"Der Bund will eine deutlich aktivere Rolle übernehmen"
Ein intelligent orchestrierter, mehrschichtiger Cyberangriff auf systemkritische Infrastrukturen – das ist ein nach wie vor realistisches und beunruhigendes Szenario in der digitalisierten Welt. Die Redaktion sprach darüber mit Peter Fischer, Leiter Informatiksteuerungsorgan des Bundes (ISB).
Bei den Nationalen Strategien zum Schutz der Schweiz vor Cyberrisiken (NCS) sind Bestrebungen des Staates spürbar geworden, der Gefahr eines Cyberangriffs auf systemkritische Infrastrukturen zu begegnen. Wo liegt derzeit der Fokus?
Peter Fischer: Der Schwerpunkt der nächsten Monate liegt auf dem Aufbau des Kompetenzzentrums Cybersicherheit des Bundes und die Verstärkung der strategischen Steuerung durch den Bundesrat. Die Wichtigkeit des Themas unterstrich der Bundesrat auch dadurch, dass er mit Florian Schütz einen Delegierten des Bundes für Cybersicherheit ernannte. Anfang August trat Florian Schütz seine Arbeit als strategischer Leiter des neu geschaffenen Kompetenzzentrums für Cybersicherheit an. Unter seiner Führung wird das Kompetenzzentrum laufend erweitert. Unter anderem wird es eine nationale Anlaufstelle beinhalten, die Meldungen von Bürgern und Unternehmen entgegennimmt, Warnungen und Einschätzungen zu aktuellen Bedrohungen herausgibt sowie Bevölkerung und Wirtschaft darüber informiert, wie sie sich gegen Cyberrisiken schützen können. Die Anlaufstelle basiert auf der bestehenden Melde- und Analysestelle Informationssicherung (Melani), die ausgebaut wird. Der Bund will eine deutlich aktivere Rolle als bisher übernehmen, mit der Absicht, die Cybersicherheit in der ganzen Schweiz zu stärken.
Die digitale Selbstbestimmung und Cybersouveränität der Schweiz ist relevant für die Zukunft. Sich auf die nationale Ebene zurückzuziehen und das internationale Feld anderen zu überlassen, würde das Land teurer zu stehen kommen und seine Verwundbarkeit erhöhen. Wie ist Ihre Meinung hierzu?
Im vernetzten Cyberraum müssen Konzepte wie die Souveränität neu gedacht werden. Eine Unabhängigkeit von ausländischen Anbietern und Produzenten anzustreben, erachte ich als illusorisch. Wir müssen uns befähigen, Cyberrisiken frühzeitig zu erkennen und richtig einzuschätzen. Dafür benötigen wir exzellente Hochschulen und eine aktive Vernetzung von Fachleuten aus der Wirtschaft. Es geht um die optimale Vernetzung der Kräfte. Ein Rückzug auf die nationale Ebene kann für ein Land wie die Schweiz im Bereich Cyberrisiken keine Option sein.
Wie geht die Schweiz mit der Herausforderung um, dass die Cybersicherheit nur über internationale Zusammenarbeit verbessert werden kann, dass sich aber die Staaten gleichzeitig gegenseitig ausspionieren?
Die Schweiz arbeitet mit verschiedenen Staaten zusammen und engagiert sich in internationalen Gremien. Bei der Bekämpfung von grenzüberschreitendem Cybercrime gibt es viele Beispiele erfolgreicher internationaler Zusammenarbeit. Zugleich hat sich der Austausch zwischen den Staaten als Folge der geopolitischen Spannungen erschwert. Das gegenseitige Vertrauen wurde durch den Einsatz von Cyberspionage stark unterminiert. Auch die Schweiz sucht sich ihre Partner bei der Zusammenarbeit zur Stärkung der Cybersicherheit sorgfältig aus. Die Zusammenarbeit erfolgt situativ.
Die Cybersecurity beziehungsweise deren Sicherheitsstrategie muss zum Erreichen eines adäquaten Schutzniveaus durch alle Akteure definiert werden. Kann trotz vieler Regulierungen ein passendes Mass an Selbstregulierung auf Basis von "Best Practices" und dem "Stand der Technik" ermöglicht werden?
Der NCS liegt das für die Schweiz bewährte Verständnis einer subsidiären Rolle des Staates zugrunde. Das bedeutet primär Selbstverantwortung der Akteure, und dass der Staat grundsätzlich erst dann eingreift, wenn das Wohlergehen unserer Gesellschaft wesentlich betroffen ist und private Akteure nicht in der Lage oder nicht willens sind, das Problem selbst zu lösen. Eine zu starke Regulierung kann kontraproduktiv sein, da sich die Unternehmen für die Sicherheit nicht mehr verantwortlich fühlen. Sie wähnen sich in Sicherheit und beschränken sich darauf, die geltenden Regulierungen einzuhalten.
Gelingt es der Schweiz, den mitunter negativen Beigeschmack von Cybersecurity und den teilweise falschen Fokus auf den Kostenfaktor zu mindern?
Es findet durchaus ein Umdenken statt, und Cybersicherheit wird vermehrt auch als Chance für den Wirtschaftsstandort Schweiz wahrgenommen. Die Schweiz steht für Werte wie Verlässlichkeit, Diskretion und Neutralität, die im unsicheren Umfeld des Cyberraums immer gefragter werden. Mit unseren herausragenden Hochschulen, den bereits heute in der Schweiz ansässigen internationalen Firmen und den stabilen rechtlichen und politischen Rahmenbedingungen haben wir ideale Voraussetzungen, ein attraktiver Platz für die aufstrebende Cybersicherheits-Wirtschaft zu werden. Es ist wichtig, dass die Schweiz diese Chance aktiv nutzt.
Ist die Schweiz schläfrig geworden oder hat sie im sehr dynamischen Bereich der Cybersouveränität und Cybersecurity einfach noch Nachholbedarf?
Geschlafen hat die Schweiz nicht, es wurden viele Arbeiten erfolgreich umgesetzt. Melani unterstützt beispielsweise seit 2004 die Betreiber kritischer Infrastrukturen beim Schutz vor Cyberrisiken. Es ist aber sicher richtig, dass die Schweiz – wie übrigens viele andere Staaten auch – im Bereich Cybersicherheit Handlungsbedarf hat. Uns stehen nach wie vor im internationalen Vergleich sehr wenige Ressourcen zur Verfügung. Mit dem Entscheid des Bundesrats vom Januar dieses Jahres zur Schaffung eines Kompetenzzentrums für Cybersicherheit unter der Leitung eines Delegierten für Cybersicherheit, sind aber nun die Voraussetzungen vorhanden, dass der Bund mehr Durchschlagskraft in diesem Bereich erhält. Der Aufbau des Kompetenzzentrums für Cybersicherheit hat beim Bundesrat eine hohe Priorität und verläuft nach Plan.
Es gilt, die Cybersicherheit der Bürger, von KMUs, von systemkritischen Infrastrukturen und des Bundes zu stärken. Reicht das Geplante? Oder braucht es mehr?
Die Breite an verschiedenen Aufgaben, kombiniert mit der sehr hohen Dynamik macht eine längerfristige strategische Planung tatsächlich schwierig. Die NCS gibt Massnahmen für einen Zeithorizont von fünf Jahren vor. Das scheint uns eine realistische Vorgabe, damit Massnahmen überhaupt entwickelt und umgesetzt werden können. Es ist jedoch klar, dass in den fünf Jahren der Strategieumsetzung weitere Massnahmen dazukommen und sich neue Themen ergeben können. Es ist die Aufgabe aller beteiligten Stellen von Bund, Kantonen, Wirtschaft und Hochschulen, solche neuen Themen oder Massnahmen frühzeitig zu identifizieren und die nötigen Aktivitäten zeitnah anzugehen.
Weltmächte wie die USA, China, Indien und Russland scheinen das Internet, die Cloud, den Cyberraum und künstliche Intelligenz beherrschen zu wollen. Schafft es die Schweiz, mindestens die Cybersouveränität mit einem gut austarierten Mass an Cybersecurity zugunsten der digitalen Assets weiterzuentwickeln?
Wir beobachten diesen Trend zu einer Verschiebung der Machtpolitik in den Cyberraum seit einigen Jahren. Insgesamt ist die Entwicklung zu bedauern, weil sie der ursprünglichen Idee des Internets als freies und globales Verbindungsnetz zuwiderläuft und natürlich auch die Zusammenarbeit zwischen den Staaten erschwert. Die Schweiz setzt sich dafür ein, dass das Internet möglichst allen zugänglich bleibt und nicht durch einzelne Mächte oder Firmen dominiert wird. Obwohl die Schweiz kaum zur umfassenden Cybermacht werden wird, hat sie in Teilbereichen der Cybersicherheit einiges zu bieten und kann damit ihren Standort stärken.
Wie ist aus Ihrer Sicht der Spagat zwischen Privatsphäre und Schutz der digitalen Identität einerseits und Cybercrime oder Cybersouveränität andererseits zu schaffen?
Es ist nicht nur ein einzelner Spagat, der zu schaffen ist, sondern es sind gleich mehrere. Die digitale Transformation führt zu unzähligen neuen Chancen, birgt aber eben auch viele neue Risiken. Wir wollen die Chancen realisieren und die Risiken in vertretbarem Mass halten. Das ist ein ständiges Abwägen. Bei vielen entscheidenden Fragen gilt es, in der Gesellschaft einen stabilen Grundkonsens zu entwickeln. Das ist auch eine Wertediskussion. Die basisdemokratische DNA der Schweiz kann dabei helfen.
Ist die Unaufgeregtheit, Resilienz und zumindest bisherige Gelassenheit der Schweizer Unternehmen förderlich im Tsunami der Digitalisierung und des Cybercrime?
Tatsächlich halte ich es für wichtig, in der Cyber-Thematik kühlen Kopf zu wahren und die Risiken sachlich abzuwägen. Es ist manchmal nicht einfach, zwischen echten und vermeintlichen Bedrohungen zu unterscheiden. Es gibt unzählige echte und angebliche Experten und ebenso viele unterschiedliche Expertenmeinungen zur Cybersicherheit. Es ist darum zu begrüssen, wenn sich Unternehmen ihr eigenes Urteil bilden, denn sie selbst kennen ihre Geschäftsrisiken am besten. Voraussetzung dafür ist natürlich, dass die Unaufgeregtheit auf eine fundierte Risikoanalyse zurückzuführen und mit Massnahmen verbunden ist. Sie darf nicht auf einer "Vogel-Strauss"-Taktik beruhen, bei der mögliche Risiken einfach ignoriert werden.
Bedrohungslagen rund um Cybersecurity fordern zunehmend ihren Tribut. Data Breaches oder Hacks bei Unternehmen zeigen teilweise grosse Defizite auf, verursachen Reputationsschäden und mitunter auch massive Verluste an der Börse. Braucht es hier Neubewertungen von systemkritischen Infrastrukturen, geschäftskritischen Prozessen, Risikomanagement-Systemen und Unternehmen je nach Risiko und Exposition?
Ja, eine laufende Neubeurteilung der Risiken ist sehr wichtig und eine Daueraufgabe. Im Rahmen der NCS haben wir bei den systemkritischen Wirtschaftssektoren wie zum Beispiel Energieversorgung, Gesundheitswesen, Telekommunikation oder Finanzmarkt zusammen mit Wirtschaftsvertretern Risiko- und Verwundbarkeitsanalysen zu Cyberrisiken durchgeführt. Daraus abgeleitet haben die Sektoren für sich die wichtigsten Massnahmen identifiziert. Im Sinne eines "Plan-Do-Check-Act"-Prozesses werden wir in den nächsten Jahren diese Massnahmen umsetzen und die Risikoanalysen kontinuierlich überarbeiten.