Florian Schütz vom NCSC im Interview

Wie Familienunternehmen und Start-ups zur Cybersouveränität beitragen

Uhr
von Coen Kaat

Kein Staat agiert komplett alleine. Abhängigkeiten und Vernetzungen gibt es immer - auch im Cyberraum. Wie die Schweiz eine möglichst grosse Handlungsfreiheit erreicht und welchen Beitrag die Privatwirtschaft und die Start-up-Szene dazu leisten, sagt Florian Schütz, Delegierter des Bundes für Cybersicherheit.

Florian Schütz, Delegierter des Bundes für Cybersicherheit, Leiter des Nationalen Zentrums für Cybersicherheit (NCSC) und designierter Direktor des neuen Bundesamtes für Cybersicherheit. (Source: zVg)
Florian Schütz, Delegierter des Bundes für Cybersicherheit, Leiter des Nationalen Zentrums für Cybersicherheit (NCSC) und designierter Direktor des neuen Bundesamtes für Cybersicherheit. (Source: zVg)

Was verstehen Sie unter "Cybersouveränität"?

Florian Schütz: Es gibt durchaus unterschiedliche Definitionen dieses Begriffs. Schlussendlich bedeutet Cybersouveränität, dass ein Staat eine möglichst grosse Handlungsfreiheit bei seinen Entscheidungen im Cyberraum hat. In der Realität wird diese Handlungsfreiheit beispielsweise durch Abhängigkeiten eingeschränkt, die aufgrund der hohen Vernetzung unvermeidbar sind.

Also reden wir von der Unabhängigkeit eines Staates im Cyberraum?

Dass ein Staat vollständig unabhängig agiert, ist unrealistisch - das gilt nicht nur für den Cyberraum. Wenn wir Souveränität auffassen als die Fähigkeit eines Staates, sämtliche benötigten Dienstleistungen und Güter selbst herstellen zu können, gäbe es keine souveränen Staaten. Denn wir leben in einer global vernetzten Welt. Menschen bewegen sich über Grenzen hinweg; sie konsumieren Güter aus dem In- und im Ausland. Folglich wird es immer Abhängigkeiten geben - sei es beim Strom, bei Lebensmitteln oder anderen Konsumgütern. Wenn wir Cybersouveränität auf die Idee dieser totalen Unabhängigkeit reduzieren, werden wir der Komplexität des Themas nicht gerecht. Die Welt ist verbunden; das war sie schon immer.

Nehmen wir an, die Schweiz erkennt ein Problem für ihre Cybersouveränität. Welche Mittel und Möglichkeiten hat sie, um diesbezüglich aktiv zu werden?

Hier gibt es keine Schwarz-Weiss-Antworten. Je nachdem, was der Ursprung des Problems ist, gibt es verschiedene Massnahmen, die in Frage kommen könnten. Wenn es beispielsweise darum geht, dass wir auf eine Kryptografiekomponente aus dem Ausland angewiesen sind, stellt sich die Frage, ob wir diese auch selbst herstellen könnten. Haben wir in der Schweiz die Expertise und die Ressourcen dafür? Und sind wir auch bereit, das Geld zu investieren, um diese Komponente selbst herzustellen? Im Bereich der Kryptografie und auch schon der Quantenkryptografie sind wir recht gut aufgestellt. Wir haben brillante Köpfe an den Hochschulen und auch einige Firmen, die sich in dem Bereich etablieren. Ein anderes Beispiel sind Start-ups in der Schweiz. In den Bereichen IoT und Cybersecurity haben wir hierzulande Jungunternehmen, die sehr spannende Technologien anbieten. Allerdings oft in Nischen, in denen die Finanzierung und Skalierung eine Herausforderung ist. Den Schweizer Markt können sie gut abdecken. Aber der Schweizer Markt ist ein sehr eigener Markt. Auf dem internationalen Spielfeld herrscht ein ganz anderer Wettbewerb. Wie schaffen wir es also, einerseits Start-ups im Land zu behalten, die Technologien produzieren, die für uns als Staat attraktiv sind und andererseits sicherzustellen, dass diese Unternehmen ihre Lösungen weltweit verkaufen können? Denn nur so können sie wachsen und sich selbst finanzieren, so dass der Staat dies nicht übernehmen muss.

Der Cyber-Defence Campus von Armasuisse bietet ein Förderprogramm für Start-ups im Bereich Cybersecurity an. Wie aktiv ist die Schweiz darüber hinaus bei der Start-up-Förderung? 

Abgesehen von diesem Förderprogramm unterstützt der Cyber-Defence Campus auch die Erforschung von Technologien, die noch nicht marktreif sind. Eine grosse Herausforderung insbesondere für Start-ups ist jedoch das Beschaffungswesen, weil die öffentliche Beschaffung sehr streng reguliert ist. 

Das könnte Sie auch interessieren: Mehr zur Start-up-Förderung des Cyber-Defence Campus sowie dessen Forschungsschwerpunkte lesen Sie hier im Interview mit Bernhard Tellenbach, Leiter des Forschungsprogramms Cybersicherheit beim Cyber-Defence Campus von Armasuisse Wissenschaft und Technologie sowie Leiter der Cybersecurity-Themenplattform und Mitglied des Advisory Boards im Bereich Cybersecurity der SATW.

Ich glaube nicht, dass wir in der Schweiz Unicorn auf Unicorn fabrizieren werden.

Was bedeutet dies für Start-ups?

Das heisst, dass man es sich als Start-up gut überlegen muss, ob man die begrenzten Ressourcen und Zeit investieren will, um den Bund als Kunden zu gewinnen. Oder ob man sich nicht lieber andere Kunden sucht, die weniger Aufwand bereiten. Hier sollten wir uns noch mehr Gedanken darüber machen, welche Rolle der Bund spielen sollte. Muss der Bund zwingend der erste Kunde sein? Oder gibt es auch andere gute Förderprogramme, etwa aus der Finanzwelt? Ausserdem haben wir in der Schweiz sehr erfolgreiche Familienunternehmen, die auch einen Beitrag zu dieser Diskussion leisten könnten. 

Was haben Familienunternehmen damit zu tun?

Ich denke nicht, dass wir in der Schweiz Unicorn nach Unicorn fabrizieren werden, wie es etwa im Silicon Valley oder in Israel der Fall ist. Hier in der Schweiz haben wir eine Tradition von Familienunternehmen, die auch grössere Wirtschaftskrisen überstehen können. Gerade im Bereich der Cybersicherheit könnten Unternehmen von diesem langfristigen Planen und Denken der Familienunternehmen profitieren. Wie aber transportieren wir die Expertise, die diese Patrons aus den traditionsreichen Industrien haben, in die modernen Cybersecurity-Start-ups, die ja teilweise stark in ihrer eigenen Bubble unterwegs sind?

Haben Sie zufälligerweise schon eine Idee, wie dieser Wissenstransfer funktionieren könnte?

Wenn ich die richtige Lösung hätte, hätte ich sie schon implementiert. Aber ich schätze einfache Ideen (lacht): Sie könnten sich einfach alle zusammen in einen Raum setzen und sich austauschen. Dies sollte auch aus der Wirtschaft selbst noch mehr gefördert werden. Der Staat soll ja nicht der Wirtschaft diktieren, was sie machen muss. Unsere Aufgabe ist es, die Rahmenbedingungen zu schaffen. 

Was gehört alles zu dieser Aufgabe des Bundes dazu?

Die Politik muss sagen, wo wir die Mittel investieren wollen. In die Start-up-Förderung? In eine Cyberabwehr? Oder in die Ausbildung? Im Zusammenhang mit der Souveränität wird die Diskussion um Cyber zu oft auf "Wir werden angegriffen; wir müssen uns verteidigen!" reduziert. Das ist ein reaktiver Ansatz. Der ist zwar auch wichtig. Aber um als Staat einen Vorteil zu erringen, um diese Abhängigkeiten abzubauen und Goodwill zu schaffen, müssen wir viel proaktiver werden. Dafür schauen wir beispielsweise auf unser Bildungssystem. Das ist bereits sehr solide. Wir haben sehr gut ausgebildete IT-Fachkräfte auf allen verschiedenen Ausbildungsniveaus. Aber setzen wir diese Fachkräfte richtig ein? Aus meiner Sicht gibt es noch immer zu wenig Personen mit einem IT-Background in den Geschäftsleitungen der Schweizer Unternehmen. Wenn IT ein Kernelement des Geschäfts ist, muss die IT auch in der Geschäftsleitung vertreten sein. 

Welche weiteren Möglichkeiten gibt es, die Problematik solcher Abhängigkeiten zu verringern?

Diplomatische Beziehungen und Wirtschaftsmechanismen. Die Hypothese lautete bisher ja, dass die Globalisierung sicherstellt, dass die Lieferkette funktioniert. Das sehen wir beispielsweise bei der Chipfertigung. Es gibt heute zwei Firmen, die Chips im 5-Nanometer-Fertigungsprozess herstellen können. Das sind Samsung in Südkorea und TSMC in Taiwan. Es gibt eine Firma in den Niederlanden, die die dafür benötigten Maschinen produzieren kann und nur sehr wenige Firmen, die die Software dafür programmieren können. Diese globale Verteilung stellt die Verfügbarkeit dieser Chips im Westen sicher, auch wenn es dort keine Produktionsanlagen gibt. Und in so einem System ist kein Staat daran interessiert, an diesem Gerüst zu rütteln. Jetzt aber sehen wir, dass diese Mechanismen nicht mehr funktionieren.

Wie äussert sich das?

Jetzt sehen wir mit der Regionalisierung die Gegenbewegung. Aufgrund von aktuellen geopolitischen Ereignissen beginnen wir damit, in Europa und in den USA Produktionsanlagen für solche Chips aufzubauen. Nun geht es darum, Anreize zu schaffen, damit wir Zugang zu diesen Gütern erhalten. Dabei spielt auch das Soft-Power-Konzept eine Rolle.

Können Sie dieses Konzept kurz erläutern?

Soft Power, wie es von Joseph Nye Jr. definiert wurde, steht im Gegensatz zu Hard-Power-Konzepten wie etwa militärische Interventionen. Es geht darum, die Absichten anderer Staaten beispielsweise auf Grundlage der kulturellen Attraktivität oder mittels international angesehener Institutionen zu beeinflussen, ohne dass man auf Sanktionen oder militärische Bedrohungen zurückgreifen muss. Wie kann man - während man nach den Regeln spielt - Abhängigkeiten so gestalten, dass es nicht im Interesse der anderen Partei ist, mir zu schaden? Es geht also darum, klassische Win-Win-Situationen zu schaffen.

Welche Rolle spielt die Privatwirtschaft, wenn es um die Cybersouveränität der Schweiz geht?

Eine sehr wichtige. Die Schweiz braucht eine solide IT- und eine solide Sicherheitsindustrie. Denn das gibt der Schweiz einerseits Handlungsfreiheit, weil wir die Güter und Innovationen im eigenen Land haben und andererseits sorgt dies dafür, dass es weniger Interessen gibt, der Schweiz zu schaden. Weil andere Länder dann auf Schweizer Wirtschaftserzeugnisse angewiesen sind. 

Inwiefern erwarten Sie von der Privatwirtschaft, dass sie sich Gedanken über derartige Abhängigkeiten und der Souveränität des Landes macht, statt dass sie einfach ökonomisch am sinnvollsten operiert?

Der Bund schafft die Rahmenbedingungen, die der Privatwirtschaft die Freiheit gibt, selbst zu denken und zu entscheiden, solange der Wettbewerb fair bleibt. Das ist eine Stärke der Schweiz: Der Bund will der Wirtschaft möglichst viele Freiheiten lassen. Das gilt auch für den Cyberbereich. Sehr oft wird das Bedürfnis an mich herangetragen, dass der Staat die Bevölkerung oder die Wirtschaft schützen solle. Aber das ist im Cyberraum nicht die primäre Aufgabe des Staates. Wenn man vergisst, die Haustüre abzuschliessen, würde ja auch niemand erwarten, dass der Staat einen Wächter vor dem Haus stationiert, damit nur die richtigen Personen durch die Tür kommen.

Wir müssen mutiger werden, um die grossen Innovationen zu ermöglichen.

Welche Chancen haben Schweizer Unternehmen auf dem globalen Markt?

Die Schweizer Bescheidenheit steht den Unternehmen hier vielleicht im Weg. Es gibt hierzulande sehr kompetente Personen und Firmen, die sich aber zurückhalten, weil sie sich selbst unterschätzen. Es gibt zu wenige, die sagen: "Ich hole mir den globalen Markt!" Cyber ist ein sehr lauter Markt. Wer zu bescheiden ist, riskiert schlicht nicht gehört zu werden. Ich sage jedoch nicht, dass man einfach laut sein soll. Diesbezüglich können wir sicherlich noch Fortschritte machen. Andererseits sehe ich auch Firmen, die sich selbst loben, obwohl dies im Vergleich zur globalen Konkurrenz nicht gerechtfertigt ist.

Ich vermute, Namen wollen Sie nicht nennen …

Nein, Namen werde ich nicht nennen. Es gibt durchaus Schweizer Firmen, die ins Ausland expandiert sind und es beispielsweise auf dem deutschen Markt mit den grossen internationalen Playern aufnehmen. Aber generell müssen wir in der Schweiz wieder mutiger werden, um die richtig grossen Innovationen zu ermöglichen. Das ist längst überfällig.

Was meinen Sie damit?

Das World Wide Web entstand hier in der Schweiz in Genf. Aber das ist nun schon über 30 Jahre her. Es ist an der Zeit, dass wir wieder eine der grossen globalen Technologien beisteuern. Damit das gelingt, müssen wir extrem selbstkritisch sein. Wir entwickeln viele tolle Technologien; aber wir müssen uns fragen, ob das ausreicht, oder ob wir nicht noch besser sein sollten. 

Welche Rechte und Pflichten haben Nationen, wenn es darum geht, die digitalen Informationen zu verwalten, die im Cyberraum Ländergrenzen überqueren?

Diese Rechte und Pflichten sind stark abhängig von der Gesetzgebung des jeweiligen Landes. Hier in der Schweiz gilt beispielsweise seit dem 1. September das revidierte Datenschutzgesetz. 

Cyber ist ein sehr lauter Markt. Wer zu bescheiden ist, riskiert schlicht nicht gehört zu werden.

Wie handhabt der Bund selbst das Thema Datenhoheit?

Auch bei Bundesdaten stellt man sich die Frage, was man selbst hostet und was man auslagert. Ganz heikle Daten bewahrt man als Staat natürlich am besten bei sich selbst. Ob dies in einer Private Cloud oder auf einem klassischen Client Server geschieht, ist für mich mehr ein Architekturthema. Wichtig ist, dass sich diese Daten auf den eigenen Maschinen im eigenen Serverraum befinden. Aber auch das ist kein Garant, denn hinter diesen Geräten steht ebenfalls eine Lieferkette. Irgendwo wurden sie produziert und irgendwie kamen sie in den Serverraum. Nur weil die Metallboxen nun im eigenen Serverraum stehen, sind die Daten darauf nicht zwingend sicherer, als wenn ich sie an einen Dienstleister herausgebe. Man hat zwar mehr Kontrolle darüber, aber man muss auch in der Lage sein, diese Kontrolle auszuüben. 

Und bei Daten, die nicht so heikel sind?

Wenn es um Daten geht, bei denen das Missbrauchspotenzial sehr klein ist, könnte man die Daten in der Schweiz lagern, aber mit einem internationalen Anbieter zusammenarbeiten. Solange die Daten in der Schweiz gespeichert sind, kommt auch unsere Gesetzgebung zum Tragen. Hier gibt es jedoch teilweise juristische Unsicherheiten, etwa wenn es um den US Cloud Act geht. Es gibt ja aktuell kein Cloud Act Agreement zwischen den USA und der Schweiz. Das heisst, es ist nicht klar geregelt, was geschieht, wenn die USA Zugriff auf gewisse Daten möchten und die Schweiz "Nein" sagt. Dieses Thema wird immer wieder sehr emotional diskutiert, weil die Angst vor Spionage aufkommt 

Betrachten Sie den Cloud Act als problematisch für die Cybersouveränität der Schweiz?

Aus meiner Sicht sollten wir den Cloud Act nicht einfach so übernehmen. Da muss man verhandeln. Die Frage lautet hier natürlich, wie viel Gewicht kann die Schweiz an den Verhandlungstisch bringen. 

Als Sie noch kein halbes Jahr als Delegierter des Bundes für Cybersicherheit tätig waren, sprachen Sie bereits an einem SATW-Event über das Thema Cybersouveränität. Damals plädierten Sie dafür, dass Schweizer Unternehmen sich mehr Gedanken zu dem Thema machen sollten. Haben die Unternehmen schon darüber nachgedacht? Und auch schon genug? 

Ich denke, dass man sich zwar unterdessen mehr Gedanken zur Cybersouveränität macht, aber noch nicht in einer ausreichend strukturierten Form. Wir sind noch nicht auf dem richtigen Niveau, das es uns erlauben würde, bei diesen Diskussionen richtig in die Tiefe zu gehen. Das sind aus meiner Sicht die meisten anderen Länder allerdings auch noch nicht. 

Was sind die grössten Stärken der Schweiz in diesem Zusammenhang? Kryptografie haben Sie ja bereits erwähnt.

Das Projekt SCION mit dem neuen Routing-Protokoll finde ich sehr spannend. Dieses Projekt hat durchaus eine Chance, dass man es global positionieren könnte. Denn es adressiert ein Bedürfnis, das alle Länder haben. Ferner gibt es auch interessante Ansätze im Bereich Trusted Computing von Firmen und Hochschulen. Dabei geht es darum, Berechnungen in der Cloud durchzuführen, ohne dass der Cloud Provider weiss, was man berechnet - und auch zu beweisen, dass dieser nicht darauf zugreifen kann.

Das könnte Sie auch interessieren: Die SCION-Architektur soll das Internet selbst weniger anfällig für Angriffe machen. Im Interview sagt Marcel Keller, CEO der SCION Association, weshalb das reguläre Internet nicht genügt, was SCION anders macht und wieso dies auch für Unternehmen interessant ist.

Ab 2024 wird das NCSC zu einem Bundesamt unter Ihrer Leitung als Direktor. Was ändert sich damit für Sie?

Ich sage mal, dass sich nicht sehr viel ändern wird. Aber im Nachhinein werde ich dann wohl schlauer sein (lacht). Im Grunde genommen handelt es sich ja um eine Weiterentwicklung des bestehenden NCSCs und nicht um eine neue Ausrichtung. Ein Bundesamt zu sein, wird unsere Wahrnehmung im Bund stärken. Denn das ist eine bekannte Struktur. Das NCSC lag bisher ein wenig quer in der Landschaft. Ich bin direkt der Departementsvorsteherin des Eidgenössischen Finanzdepartements (EFD) angehängt, aber meine Mitarbeitenden sind eigentlich beim Generalsekretariat des EFD angesiedelt. Meine Hoffnung ist, dass das NCSC weiterhin zeigen kann, dass wir noch mehr leisten können und wollen..

Teil meiner Vision ist es, dass das NCSC beginnt, sich wie eine Unfalluntersuchungsstelle zu verhalten.

Was ist Ihr Plan für das NCSC?

Zu meinem Job gehört es auch, die nötigen Informationen zur Verfügung zu stellen. Und hier habe ich eine Vision. Das NCSC soll zu der Plattform werden, die alle diese Informationen verfügbar macht. Ich nenne es halb scherzend "das Amazon für Cybersecurity". Wer auf Amazon ein Buch sucht, erhält sogleich Vorschläge für andere Produkte, die zu dem Buch passen würden. Wenn ein CEO einer Firma die Plattform des NCSC besucht, soll er spezifisch die Informationen sehen, die für seine Branche relevant sind. Diese Informationen müssen und können nicht alle vom NCSC erstellt werden. Wir könnten unsere Daten aber mit nichtkommerziellen Informationen, die beispielsweise von der SATW oder anderen Organisationen stammen, ergänzen. 

Das NCSC arbeitet bereits mit anderen Plattformen zusammen wie etwa das Projekt ITsec4KMU aus Zug oder iBarry von der Swiss Internet Security Alliance. Sollen alle diese Projekte gemäss ihrer Vision unter dem Banner des NCSC zusammengezogen werden?

Es ist in Ordnung, wenn es verstreut bleibt. Schliesslich ist auch dies ein Markt - wenn auch kein kommerzieller. Es gibt ein Angebot und eine Nachfrage. Solange diese Nachfrage gestillt wird, finde ich das super. Denn dann muss ich nicht zusätzlich noch aktiv werden. Wenn eine gemeinnützige Organisation diese Informationen verbreitet, ist es für mich oft lohnender, diese Organisation zu unterstützen. Wie etwa bei den Sensibilisierungskampagnen, die wir gemeinsam mit iBarry organisieren. Es gibt ja auch genügend Raum für spezialisierte Plattformen, die über spezialisiertes Fachwissen in ihren vertikalen Märkten verfügen. Diese Plattformen müssen ihren Freiraum haben, aber sie müssen auch in einem föderierten System verknüpft sein, so dass wir die Informationsflüsse sicherstellen können. So haben wir auch das Swiss Financial Sector Cyber Security Center (FS-CSC) organisiert. Für mich ist das FC-CSC ein Paradebeispiel dafür, wie wir künftig auch andere kritische Sektoren abdecken könnten. 

Können Sie das noch etwas erläutern?

Wenn das FS-CSC Risiken im Finanzsektor entdeckt, kann es uns darüber informieren. Wir leiten daraus ab, was beispielsweise auch für den Energiesektor relevant ist. Zugleich leiten wir die Risikoanalysen auf einer globalen Ebene an das FC-CSC weiter, das diese Informationen für den Finanzsektor aufbereitet. 

Wie kann das NCSC ferner noch zur Souveränität der Schweiz beitragen?

Teil meiner Vision ist es auch, dass das NCSC beginnt, sich wie eine Unfalluntersuchungsstelle zu verhalten. Wenn ein Flugzeug abstürzt, schiebt man die Schuld auch nicht einfach auf das ausgefallene Triebwerk und verspricht, künftig bessere zu bauen. Nein, man untersucht sehr genau, weshalb das Triebwerk ausgefallen ist. War vielleicht der Servicetechniker übermüdet, weil er zu viele Flugzeuge bearbeiten musste? Gab es einen Materialfehler in dieser einen Charge? Oder in allen? Diese Analysen können wir als staatliche Aufgaben durchführen. 

Wie würde es aussehen, wenn wir dieses Schema auf die IT übertragen?

Betrachten wir doch das Beispiel Log4j. Von dieser Sicherheitslücke in einer Java-Bibliothek waren zahlreiche Firmen betroffen, was alle schliesslich sehr viel Geld kostete. Diese Komponente wurde im Wesentlichen von drei Personen in ihrer Freizeit entwickelt. Als das bekannt wurde, kam schnell die Meinung auf, dass das so ja gar nie hätte funktionieren können. Viel interessanter finde ich aber die Frage, ob die Entwickler diesen Fehler hätten verhindern können, wenn sie diese Arbeit nicht in ihrer Freizeit gemacht hätten. Und wieso haben sie nicht Vollzeit daran gearbeitet? Aus Nettigkeit? Oder weil sie sich damit das Leben nicht finanzieren konnten? Wenn wir in puncto Souveränität Fortschritte machen wollen, müssen wir uns überlegen, was die Schweiz solchen Entwicklern bieten kann, die vielleicht nicht als Freelancer aber trotzdem unabhängig arbeiten wollen. Aus diesen Überlegungen können wir anschliessend politische Lösungen ableiten, mit denen wir wiederum die Rahmenbedingungen für die Privatwirtschaft schaffen können, damit diese die Innovation vorantreiben. Und in Summe wirkt sich dies positiv auf die Cybersouveränität aus.

Webcode
WECQ6WmP