«Für mich befindet sich die Schweiz im Mittelfeld»
Schutz der Schweizer Behörden
CW: Wie schützt das NCSC den Bund?
Schütz: Dort haben wir natürlich viel mehr Möglichkeiten, auch weil wir unsere eigene Infrastruktur schützen müssen. Die Cybersecurity des Bunds ist folgendermassen organisiert: Die Leistungserbringer – beispielsweise das Bundesamt für Informatik und Telekommunikation (BIT) oder das Eidgenössische Justiz- und Polizeidepartement (EJPD) – verfügen über eigene operative Securityteams. Diese machen das Monitoring und reagieren bei einem Angriff. Zudem sorgen sie gemeinsam mit Securityarchitekten dafür, dass die Infrastruktur von Beginn an sicher gebaut wird. Das NCSC wiederum stellt speziell für einzelne Projekte Expertinnen und Experten für verschiedenste Sicherheitsthemen zur Verfügung. Diese helfen dabei, dass bereits in der Projektphase sauber entwickelt wird. Und dann gilt der Bund selbst natürlich als kritische Infrastruktur: Bei einem sicherheitsrelevanten Ereignis arbeitet die betroffene Organisationseinheit mit dem NCSC zusammen. Gerade wenn mehrere Einheiten betroffen sind, koordinieren wir das Ganze und machen auch die Nacharbeit. Ebenso erlässt das NCSC die internen Standards, respektive welche Regeln befolgt werden müssen. Wir geben aber nicht vor, welcher Krypto-Algorithmus zu verwenden ist, sondern welche Sicherheitsanforderungen beim jeweiligen Produkt zu erfüllen sind, damit ein entsprechender Algorithmus gesucht werden kann. Sie können sich vorstellen: Beispielsweise benötigt die taktische Kommunikation der Armee einen ganz anderen Algorithmus als eine zivile Infrastruktur.
So ist das Nationale Zentrum für Cybersicherheit (NCSC) derzeit organisiert
Quelle: NCSC
CW: Was tut das NCSC für Kantone und Gemeinden?
Schütz: Dort ist es aufgrund des Föderalismus etwas komplizierter. Wir arbeiten eng mit den Kantonen zusammen und sind auch daran, die Kooperation mit den Gemeinden auszubauen, zum Beispiel indem wir sie über den Schweizerischen Gemeindeverband für die Cybersecurity-Thematik sensibilisieren. Es besteht aber die offene Frage, wie weit wir gehen und was wir anbieten dürfen; weniger wegen des Konkurrenzverbots gegenüber der Privatwirtschaft – beispielsweise kaufen wir Bug Bounty auch am Markt ein –, sondern wegen Unabhängigkeitsfragen. Auch ist unklar, ob unsere Verfassung es überhaupt zulässt, dass der Bund den Gemeinden eine breite Palette an Dienstleistungen anbietet. Das ist eine laufende Diskussion.
CW: Das NCSC kann den Kantonen und Gemeinden also auch keine IT-Standards vorgeben?
Schütz: Allgemeine Standards nicht, was ebenfalls mit der föderalen Unabhängigkeit zu tun hat. Diese Diskussion muss noch eingehender geführt werden. Es ist aber so: Durch das Informationssicherheitsgesetz, bei dem das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) federführend ist und das in enger Zusammenarbeit mit dem NCSC erstellt wurde, sind die Kantone und Gemeinden, die mit Bundesdaten arbeiten, dazu verpflichtet, gewisse Standards einzuhalten.
CW: Wäre es nicht einfacher, die Kantone und Gemeinden besser zu schützen, wenn alle dieselbe Software nutzen würden?
Schütz: Wäre es ein theoretisches Gedankenspiel, könnte man sagen, ja, es wäre einfacher. Allerdings wären dann alle Kantone und Gemeinden betroffen, wenn es in dieser Software eine Schwachstelle gäbe. Dann stellen sich Volumenprobleme. Wie bei der allgemeinen Diskussion um homogene oder heterogene IT gibt es viele Pros und Contras. Hinzu kommt, dass Software immer irgendwelche echten Prozesse und Lebenssituationen unterstützt. Hier gibt es regional sehr starke Unterschiede: Beispielsweise hat ein Landwirtschaftskanton ganz andere Anforderungen an die Software als ein Grenzkanon oder ein Kanton in der Innerschweiz. Deshalb wäre ein standardisiertes Softwarepaket für alle Gemeinden nicht das Wahre.