Der Bahnbauer Stadler Rail wird erpresst: Zahlt er keinen Millionenbetrag, werden geklaute interne Daten veröffentlicht. Internetbetrugsversuche mit gefälschten Masken sind während der Coronapandemie in die Höhe geschnellt. Und Spitäler hatten sich in der Vergangenheit für Cyberangriffe verwundbar gezeigt. Trotzdem gibt es in der Schweiz erst seit einem Jahr einen Delegierten für Cybersicherheit: Florian Schütz ist 38 und war zuvor unter anderem beim Onlinehändler Zalando für die IT-Sicherheit verantwortlich. Er sagt: In vielen Schweizer Unternehmen sei die Wichtigkeit des Schutzes vor Cyberangriffen noch nicht genügend angekommen.
Eine Zusammenfassung gibts am Ende des Beitrags.
Herr Schütz, schlafen Sie ruhig als Verantwortlicher für Cybersicherheit des Bundes?
Florian Schütz: Absolut.
Die Coronakrise hatte keine Folgen?
Die Zahl der Meldungen mit Bezug zu Corona ist angestiegen. Wie bei jedem Grossereignis versuchten Cyberkriminelle auf den Zug aufzuspringen. Man hat mehr Fake-Shops gesehen, in denen Medikamente oder Masken angeboten wurden. Wir befanden uns zwar immer in der Lagestufe «normal». Wir haben uns aber zusätzlich vorbereitet, um die kritische Infrastruktur im ansonsten schon stark belasteten Gesundheitssektor bei Bedarf zusätzlich zu schützen.
In der Coronakrise hat man gesehen, dass die Schweiz nicht überall gut vorbereitet war. Welche Lehren ziehen sie im Bereich Cybersicherheit?
Grundsätzlich funktionierte im Cyber-Bereich alles gut. Aber wir werden überprüfen, ob wir im Falle einer Krise zukünftig zusätzliche Infrastruktur bereitstellen sollen, um die Abwehr der kritischen Infrastrukturen punktuell zu verstärken und den Informationsfluss zu beschleunigen um noch rascher handeln zu können. Und dann gibt es die Frage der Meldepflicht für Cyberangriffe. Wir haben heute keine generelle Meldepflicht. Es ist fraglich, ob wir alles wissen und ob wir die Situation korrekt einschätzen können. Wir sind darauf angewiesen, dass Vorfälle gemeldet werden.
Eine Meldepflicht ist politisch umstritten.
Es wird darauf ankommen, wie sie ausgestaltet wird. Eine generelle Meldepflicht gibt es noch nicht. Der Bundesrat will bis Ende 2020 Grundsatzentscheide über die Einführung von Meldepflichten für Cybervorfälle fällen. Eine Meldepflicht, bei der man jeden Vorfall melden muss, ist nicht sinnvoll. Bereits heute gibt es eine Meldepflicht für bestimmte kritische Infrastrukturen. Es macht Sinn, dass man eine einheitliche Regelung hat. Meldepflichten führen auch zu einer Wettbewerbsgleichheit. Wenn jemand Vorfälle meldet und dadurch einen erhöhten Aufwand hat, entstehen ihm Kosten. Der andere, der nichts meldet, spart kurzfristig Geld, löst dadurch aber sein Problem nicht.
Stadler Rail wurden Daten geklaut. Die Firma hat die Erpressung öffentlich gemacht. Viele Firmen wollen dies allerdings nicht.
Viele Firmen haben Angst vor einem Reputationsverlust, wenn sie einen Cybervorfall publik machen. Ich gehe davon aus, dass sich dies ändern wird. Meiner Erfahrung nach ist es immer positiv, wenn Firmen offen über Vorfälle reden. Sie nehmen so Verantwortung wahr und zeigen, dass sie die Kunden ernst nehmen. Studien zeigen: Wer nach einem Cybervorfall transparent kommuniziert und nicht vertuscht, sieht nach zwei Jahren keinen Einfluss mehr auf die Entwicklung der Firma.
Sind Schweizer Firmen gut gerüstet gegen Cyberrisiken?
Es gibt Firmen, die top aufgestellt sind, andere weniger. Was ich noch viel zu oft sehe, ist, dass das Topmanagement denkt, dies sei eine technische Frage, die sie nichts angehe. Dies ist falsch. Genauso wie Finanzrisiken relevant dafür sind, wie ich meine Firma steuere, sind es auch Cyberrisiken. Das gilt speziell, wenn ich in einem digitalisierten Bereich bin wie beispielsweise in der Logistik oder der Lebensmittelproduktion.
Es ist noch zu wenig in den Köpfen?
Ja. Das Verständnis auf Topstufe fehlt oftmals noch. Ich sehe dort eine Riesenchance für die Schweiz. Wir haben früh begonnen mit Ausbildungen in diesem Berufsbereich. Wir haben sehr gute Fachspezialisten. Man muss die Leute, die hier Karriere gemacht haben, ernst nehmen. Sie haben aber oft das Gefühl, im Staat oder in Firmen nicht durchzudringen. Es herrscht oft noch die Meinung vor: Der Fachspezialist muss meine Sprache als Manager sprechen, damit ich ihn verstehe. Das ist überholt, mehr noch: Es ist ein Erfolgsfaktor, wenn das Topmanagement die Sprache der Fachspezialisten aufnimmt. Das zeigt sich, wenn wir international vergleichen, welche Firmen erfolgreich sind und welche Länder vorne liegen.
Welches ist die grösste Bedrohung für die Schweiz im Bereich Cybersicherheit?
Straftaten, also Cybercrime, machen den Grossteil der gemeldeten Vorfälle in der Schweiz aus. Hier liegt die grösste Gefahr. Es muss für die Kriminellen schwieriger werden, anzugreifen. Dann orientieren sie sich anders. Es ist auch eine grosse wirtschaftliche Chance für die Schweiz, wenn sie sich in diesem Bereich resilienter macht. Es liegt jedoch in der Verantwortung der Firmen, sich selbst zu schützen.
Was tut der Bund?
Wir können Strukturen schaffen, um sich auszutauschen oder um sich sektorenweise abzusprechen. Es gibt in jedem Sektor Infrastrukturen, die geteilt werden von mehreren Playern, wie beispielsweise im Finanzsektor. Die einzelnen Firmen müssen sich genau gleich schützen wie andere auch. Aber wir kümmern uns mit allen Involvierten um Fragen, die alle betreffen: Was tut man, wenn es zum Beispiel ein grosses Problem mit dem Zahlungssystem SWIFT gäbe? Wie ist man möglichst schnell operationsfähig?
Die Kantone sind Teil der Strafverfolgung. Gibt es da im Cyberbereich genügend Ressourcen?
Die Ressourcenfrage muss man 26 Mal stellen. Ein Stadtkanton hat beispielsweise andere Voraussetzungen als ein Landkanton. Sicherlich könnte man sich da verstärken. Aber Sie können auch nicht in jedem Kanton 50 Cyberspezialisten haben. Man hat deshalb das Netzwerk für die Ermittlungsunterstützung in der digitalen Kriminalität (Nedik) geschaffen.
Die Schweiz hat erst seit einem Jahr einen Delegierten für Cybersicherheit. Hat man das Thema zu wenig ernst genommen?
Ich glaube nicht. Melani wurde 2004 gegründet. Damals gab man auch in Deutschland den Startschuss für ein Cyberzentrum. Man war am Puls der Zeit, die Herausforderungen hat man erkannt. Aber in der Schweiz hat man ein föderales politisches System mit Gemeinden und Kantonen. Das führt dazu, dass gewisse Dinge etwas länger brauchen, aber danach vielleicht stabiler sind.
Sie müssen mit Kantonen, Departementen, etc. verhandeln, um etwas zu erreichen. Die Technik entwickelt sich schnell. Ist das System nicht zu langsam?
Es ist natürlich nicht immer ganz einfach, zum Beispiel wenn die Rechtsprechung nachziehen muss. Aber wir können grundsätzlich mithalten. Ich sehe im System eine grosse Chance für die Schweiz. Dadurch, dass wir es in der Schweiz gewohnt sind, verschiedenen Stellen, etwa Fachleute, die Wirtschaft, die Kantone unkompliziert an einen Tisch zu bringen, können wir etwas bewegen und gestalten.
Ein Beispiel?
An der ETH Zürich ist ein neues Routing-Protokoll entwickelt worden. Dabei geht es um die Frage, wie kommt der Datenverkehr von meinem Computer zum Kollegen in Deutschland. Dieses ist viel stabiler gegen Angriffe. Um dieses einzusetzen, muss man eine der Grundlagen im Internet ändern. Das geht nicht so einfach. Man hat aber mit dem Aussendepartement einen Pilotversuch gemacht, wie man Aussenstellen anbinden kann. Und man arbeitet an einem Pilot im Finanzsektor, um zu schauen, wie man Systeme sicherer miteinander verbinden kann. Bund, Wissenschaft, Wirtschaft haben zusammengearbeitet. Es ist eine Riesenchance: Wenn wir erfolgreiche Piloten haben und dieses Protokoll anderen Ländern schmackhaft machen können, könnte man zur Sicherheit beitragen und andererseits könnten wir die Schweiz auf der Landkarte als innovatives Land positionieren.
(aargauerzeitung.ch)