«Je stärker ein Unternehmen digitalisiert ist, desto mehr gerät es in den Fokus»

Florian Schütz, seit zwei Jahren befassen Sie sich im Auftrag des Bundes mit Cyberrisiken. Welches Fazit ziehen Sie?

In den vergangenen Jahren konnten wir das Bewusstsein für das Thema Cybersicherheit in der Bevölkerung und den Firmen schärfen. Doch wir merken noch immer grosse Unterschiede bei der Cybersicherheit – gerade bei Firmen. Zum einen gibt es jene, die schlecht vorbereitet sind und noch immer finden, dass Cybersicherheit für sie nicht zentral ist. Zum anderen nehmen Unternehmen das Thema ernst und investieren in diesen Bereich. Schaut man die Schweiz als Ganzes an, liegen wir bei der Cybersicherheit etwa im Mittelfeld. Es liegt also noch viel Arbeit vor uns.

Warum ist das so?

Gerade in der Wirtschaft wird die IT noch zu sehr als reiner Support wahrgenommen. Sie hilft bei der Finanzbuchhaltung, sie kommt bei der Kommunikation zum Einsatz. Doch die IT ist heutzutage ein wichtiger Grundpfeiler eines jeden Unternehmens. Deshalb sollten die IT-Ingenieure beispielsweise auch in der Geschäftsleitung vertreten sein, um dort Themen wie Cybersecurity einzubringen. Bei internationalen Technologiefirmen ist das schon lange der Fall.

«Die Kriminellen müssen nur eine einzige Schwachstelle finden, um ins System eindringen zu können, die Ingenieure und Ingenieurinnen dürfen jedoch keine Fehler machen.»

Sie selbst arbeiteten für Firmen wie RUAG sowie Zalando und haben über zehn Jahre Erfahrung im Bereich IT-Sicherheit. Welche Entwicklungen stehen bei diesem Thema im Vordergrund?

Besonders herausfordernd ist es, IT-Systeme zu entwickeln, die möglichst nicht verwundbar sind. Sehen Sie, es ist ein ungleicher Kampf. Die Kriminellen müssen nur eine einzige Schwachstelle finden, um ins System eindringen zu können, die Ingenieure und Ingenieurinnen dürfen jedoch keine Fehler machen.

Welche Unternehmen oder Branchen sind besonders gefährdet?

Ich würde nicht von Unternehmen oder Branchen sprechen, sondern vom Digitalisierungsgrad. Je stärker ein Unternehmen digitalisiert ist, desto mehr gerät es in den Fokus von Cyberkriminellen. Und umso grösser ist der Schaden, den diese anrichten können, indem sie zum Beispiel Personendaten stehlen.

Viele Firmen werden nach solchen Attacken, sogenannten Ransomware-Angriffen, erpresst. Entweder man zahlt, oder die Daten werden veröffentlicht oder gelöscht. Sollen Firmen auf solche Forderungen eingehen?

Nein, auf keinen Fall. Unternehmen sollen sich nicht von Cyberkriminellen erpressen lassen. Wer solche Lösegelder zahlt, unterstützt dieses Businessmodell und, noch schlimmer, die organisierte Kriminalität, die dahintersteckt. Besser ist es, sich an die Polizei oder an uns zu wenden. So kann das weitere Vorgehen besprochen werden.

Was kann ich als Firma oder Einzelperson tun, um mich vor solchen Angriffen zu schützen?

Man soll sein System immer aktuell halten. Das heisst, neben Firewall einrichten, die neusten Sicherheitsupdates von Hard- und Software herunterladen, die neuste Version des Virenschutzprogramms aktivieren. Wer seinen privaten Computer vor Angriffen schützt, der hilft auch Firmen. Denn oft werden private Computer für Attacken auf Firmen missbraucht. Auch hilft es, ein Back-up seiner Daten zu erstellen. So sind sie bei einem Angriff, aber auch bei einem Brand, nicht verloren.

Cyberrisiken gelten als schwierig einschätzbare Risiken. Der rasante Fortschritt im digitalen Bereich erschwert deren Bewertung zusätzlich. Ist eine fundierte und zeitgerechte Risikobewertung überhaupt möglich?

Das ist in der Tat nicht einfach. Durch eine Risikoanalyse lassen sich Risiken in den Geschäftsprozessen aber durchaus einschätzen. Ganz sicher ist man jedoch nie. Das will man aber auch nicht sein. Wäre das Risiko gleich null, könnte das Unternehmen nicht mehr agil sein. Zudem gibt es für verschiedene Firmen unterschiedliche Risikoprofile. Ein Start-up kann sich mehr Risiken leisten als ein alteingesessenes Unternehmen.

«Problematisch ist die organisierte Cyberkriminalität, die 80 Prozent der Kriminalität im Netz ausmacht. Allein die Ransomware-Angriffe haben in jüngster Zeit um 30 Prozent zugenommen.»

Was ist aktuell die grösste Gefahr in der IT-Sicherheit?

Es gibt nicht die eine grösste Gefahr. Problematisch ist die organisierte Cyberkriminalität, die 80 Prozent der Kriminalität im Netz ausmacht. Allein die Ransomware-Angriffe haben in jüngster Zeit um 30 Prozent zugenommen. Oft handelt es sich dabei um internationale Organisationen. Deshalb ist eine enge Zusammenarbeit mit den ausländischen Strafverfolgungsbehörden wichtig.

Wie steht es um den Schutz von kritischen Infrastrukturen, zum Beispiel dem Stromnetz? Sind diese in der Schweiz gut gegen Cyberattacken geschützt?

Es gibt unterschiedliche Entwicklungsstände. Manche kritische Infrastruktur ist gut geschützt, bei anderen besteht Nachholbedarf. Aktuell sind wir daran, eine Meldepflicht für Cybervorfälle einzurichten. So können wir in Zukunft abschätzen, welche Infrastruktur am meisten gefährdet ist. Grundsätzlich kann aber gesagt werden, dass die Motivation der Angreifer schon sehr gross sein muss, solche Einrichtungen anzugreifen. Da lässt sich auf anderen Wegen viel leichter Geld verdienen.

Kann man sich gegen solche Cyberrisiken überhaupt versichern?

Ja, es gibt Cyberversicherungen. Wie gut diese sind, das kann ich nicht beurteilen. Für manche Unternehmen kann eine solche Versicherung attraktiv sein. Wichtig ist, dass die Versicherung sich an die Spielregeln hält und auch sie nicht auf Lösegeldforderungen eingeht. Auch wenn das allenfalls günstiger ist, als die Kosten für die Wiederherstellung der Daten zu übernehmen.

Welche Rolle spielt das föderalistische System im Umgang mit Cybersicherheit?

Es hat Vor- und Nachteile. Bei Vorfällen kann die Koordination der einzelnen Kantone bei der Reaktion etwas träge sein. Auf der anderen Seite hat jeder Kanton seine Stärken. Zürich und Waadt sind stark bei der Strafverfolgung, das Tessin in der digitalen Bildung, der Kanton Zug setzt sich für Sicherheitstests von Produkten ein, um nur einige zu nennen. Wir sind daran, die Kantone noch besser zu vernetzen und sie so resilienter gegenüber Cyberangriffen zu machen.

Durch die Coronakrise gewannen flexiblere Arbeitsformen wie Homeoffice zunehmend an Bedeutung: Welche neuen Herausforderungen bringen diese in Sachen IT-Sicherheit mit sich?

Im Homeoffice vermischt sich das Privat- und das Arbeitsleben. Das hat auch Auswirkungen auf die Cybersicherheit. Oft werden daheim die Computer sowohl für Privates als auch Berufliches verwendet, was zu Sicherheitslücken führen kann, durch die Kriminelle die Firma angreifen können. Deshalb sollte man berufliche und private Geräte trennen oder der Arbeitgeber richtet einen sicheren Zugang auf die Firmen-IT-Infrastruktur ein. Auch empfiehlt es sich, den Computer zu sperren, wenn man nicht am Arbeitsplatz ist. Kinder sind neugierig und könnten allenfalls so ohne böse Absicht wertvolle Daten preisgeben.

Lassen Sie uns abschliessend noch in die Zukunft schauen: Oft wird gesagt, dass Quantencomputer zu einem grossen Sicherheitsproblem werden könnten, da sie Verschlüsselungen im Nu knacken könnten. Was halten Sie davon?

Ich bin kein Quantencomputer-Spezialist. Aber der Quantencomputer kann wiederum für Verschlüsselung benutzt werden, die sogenannte Quantenkryptografie. Wir haben dazu eine spannende Forschung in der Schweiz. Es wird interessant sein zu sehen, ob wir mit Quantencomputern für mehr Cybersicherheit in der Welt sorgen können.

Zur Person

Florian Schütz ist der Delegierte des Bundes für Cybersicherheit. Er ist Ansprechperson für Politik, Medien und Bevölkerung zu allen Fragen bezüglich des Themas. Er steht dem Nationalen Zentrum für Cybersicherheit (NCSC) vor und ist zuständig für die koordinierte Umsetzung der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS). Schütz verfügt über einen Master in Computerwissenschaft sowie einen Master of Advanced Studies in Sicherheitspolitik und Krisenmanagement der ETH Zürich.