Seit August hat der Bund einen «Mr. Cyber», der die Anstren­gun­gen im Bere­ich Cyber­sicher­heit koor­dinieren soll. Erst­mals spricht der 38-jährige Flo­ri­an Schütz über die vie­len Erwartun­gen an ihn und seine laufend­en Pro­jek­te. Und er sagt, was er sich von der Wirtschaft wün­scht.

«Offen über Cybervorfälle zu reden, ist für ein Unternehmen besser, als wenn alles später herauskommt»: Florian Schütz ist der erste Delegierte des Bundes für Cybersicherheit.

«Offen über Cybervorfälle zu reden, ist für ein Unternehmen besser, als wenn alles später herauskommt»: Florian Schütz ist der erste Delegierte des Bundes für Cybersicherheit.

Karin Hofer / NZZ

Sie kom­men aus der Pri­vatwirtschaft und arbeit­en nun in der Bun­desver­wal­tung. Was ist der grösste Unter­schied?

 
Beim Bund brauchen Entschei­de länger, weil sie bre­it­er abgestützt sein müssen. Das hat Vor- und Nachteile. Zwar kann man Mass­nah­men nicht ganz so schnell umset­zen, dafür ist die Pla­nung langfristiger und das Pro­jekt bess­er ver­ankert.

Sie kön­nen also im Ver­gle­ich zu Ihrem let­zten Arbeit­ge­ber, Zalan­do, nicht ein­fach entschei­den und umset­zen?

Auch in ein­er Fir­ma braucht es Allianzen. Aber wenn ich in einem Unternehmen die Geschäft­sleitung und den Ver­wal­tungsrat überzeugt habe, erhalte ich eine Voll­macht und kann tat­säch­lich umset­zen. In der Bun­desver­wal­tung haben wir zum einen poli­tis­che Geschäfte, bei denen man die ver­schiede­nen Departe­mente anhören muss. Zum anderen ist das Umfeld kom­plex­er. Cyber­sicher­heit ist ein Quer­schnitt­the­ma, das auch die Kan­tone, die Wirtschaft oder die Ver­bände bet­rifft. Der Bund kann nicht alleine definieren und vorgeben. Darum ist es wichtig, sin­nvolle Gren­zen zu ziehen und Schw­er­punk­te zu set­zen.

Sie sprechen die ver­schiede­nen poli­tis­chen Akteure an. Welche Erwartun­gen haben diese an Sie als «Mr. Cyber­sicher­heit»?

Die Erwartun­gen sind sehr, sehr vielfältig. Inner­halb der Bun­desver­wal­tung gibt es die Erwartung, das ver­streute The­ma stärk­er zu bün­deln, zu kanal­isieren und zu fokussieren. Das Par­la­ment wiederum erwartet, dass wir die Auf­gaben des Bun­des klar aufzeigen und sagen, welche Mit­tel es braucht und welch­er Nutzen daraus entste­ht.

Und was erwartet die Wirtschaft?

Da sind die Erwartun­gen sehr bre­it gefächert. Ein­er­seits soll der Bund aufzeigen, wo die Fir­men selb­st ver­ant­wortlich sind und wo sie Unter­stützung des Bun­des erwarten kön­nen. Ander­er­seits gibt es zum Teil die unre­al­is­tis­che Erwartung, dass wir vom Bund die pri­vat­en Unternehmen schützen kön­nen. Zusät­zlich hat die Schweiz aber auch zwei erstk­las­sige Eid­genös­sis­che Hochschulen, die erwarten, dass wir ihre Forschungsergeb­nisse in die prak­tis­che Arbeit umset­zen.

Sie wer­den einige ent­täuschen müssen.

Es ist unre­al­is­tisch, dass der Delegierte für Cyber­sicher­heit jede Fir­ma und jeden Kan­ton schützen kann. In der Schweiz gilt grund­sät­zlich die Eigen­ver­ant­wor­tung. Eben­so unre­al­is­tisch ist es, zu glauben, dass sich mit dem Startschuss des Kom­pe­tenzzen­trums für Cyber­sicher­heit alles ändern wird. Wir haben bere­its viele gute Ansätze im Bere­ich Cyber­sicher­heit. Es geht deshalb mehr darum, das Beste­hende zu kanal­isieren und Struk­turen zu schaf­fen.

Was ist die vor­dringlich­ste Auf­gabe, die Sie ange­hen müssen?

Wir haben die ersten Mass­nah­men bere­its getrof­fen. Anfang Jan­u­ar wer­den wir die Anlauf­stelle für Cyber­vor­fälle in Betrieb nehmen und diese sukzes­sive aus­bauen. Nicht nur kri­tis­che Infra­struk­turen, son­dern auch die Bevölkerung oder Unternehmen sollen sich kün­ftig im Falle eines Cyberan­griffs an sie wen­den kön­nen. Diese Öff­nung begin­nt ab Mitte näch­sten Jahres stufen­weise. Die Anlauf­stelle triagiert dann die Mel­dun­gen und teilt sie den zuständi­gen Stellen zu, sei es ein­er Stelle des Bun­des oder aber ein­er kan­tonalen Strafver­fol­gungs­be­hörde. Die Idee ist: Ich kann mich in jedem Fall an diese Anlauf­stelle melden und muss nicht wis­sen, wer genau zuständig ist.

Und wann kommt das Kom­pe­tenzzen­trum Cyber­sicher­heit, das der Bun­desrat ja bere­its vor Monat­en beschlossen hat?

Wir bauen das Nationale Zen­trum für Cyber­sicher­heit (NCSC), so der Name, im näch­sten Jahr auf. Die neu geschaf­fene Anlauf­stelle wird Teil davon. Weit­ere Stellen kom­men hinzu. So ist bere­its beschlossen, den zivilen Teil der Melde- und Analy­ses­telle Infor­ma­tion­ssicher­heit (Melani) mit dem soge­nan­nten Gov­Cert sowie die IKT-Sicher­heit des Bun­des auf Mitte 2020 oper­a­tiv mir zu unter­stellen. Bei­de sind heute im Infor­matik­s­teuerung­sor­gan (ISB) ange­siedelt. Der Reor­gan­i­sa­tion­sprozess läuft.

Und wie viel Macht wer­den Sie erhal­ten? Als der Bun­desrat in einem ersten Entscheid zum Delegierten für Cyber­sicher­heit keine Weisungs­befug­nis inner­halb der Bun­desver­wal­tung vor­sah, hat das für Kri­tik gesorgt.

Eine Weisungs­befug­nis alleine reicht nicht, auch in der Pri­vatwirtschaft nicht. Man muss überzeu­gen kön­nen. Aber sie schafft einen Vorteil, wenn es schnell gehen muss und die Zeit für Diskus­sio­nen fehlt. Wir sind derzeit daran, die Weisungs­befug­nis für meine Rolle zu definieren. Das wird in der Cyberverord­nung geschehen, die näch­stes Jahr in die Ämterkon­sul­ta­tion geht.

Das heisst, Sie wer­den gewisse zusät­zliche Befug­nisse erhal­ten?

Auf­grund der Diskus­sio­nen zeich­net sich ab, dass ich gewisse Kom­pe­ten­zen erhal­ten werde, wenn es um den Eigen­schutz der Bun­desver­wal­tung geht. Aber das Ziel ist nicht, auch von mir per­sön­lich nicht, dass ich einem Bun­de­samt bis ins Detail sagen muss, wie es arbeit­en soll. Die Ämter brauchen eine gewisse Autonomie.

Die Bun­desämter wer­den also weit­er­hin eigene Spezial­is­ten für Cyber­sicher­heit haben?

Das hängt davon ab, ob das Amt die kri­tis­che Masse dafür erre­icht. Der Bere­ich Cyber­aussen­poli­tik ist zum Beispiel so gross, dass es dort ein eigenes Team dafür gibt. Auch im Bun­de­samt für Gesund­heit wird eine Per­son für Sicher­heits­fra­gen angestellt. Daneben gibt es aber auch punk­tuell Pro­jek­te, für die ein Amt nur tem­porär Fach­wis­sen braucht. Dafür über­legen wir uns, im Nationalen Zen­trum ein Experten­pool zu schaf­fen. Die IT-Spezial­is­ten wür­den dann jew­eils einige Monate in einem Bun­de­samt arbeit­en, bis das Pro­jekt dort abgeschlossen ist.

Was ist der Vorteil dieser Lösung?

Wir kön­nen den Spezial­is­ten eine feste Anstel­lung bieten mit Auf­gaben in wech­sel­nden The­men­feldern. Sie arbeit­en ein halbes Jahr im Wirtschafts­bere­ich, dann zum Beispiel ein Jahr bei der Stromver­sorgung oder bei der Zivil­luft­fahrt. Diese Abwech­slung kann attrak­tiv sein. Gle­ichzeit­ig haben die Spezial­is­ten den kri­tis­chen Aus­tausch mit ihren Kol­le­gen im Experten­pool. Das ist wichtig für den einzel­nen Mitar­beit­er, erhöht aber auch die Qual­ität in den Pro­jek­ten.

Wie gross kön­nte dieser Experten­pool wer­den? Der Bun­desrat hat ja für das näch­ste Jahr 24 neue Stellen im Bere­ich Cyber­sicher­heit bewil­ligt.

Das kann ich noch nicht sagen. Wir müssen bis im Mai entschei­den, wie wir diese 24 Stellen verteilen wollen. Dabei ist mir wichtig, dass der Leis­tungszuwachs quan­tifiziert wird, der mit ein­er zusät­zlichen Stelle zu erwarten ist. Denn es wird auch Lück­en geben, wo wir nie­man­den anstellen kön­nen. Dort müssen wir uns über­legen, wie wir die Leis­tung trotz­dem steigern kön­nen.

Und wie soll das geschehen?

Zum Beispiel durch Automa­ti­sa­tion. Wenn wir Melani auf die Pri­vatwirtschaft ausweit­en wollen, wie das die Nationale Strate­gie zum Schutz vor Cyber­risiken (NCS) vor­sieht, dann kön­nte man die Analyse der Mel­dun­gen teilau­toma­tisieren. Diese Investi­tion belastet das Per­son­al­bud­get nicht. In der Pri­vatwirtschaft gibt es Fir­men, die haben ihren gesamten First-Lev­el-Sup­port wegau­toma­tisiert.

Sie sprechen die Unter­stützung der Wirtschaft durch Melani an. Ist das eine Auf­gabe, die der Bund übernehmen kön­nte?

Melani wurde 2004 gegrün­det zum Schutz der kri­tis­chen Infra­struk­turen und ist eine Erfol­gs­geschichte. Dort gibt es heute einen Aus­tausch von Mel­dun­gen und War­nun­gen inner­halb des geschlosse­nen Kun­denkreis­es, beste­hend aus aus­gewählten Fir­men. Melani hil­ft auch bei der Bewäl­ti­gung von Angrif­f­en und arbeit­et mit dem Bun­de­samt für Polizei und den kan­tonalen Polizeien zusam­men. Bere­its heute gibt es War­nun­gen, die sich an KMU richt­en, wenn diese in den Fokus ger­at­en. Diesen Bere­ich kön­nte man sich­er stärken und weit­er aus­bauen.

Beste­ht bei einem solchen Ange­bot nicht die Gefahr, dass sich die Unternehmen zurück­lehnen und selb­st zu wenig machen?

Doch, diese Gefahr beste­ht. Das Schweiz­er Mod­ell sieht aber vor, dass eine Fir­ma in erster Lin­ie selb­st für seine Sicher­heit ver­ant­wortlich ist. Das ist gut und richtig. Dif­feren­zieren muss man bei den kri­tis­chen Infra­struk­turen wie zum Beispiel bei der Stromver­sorgung oder im Gesund­heitswe­sen, die für die Schweiz leben­snotwendig sind. Zwar ste­hen diese Unternehmen eben­falls selb­st in der Ver­ant­wor­tung. Aber dort muss man Rah­menbe­din­gun­gen schaf­fen, damit sie diese auch tat­säch­lich wahrnehmen. Und nicht nur sagen, sie wür­den es tun.

Das bet­rifft aber nur einen kleinen Teil der Fir­men. Die meis­ten Branchen sind nicht so wichtig. Von ihnen hängt nicht der gesamte Wirtschafts­stan­dort Schweiz ab.

Auch dort muss man Anreize schaf­fen. Im Rah­men der NCS wurde zum Beispiel ein Schnell­test für KMU pub­liziert. Dies hil­ft den Unternehmen, die eige­nen Prob­lem­zo­nen zu iden­ti­fizieren. Wir müssen uns auf die Fir­men konzen­tri­eren, die sagen: Ich habe die Bedeu­tung des The­mas Cyber­sicher­heit erkan­nt, aber ich weiss nicht, was ich tun soll.

Ist das The­ma über­haupt genü­gend präsent in der Schweiz­er Wirtschaft?

Präsent ist das The­ma, ja. Aber wir kön­nen bei den Lösun­gen noch bess­er wer­den. Zum Beispiel muss ein CEO heute nicht nur Finanzrisiken ver­ste­hen, son­dern auch Cyber­risiken. Oder ein Maschi­nen­mechaniker muss bei der Aus­bil­dung etwas ler­nen über die IT-Sicher­heit des einge­bet­teten Betrieb­ssys­tems ein­er Anlage. Ich tausche mich dies­bezüglich mit den Branchen­ver­bän­den aus. Denn es gibt nicht die eine Cyber­sicher­heit für die gesamte Wirtschaft, son­dern je nach Branche unter­schiedliche Lösun­gen. Verbesserun­gen in diesem Bere­ich brauchen aber Zeit.

Was kön­nte ein nationales Prüfzen­trum für die Schweiz­er Wirtschaft beitra­gen, wie es vom IT-Dachver­band ICT Switzer­land vorgeschla­gen wurde? Also eine Art Cyber-Empa, in der Soft- oder Hard­ware auf ihre Sicher­heit geprüft wür­den?

Ich finde die Idee gut. Ein Schweiz­er Prüfzen­trum wäre sin­nvoll. Es gibt auch bere­its erste Über­legun­gen der bei­den ETH oder im Rah­men der Swiss Dig­i­tal Ini­tia­tive dazu. Dabei muss man allerd­ings berück­sichti­gen, was über­haupt mach­bar ist. Möglich wäre ein Label für die Kon­sumenten, wie es Deutsch­land ken­nt. Dieses gibt Auskun­ft, warum der eine Router bess­er ist als der andere, der 50 Euro weniger kostet.

Derzeit ste­ht auch die Über­legung im Raum, dass Fir­men verpflichtet wer­den sollen, Cyberan­griffe zu melden. Braucht es eine solche soge­nan­nte Meldepflicht?

Wir wer­den die Meldepflicht im näch­sten Jahr disku­tieren, auch poli­tisch. Es gibt einige Vorteile. Heute wis­sen wir zum Beispiel nicht, wie viele Cyber­vor­fälle es in der Schweiz gibt. Die Dunkelz­if­fer ist sehr gross, weil die Mel­dun­gen frei­willig sind. Eine Meldepflicht würde bess­er zeigen, in welchen Bere­ich wir Schwach­stellen haben. Sie kann auch helfen, andere Fir­men vor den gle­ichen Angrif­f­en zu schützen. Dies passiert heute bere­its auf frei­williger Basis im geschlosse­nen Kun­denkreis von Melani.

Also eine gute Sache?

Aus mein­er Erfahrung in der Pri­vatwirtschaft ist es immer von Vorteil, wenn man einen Angriff meldet und die Behör­den mit ein­bezieht. Die Schwierigkeit ist die Aus­gestal­tung der Meldepflicht. Die Regelung muss im Detail sin­nvoll sein. Wir dür­fen die Fir­men nicht ein­fach dazu verpflicht­en, alles Rel­e­vante zu melden. Dann fra­gen sich die Ver­ant­wortlichen nur, welche Infor­ma­tio­nen denn über­haupt rel­e­vant sind. Auch ist unklar, ob die Mel­dun­gen zen­tral­isiert erfol­gen sollen. Ins­ge­samt stellt sich für mich aber nicht die Frage, ob es eine Meldepflicht braucht. Die Frage ist in erster Lin­ie: Was will ich damit erre­ichen, und wie gestalte ich sie aus?

Viele Unternehmen wollen einen Cyberan­griff nicht melden, weil sie um ihre Rep­u­ta­tion fürcht­en.

Der Rep­u­ta­tion­ss­chaden ist die grösste Angst eines Unternehmens. Dabei gibt es Stu­di­en, die zeigen: Reagiert eine Fir­ma gut auf einen Angriff, sieht man bei börsenkotierten Unternehmen nach zwei Jahren prak­tisch keinen neg­a­tiv­en Effekt mehr. Wird der Vor­fall aber schlecht gehand­habt, kann er exis­tenzbedro­hende Fol­gen für das Unternehmen haben.

Es braucht also mehr Offen­heit?

Ja. Offen über Cyber­vor­fälle zu reden und die Kun­den über ein Prob­lem zu informieren, ist für ein Unternehmen bess­er, als wenn alles später her­auskommt. Die Zahl der Vor­fälle steigt sowieso. Bere­its heute sticht das einzelne Unternehmen weniger her­vor, das Opfer eines Cyberan­griffs gewor­den ist, als dies noch vor eini­gen Jahren der Fall gewe­sen wäre.

Sie hof­fen auf einen Kul­tur­wan­del?

Offene Kom­mu­nika­tion wird in der IT-Branche extrem pos­i­tiv aufgenom­men. Es braucht eine neue Sicht auf Cyber­vor­fälle: Wir dür­fen nicht das Opfer zur Zielscheibe machen, son­dern müssen die Aufmerk­samkeit auf die Täter lenken. Für eine Täter­grup­pierung ist es nicht inter­es­sant, wenn sie auf­fliegt. Sie operieren lieber dort, wo sie möglichst lange unent­deckt bleiben.

Der neue «Cyber-Delegierte» des Bundes

Mit Flo­ri­an Schütz erhält der Bund erst­mals einen Delegierten für Cyber­sicher­heit. Der 38-Jährige ist zuständig für die Koor­di­na­tion aller Aktiv­itäten der Bun­desver­wal­tung und dient als Ansprech­per­son für Kan­tone, Wirtschaft und Wis­senschaft. Inner­halb der Bun­desver­wal­tung leit­et er das neue Kom­pe­tenzzen­trum, das Nationale Zen­trum für Cyber­sicher­heit (NCSC), das derzeit noch im Auf­bau ist.

Schütz kommt aus der Pri­vatwirtschaft und war zulet­zt beim Online­händler Zalan­do in Deutsch­land für die IT-Sicher­heit zuständig. Davor arbeit­ete er acht Jahre lang bei der Ruag, wo er den Geschäfts­bere­ich Cyber­sicher­heit mit auf­baute. Aus dieser Tätigkeit bringt er auch Ein­blicke in die Bun­desver­wal­tung mit. Dass der zuständi­ge Finanzmin­is­ter Ueli Mau­r­er einen Exter­nen zum «Cyber-Delegierten» ernan­nte, wurde als unkon­ven­tioneller Entscheid gew­ertet.

Quelle: www.nzz.ch

Kostenlos - eBook digitale Kompetenz

digitalexpert-logo-newExklusiv bei digitalexpert.ch

Jetzt kostenlos bestellen:
Exklusiv bei digitalexpert.ch - eBook digitale Kompetenz

Ihre E-Mail-Adresse (Pflichtfeld)

Ich wünsche jeweils über neue kostenlose eBooks informiert zu werden

digitalexpert-logo-newExklusiv bei digitalexpert.ch

Jetzt kostenlos bestellen:
Exklusiv bei digitalexpert.ch — eBook digital comptence (english)

 

Ihre E-Mail-Adresse (Pflichtfeld)

Ich wünsche jeweils über neue kostenlose eBooks informiert zu werden