«Für mich befindet sich die Schweiz im Mittelfeld»

Cybersecurity in der Schweiz

CW: Wie gut ist die Schweiz im internationalen Vergleich bezüglich Cybersecurity aufgestellt?
Florian Schütz ist es ein grosses Anliegen, dass Bund und Politik das Thema Cyber­security zukunfts­gerichtet angehen
Quelle: Keystone/Gaëtan Bally
Schütz:
Es ist immer schwierig zu pauschalisieren, zumal die verschiedenen Bereiche, Firmen und Organisationen sehr heterogen unterwegs sind. Die Unternehmen sind sehr gut bis sehr schlecht aufgestellt, und auch bei den Behörden gibt es grosse Unterschiede. Zusammengefasst befindet sich die Schweiz meiner Meinung nach etwa im Mittelfeld – die Schweiz ist nicht zwingend schlechter als andere, aber auch nicht das leuchtende Vorbild.
CW: Worauf ist das zurückzuführen?
Schütz: Ich sehe drei Hauptgründe. Erstens: In der Schweiz dreht sich Diskussion noch immer stark um Angriff und Verteidigung: Oh, wir werden angegriffen – wie detektieren wir die Attacke und wie verteidigen wir uns? Dabei müsste die Kill Chain viel früher begonnen werden, indem möglichst korrekt entwickelte Software mit möglichst wenig Fehlern eingesetzt wird, die ausgenutzt werden können. Gerade in der Schweiz, die dank Berufslehren und Hochschulen über sehr gute IT-Infrastrukturstandards, viel IT-Fachwissen und eine hohe IT-Kompetenz verfügt, könnten wir hier durchaus etwas besser sein. Zweitens: Es wäre wichtig, dass wir bezüglich Cybersecurity noch transparenter würden. Wir sind deshalb derzeit daran, eine Meldepflicht für kritische Infrastrukturen zu entwickeln. Diese sollen dazu verpflichtet werden, bei einem sicherheitsrelevanten Ereignis entsprechend informieren zu müssen, damit das Bild der Bedrohung nochmals klarer wird. Heute ist das nicht einheitlich geregelt: Einige Sektoren, wie beispielswiese der Finanzsektor, kennen eine Meldepflicht. In anderen Sektoren sind Meldungen freiwillig. Das soll nun vereinheitlicht werden. Und drittens: Viele Firmen nehmen das Cyberrisiko nicht genügend ernst oder verstehen es gar nicht erst. In den Geschäftsleitungen fehlt es oft an Mitgliedern mit IT-Fachwissen. Das betrifft nicht nur, wie man vermuten könnte, Kleinstunternehmen oder fachfremde Unternehmen, sondern sogar IT-Firmen oder global tätige Unternehmen mit eigener IT. Dabei wäre die Cybersecurity ein zentral wichtiges Thema – genauso wie es Finanzen, Märkte, Gesetze und so weiter sind.
CW: Zu welchen Problemen führt das?
Schütz: In manchen Firmen sind die Prozesse nach einer Warnung nicht sauber geplant, deshalb ist die Reaktionszeit zu lang. Teilweise zeigen wir den Unternehmen auch Schwachstellen auf, die von Kriminellen aktiv ausgenützt werden, und trotzdem unternehmen sie leider nichts dagegen. Und dann gibt es auch Firmen, die das Thema einfach nicht wahrhaben wollen. Ich sage immer etwas provokativ: Sofern es sich dabei um einen rein ökonomischen Betrieb handelt und nicht um eine kritische Infrastruktur, wird der Markt die Sache regeln. Wenn es ein Unternehmen erwischt, kommt halt die Konkurrenz zum Zug.
CW: Sie sagen, dass das NCSC Unternehmen über Schwachstellen orientiert. Wie kommt es zu diesen Informationen? Durch irgendwelche Scans?
Schütz: Das NCSC darf nur begrenzt nach Schwachstellen suchen und keinesfalls irgendwelche Organisationen in aller Tiefe abscannen – also nur das tun, wofür auch rechtliche Grundlagen bestehen. Ebenso besteht bei Tiefenprüfungen immer das Risiko einer versehentlichen Manipulation, welche die betreffende IT ausser Gefecht setzen könnte. Daraus ergäben sich Haftungsfragen. Das NCSC kann aber entweder auf bestehende Scans zugreifen oder, sofern es die Situation erfordert, mit passiven Methoden Ausschau nach Schwachstellen halten. Sehr oft erhält es auch Informationen aus dem Ausland, beispielsweise dass eine Schweizer Infrastruktur mit einer kriminellen Infrastruktur im Ausland kommuniziert. Uns wird meist einfach die IP-Adresse mitgeteilt. Teilweise können wir dann eruieren, welches Unternehmen hinter ihr steckt, aber nicht immer. Dann wenden wir uns an den Internet-Service-Provider, dem die IP-Adresse gehört und der sie einem Firmen-Account zuordnen kann. Idealerweise informiert und warnt der Provider seinen Kunden anschliessend sehr schnell. Wenn wir die Firma selbst ausfindig machen können und der Fall nicht superdringend ist, informieren wir sie per Mail, ansonsten per Telefon. Im Extremfall, wenn beides nichts nützt, schicken wir einen eingeschriebenen Brief. Das dauert zwar lange, zeigt der Firma aber auch, wie ernst wir die Sache nehmen.

CW: Macht das NCSC auf Anfrage auch Tiefenprüfungen von staatsfremden Betrieben?
Schütz: Nein, dafür gibt es diverse Angebote am Markt, die wir als staatlicher Betrieb nicht konkurrenzieren dürfen. Viele Firmen wissen leider nicht, dass sie mit relativ wenig Mitteleinsatz solche Scans einkaufen können. Sie können zuerst klein anfangen, mit einem automatisierten Scan. Ein solcher deckt zwar nicht alle Sicherheitslücken auf, aber zumindest die bekanntesten. Ebenfalls interessant ist Bug Bounty, da vor allem dort die gefundenen Schwachstellen bezahlt werden. Anschliessend können die Firmen noch weiter in die Tiefe gehen. Unsere Rolle in diesem Zusammenhang ist es, die Unternehmen und Organisationen darauf hinzuweisen, dass es Möglichkeiten und Mittel gibt.



Das könnte Sie auch interessieren