logistik oder der Lebensmittelproduktion.

Es ist noch zu wenig in den Köpfen?
Ja. Das Verständnis auf Topstufe fehlt oftmals noch. Ich sehe dort eine Riesenchance für die Schweiz. Wir haben früh begonnen mit Ausbildungen in diesem Berufsbereich. Wir haben sehr gute Fachspezialisten. Man muss die Leute, die hier Karriere gemacht haben, ernst nehmen. Sie haben aber oft das Gefühl, im Staat oder in Firmen nicht durchzudringen. Es herrscht oft noch die Meinung vor: Der Fachspezialist muss meine Sprache als Manager sprechen, damit ich ihn verstehe. Das ist überholt, mehr noch: Es ist ein Erfolgsfaktor, wenn das Topmanagement die Sprache der Fachspezialisten aufnimmt. Das zeigt sich, wenn wir international vergleichen, welche Firmen erfolgreich sind und welche Länder vorne liegen.

Welches ist die grösste Bedrohung für die Schweiz im Bereich Cybersicherheit?
Straftaten, also Cybercrime, machen den Grossteil der gemeldeten Vorfälle in der Schweiz aus. Hier liegt die grösste Gefahr. Es muss für die Kriminellen schwieriger werden, anzugreifen. Dann orientieren sie sich anders. Es ist auch eine grosse wirtschaftliche Chance für die Schweiz, wenn sie sich in diesem Bereich resilienter macht. Es liegt jedoch in der Verantwortung der Firmen, sich selbst zu schützen.

Was tut der Bund?
Wir können Strukturen schaffen, um sich auszutauschen oder um sich sektorenweise abzusprechen. Es gibt in jedem Sektor Infrastrukturen, die geteilt werden von mehreren Playern, wie beispielsweise im Finanzsektor. Die einzelnen Firmen müssen sich genau gleich schützen wie andere auch. Aber wir kümmern uns mit allen Involvierten um Fragen, die alle betreffen: Was tut man, wenn es zum Beispiel ein grosses Problem mit dem Zahlungssystem SWIFT gäbe? Wie ist man möglichst schnell operationsfähig?

Die Kantone sind Teil der Strafverfolgung. Gibt es da im Cyberbereich genügend Ressourcen?
Die Ressourcenfrage muss man 26 Mal stellen. Ein Stadtkanton hat beispielsweise andere Voraussetzungen als ein Landkanton. Sicherlich könnte man sich da verstärken. Aber Sie können auch nicht in jedem Kanton 50 Cyberspezialisten haben. Man hat deshalb das Netzwerk für die Ermittlungsunterstützung in der digitalen Kriminalität (Nedik) geschaffen.

Die Schweiz hat erst seit einem Jahr einen Delegierten für Cybersicherheit. Hat man das Thema zu wenig ernst genommen?
Ich glaube nicht. Melani wurde 2004 gegründet. Damals gab man auch in Deutschland den Startschuss für ein Cyberzentrum. Man war am Puls der Zeit, die Herausforderungen hat man erkannt. Aber in der Schweiz hat man ein föderales politisches System mit Gemeinden und Kantonen. Das führt dazu, dass gewisse Dinge etwas länger brauchen, aber danach vielleicht stabiler sind.

Sie müssen mit Kantonen, Departementen, etc. verhandeln, um etwas zu erreichen. Die Technik entwickelt sich schnell. Ist das System nicht zu langsam?
Es ist natürlich nicht immer ganz einfach, zum Beispiel wenn die Rechtsprechung nachziehen muss. Aber wir können grundsätzlich mithalten. Ich sehe im System eine grosse Chance für die Schweiz. Dadurch, dass wir es in der Schweiz gewohnt sind, verschiedenen Stellen, etwa Fachleute, die Wirtschaft, die Kantone unkompliziert an einen Tisch zu bringen, können wir etwas bewegen und gestalten.

Ein Beispiel?
An der ETH Zürich ist ein neues Routing-Protokoll entwickelt worden. Dabei geht es um die Frage, wie kommt der Datenverkehr von meinem Computer zum Kollegen in Deutschland. Dieses ist viel stabiler gegen Angriffe. Um dieses einzusetzen, muss man eine der Grundlagen im Internet ändern. Das geht nicht so einfach. Man hat aber mit dem Aussendepartement einen Pilotversuch gemacht, wie man Aussenstellen anbinden kann. Und man arbeitet an einem Pilot im Finanzsektor, um zu schauen, wie man Systeme sicherer miteinander verbinden kann. Bund, Wissenschaft, Wirtschaft haben zusammengearbeitet. Es ist eine Riesenchance: Wenn wir erfolgreiche Piloten haben und dieses Protokoll anderen Ländern schmackhaft machen können, könnte man zur Sicherheit beitragen und andererseits könnten wir die Schweiz auf der Landkarte als innovatives Land positionieren.

Das Wichtigste in Kürze
Die Schweiz sei bei der Abwehr von Cyberangriffen insgesamt gut aufgestellt, dennoch wäre eine Meldepflicht für Firmen sinnvoll, meint Florian Schütz, Delegierter des Bundes für Cybersicherheit.
Der Bund sei darauf angewiesen, dass Cyberattacken gemeldet werden, sagte Schütz in einem Interview mit den Zeitungen der CH Media (Donnerstagausgabe). Die Meldepflicht sei zwar politisch umstritten. Es komme aber darauf an, wie sie ausgestaltet werde.
Der Bundesrat wolle bis Ende 2020 im Grundsatz entscheiden, ob eine Meldepflicht für Cyberangriffe eingeführt werden solle. Nicht jeder Vorfall müsse gemeldet werden. Bereits heute gebe es eine Meldepflicht für bestimmte kritische Infrastrukturen.
Viele Firmen hätten Angst vor einem Reputationsverlust, wenn sie einen Cybervorfall publik machten. «Ich gehe davon aus, dass sich das ändern wird. Meiner Erfahrung nach ist es immer positiv, wenn Firmen offen über Vorfälle reden», sagte Schütz.
Vielfach fehle noch das Verständnis in den Unternehmen auf Topstufe. Die Schweizer Wirtschaft habe hier eine Riesenchance. Sie habe früh mit Ausbildungen in diesem Berufsbereich begonnen. Es gebe mittlerweile sehr gute Fachspezialisten.
Schütz ist seit einem Jahr Delegierter des Bundes für Cybersicherheit. Der Bund hat im letzten Jahr im Bereich Cybersicherheit 24 neue Stellen geschaffen. Knapp nochmals so viele hat er in diesem Jahr beschlossen.
(sda)

(aargauerzeitung.ch)

Vor zehn Jahren wurde der Computerwurm Stuxnet entdeckt:

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die bösartigsten Computer-Attacken aller Zeiten
1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Auf Facebook teilenAuf X teilen
Zuviel am Handy? Dr. Watson weiss, woran du leidest
Video: watson
Das könnte dich auch noch interessieren:
1 Kommentar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
1
Scroll dich durch den Stauporn – und du wirst schneller (vorwärts-)kommen
Sie ist fast so bekannt (und zuverlässig) wie das Schweizer Sackmesser: die Blechlawine vor dem Gotthard an Festtagen im Frühling. Und das schon seit Jahren. Eine kurze Zeitreise gegen die Langeweile.

Und dann kamen dann schon bald die ersten Staus ...

Zur Story