Informationstechnologie: «Cybersicherheit ist ein Prozess, kein Zustand»
Florian Schütz ist der neue «Mr. Cyber». Im Gespräch erklärt der Delegierte des Bundes, wozu das neue Nationale Zentrum für Cybersicherheit nötig ist, warum sich Sicherheit nicht messen lässt und was sich in der Coronakrise verändert hat.
WOZ: Herr Schütz, Sie leiten seit einem knappen Jahr das neue Nationale Zentrum für Cybersicherheit (NCSC) des Bundes. Wofür braucht es das?
Florian Schütz: Das NCSC ist unter anderem die erste Anlaufstelle für die Wirtschaft, die Bevölkerung oder Bildungsinstitutionen. Seit Januar werden hier Meldungen über Vorfälle einheitlich entgegengenommen, sortiert und dann an den richtigen Ort weitergeleitet. Dies, weil wir gemerkt haben, dass es zum Teil schwer verständlich ist, an wen man sich bei welchen Vorfällen wenden muss.
Und was ist Ihre Aufgabe dabei?
Ich leite das Zentrum und koordiniere die verschiedenen Cyberthemen beim Bund – ein komplexes Feld mit vielen Akteuren und unterschiedlichen Bedürfnissen.
Zum Beispiel?
Die Melde- und Analysestelle Informationssicherung – Melani – schützt zum Beispiel die kritischen Infrastrukturen. Im VBS wird im Cyber-Defence Campus Forschung betrieben. Die IKT-Sicherheit Bund – Sicherheit im Bereich der Informations- und der Kommunikationstechnologie – erlässt die Sicherheitsvorgaben für die Bundesstellen. Wir möchten im Zentrum nun Prozesse aufbauen, damit ein einfacher Wissensaustausch unter den Akteuren möglich ist und alle Rädchen gut ineinandergreifen.
Und wie steht es um die Cybersicherheit in der Schweiz?
Alle stellen mir diese Frage, und ich kann sie leider nicht beantworten, weil es schlicht keine Metriken gibt, die das konkret messen können. Aktuell warten wir auf die Ergebnisse einer Studie der Universität Oxford, die den Reifegrad der Cybersicherheit unterschiedlicher Länder misst. Das wird uns ein aussagekräftiges Bild geben. In der Schweiz sind im Vergleich zu anderen Ländern die Herausforderungen wegen des föderalistischen Systems grösser. Jeder Kanton hat einen anderen Digitalisierungsgrad und will seine Eigenständigkeit bewahren.
Welche Arten von Angriffen beobachten Sie vor allem?
Die meisten Vorfälle sind krimineller Natur, bei denen es nur um Geld geht. Die klassische Kriminalität verlagert sich zunehmend ins Netz. Es gibt viele Phishingkampagnen gegen Einzelpersonen. Das ist quasi der «digitale Enkeltrick». Diese Methoden stellen für die breite Bevölkerung eine Bedrohung dar. Firmen wiederum werden immer wieder Opfer von Ransomware, also Erpressungsfällen, bei denen Daten verschlüsselt und nur gegen Bezahlung wieder freigegeben werden.
Wie gross ist diese Bedrohung denn wirklich?
Das Problem ist, dass es in der Schweiz bei solchen Vorfällen bislang keine Meldepflicht gibt. Wir kennen die Dunkelziffer nicht, darum sind unsere Zahlen nicht repräsentativ. Mein Wunsch wäre es, dass Firmen und Individuen begreifen, dass ihnen das Melden von Vorfällen hilft. Denn sie erhalten vom Bund Unterstützung für das weitere Vorgehen – und wir können die grossen Trends besser erfassen.
Das grosse Schreckensszenario sind ja Angriffe auf kritische Infrastrukturen: Elektrizitäts- und Wasserwerke et cetera.
Natürlich werden auch Infrastrukturen wie Stromversorgung, Mobilfunk oder Spitäler immer wieder zum Ziel, und der Schaden kann tatsächlich sehr gross sein. Aber wir müssen bei solchen Extremszenarien aufpassen. Es braucht eine sehr starke Motivation, um ein Land so zu schädigen. Dabei spielt die geopolitische Situation eine Rolle. Hier wird Cybersicherheit richtig spannend: Wir denken dann nicht mehr bloss in einem digitalen, technischen Raum.
Gerade im Zuge der Coronakrise lief vieles plötzlich digital: bei der Arbeit, in der Schule, im Privatleben. Die Angst war, dass das auch zu mehr digitalen Angriffen führt. Hat sich diese Angst bestätigt?
Nein, die Intensität der Vorkommnisse ist etwa ähnlich wie vorher. Viele Angriffe haben aber das Coronathema aufgenommen und zum Beispiel im Namen des BAG mit Schadsoftware versehene Mails verschickt.
Was hat der Bund dagegen unternommen?
Wir haben versucht, die richtigen Stellen schnell und gezielt zu informieren und Warnungen für die Öffentlichkeit herauszugeben. So etwa haben wir sehr schnell Guidelines zur sicheren Arbeit im Homeoffice veröffentlicht. Ich denke, es ist auch positiv, dass wir uns jetzt alle mit dem Thema Cybersicherheit auseinandersetzen müssen.
Warum?
Ich erlebe oft, dass Sicherheit als rein technische Sache angesehen wird. Das ist völlig falsch. Sicherheit ist nicht bloss Aufgabe der «Techies», sie geht uns alle an. Wir müssen uns von der Idee verabschieden, dass es für Cybersicherheit einfach eine Spezialistin gibt, die dann schon weiss, was zu tun ist.
Aber wir können doch nicht alle Experten für Cybersicherheit werden.
Natürlich nicht. Aber es wäre wichtig, sich mit der Technik auseinanderzusetzen. Die Welt wird digitaler, und wir alle müssen die Risiken und den Nutzen selber abwägen. Das ist ein gesamtgesellschaftlicher Prozess. Die Aufgabe des Bundes ist es, unterstützend zu wirken, zum Beispiel mit allgemeinen Informationen, die für konkrete Adressaten wie Schulen aufbereitet werden. Daran arbeiten wir.
Der Bundesrat hat vor einem Monat zwanzig zusätzliche Stellen für den Bereich Cybersicherheit gesprochen. Wozu braucht es diese?
Wir möchten vor allem die Strukturen im NCSC stärken, indem Melani ausgebaut und ein Expertenpool aufgebaut wird. Es betrifft jedoch auch die Verbindung zur Strafverfolgung, damit Betroffene schnell Hilfe von der Polizei erhalten können. Aber es betrifft auch die konkrete Präventionsarbeit, zum Beispiel in Form von Schulungen. Eine Schreinerei hat da ganz andere Anforderungen als eine Apotheke oder ein Logistikunternehmen.
Wünschen Sie sich noch mehr Stellen und Kapazitäten?
Es stört mich, dass bloss über die Anzahl Stellen diskutiert wird – und nicht über die nötige und erbrachte Leistung. Mehr Leute gehen immer, aber ich möchte messen, was wir mit wie vielen Menschen tatsächlich erreichen können. Dann können wir auch zeigen, was zusätzliche Stellen wirklich bringen würden. Ich denke, es ist eine realistische Einschätzung, dass wir in Zukunft noch mehr Stellen brauchen werden. Aber am Ende ist es auch Aufgabe der Politik und der Gesellschaft, zu sagen, welche Risiken sie eingehen möchte.
Florian Schütz
Im August 2019 hat Florian Schütz (38) die neu geschaffene Stelle des Delegierten des Bundes für Cybersicherheit angetreten. Nach seinem Informatikstudium an der ETH Zürich arbeitete er knapp zehn Jahre bei der Ruag – unter anderem als Leiter des Bereichs Cybersicherheit. Zuletzt leitete er bei Zalando in Berlin den Bereich IT-Risiko und -Sicherheit.