«Für mich befindet sich die Schweiz im Mittelfeld»

Meilensteine und laufende Projekte

CW: Sie sind seit drei Jahren Delegierter des Bundes für Cybersicherheit. Was waren die wichtigsten Meilensteine in dieser Zeit?
Schütz: Einer ist sicherlich, dass wir die Zusammenarbeit über die verschiedenen Departemente ausbauen – Cyber ist schliesslich ein Querschnittsthema – und auf operativer Ebene die Abläufe stärker formalisieren konnten. Wir, sprich meine Kolleginnen und Kollegen von den Departementen und Ämtern und ich, haben viel in dieses Thema investiert. Ich denke, das war ein wichtiger interner Schritt. Gegen aussen besser sichtbar ist die Tatsache, dass wir es geschafft haben, die Bevölkerung und Wirtschaft besser abzuholen und zu informieren. Wir haben unsere Website zielgruppengerecht überarbeitet und die Informationskanäle ausgebaut. Hierauf erhalten wir sehr positives Feedback. Uns ist bewusst, dass wir noch viel mehr tun könnten – Ideen dazu sind auch vorhanden.
Ein weiterer Meilenstein ist, dass wir mehr Transparenz schaffen konnten. Sehr viele Akteure konnten nicht auf genügend verlässliche Informationen zugreifen, um das Cyberrisiko richtig einzuschätzen. Cybersecurity ist ein sehr lauter Markt mit Profis, die absolut korrekte Analysen machen, aber auch mit Quacksalbern, hinter deren Aussagen nicht viel steckt. Wir geben Gegensteuer, indem wir unsere Zahlen, die vorher nicht zugänglich waren, öffentlich machen – die Anzahl der Meldungen, die Verteilung der Cyberphänomene, die Vektoren und so weiter. Auch haben wir einige Angriffe ganz in die Tiefe analysiert.
Ein weiterer wichtiger Punkt ist die bereits erwähnte Meldepflicht, wo wir sehr gut fortgeschritten sind, wenn auch die Gesetzgebung typischerweise ihre Zeit braucht. Die Rückmeldungen darauf zeigen glücklicherweise mehr Zustimmung und Konsens, als das wir erwartet hatten.
Ein weiterer Meilenstein aus Bundessicht ist die Schaffung des Kommandos Cyber: Dadurch ist die Armee im Cyberraum besser aufgestellt und kann militärische Operationen besser und effizienter durchführen. Eine moderne Armee muss auch im Cyberraum kämpfen können.
CW: Derzeit läuft die Überarbeitung der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) 2018–2022. Wie ist dort der Stand?
Schütz: Wir befinden uns aktuell in der Abstimmungsphase mit den Kantonen, bevor die Strategie vom Bundesrat verabschiedet werden kann. Wir sind also auf gutem Weg. Uns ist wichtig, dass sich die Kantone zu dieser Strategie bekennen, zumal wir sie nochmals stärker einbinden möchten.
CW: Was wird konkret angepasst?
Schütz: Das entscheidet am Schluss der Bundesrat. Klar ist aber, dass die neue Strategie etwas weniger operativ sein soll, dafür politischer, damit die grossen politischen Themen tatsächlich auf die Agenda gesetzt werden. Statt über Angriff und Verteidigung sollte viel mehr darüber diskutiert werden, wie genau die Schweiz in die Cybersicherheit investieren sollte, um auch Chancen zu schaffen, etwa in Bezug auf die Förderung von Schweizer Unternehmen im Bereich Cybersicherheit oder auf die Ansiedelung von rein digitalen Firmen. Lagebild und irgendwelche Forschung sind nur Mittel zum Zweck. Zusätzlich benötigen wir auch politische Ziele, wie zum Beispiel die Selbstbefähigung der Bevölkerung und der Wirtschaft, damit sie sich selbst schützen können. Ein diesbezügliches Manko zeigte eine Wirksamkeitsanalyse der aktuellen Strategie durch eine externe Firma auf, ebenso, dass der Bund den Fokus sehr stark auf die kritischen Infrastrukturen gelegt hat, zumal wir dort auch die gesetzlichen Grundlagen und das Mandat haben. In diesem Bericht wurde angemerkt, dass man die Zielgruppe öffnen und besser ausbalancieren sollte. Das haben wir in die neue Strategie einfliessen lassen – schliesslich ist Cybersicherheit ein Querschnittsthema, das nicht nur die Sicherheitspolitik, sondern auch die Gesellschaft und die Wirtschaft beeinflusst. Dem wollen wir gerecht werden. Ebenso soll die Strategie zeitlich nicht mehr limitiert werden.
CW: Warum das?
Schütz: Ich bin der Meinung, dass Strategien konstant überprüft, überarbeitet und an die neuen Gegebenheiten angepasst werden sollten. Wir sahen es während der Pandemie oder auch beim Konflikt in der Ukraine: Verschiedene Organisationen, die zu unserer Strategie beitragen, wurden plötzlich mit einem ganz anderen Kontext konfrontiert. Das erfordert eine entsprechende Anpassung der strategischen Ziele – diese müssen dann zwar nicht komplett über den Haufen geworfen werden, aber das Ambitionsniveau muss bei manchen Zielen gesenkt werden, um es bei anderen erhöhen zu können. Dass wir vermehrt mit Ambitionsniveaus arbeiten wollen, ist die zweite grosse Änderung in der neuen Strategie – neben der zeitlichen Limitierung.
CW: Weiter hat das NCSC den Verein Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC) initiiert. Weshalb?
Schütz: Der Verein hat zum Ziel, die Zusammenarbeit zwischen Finanzinstituten und Behörden im Kampf gegen Cyberbedrohungen zu stärken und die Widerstandsfähigkeit des Finanzsektors zu erhöhen. Als NCSC verstehen wir die Abhängigkeiten zwischen den Finanzsystemen nicht gut genug – beispielsweise können wir nicht sagen, dass wenn diese Bank ihre IT abschaltet, es zu diesen oder jenen Probleme am Markt führt. Der Finanzsektor weiss hier viel besser Bescheid. Auch können über den Verein Auslandbanken mit Sitz in der Schweiz besser eingebunden werden. Diese sind ebenfalls kritisch für das Funktionieren der Schweiz, da sie über einen grossen Teil der Schweizer Franken verfügen.
CW: Warum ein Verein?
Schütz: Das bietet den Vorteil, dass die Mitglieder auf den Verein einzahlen. Es wäre schliesslich schwierig, den Steuerzahlenden zu erklären, dass sie neben den Bankgebühren zusätzlich auch noch mit ihren Steuergeldern den Schutz der Banken berappen sollen.
CW: Wären ähnliche Kooperationen auch mit anderen Wirtschaftsbereichen oder Organisationen denkbar?
Schütz: Absolut – das ist auch unser Ziel. Aktuell sind wir zusammen mit dem EDA an einer Voranalyse, ob wir ein ähnliches Modell für in der Schweiz ansässige NGOs erstellen können. Gerade für NGOs, die von Spendengeldern abhängig sind und diese möglichst umfassend für Spendenzwecke einsetzen wollen, stellt die Cybersecurity eine grössere Herausforderung dar. Gleichzeitig brauchen die NGOs Distanz zum Staat, um ihre Neutralität nicht zu verlieren. Wir sind nun am Überlegen, ob auch in diesem Bereich ein Verein ein geeignetes Kooperationsmodell wäre. Im Gesundheitsbereich kann ich mir einen Verein ebenfalls gut vorstellen. Wir können aber nicht alles für alle sofort machen. Zuerst loten wir die Zusammenarbeit mit dem Swiss FS-CSC aus und schauen, wohin uns das führt. Gleichzeitig klären wir ab, wo ähnliche Kooperationen möglich sind. Ich bin zuversichtlich, dass das durchaus ein Modell für die Zukunft sein kann.
CW: Das NCSC hat auch die Aufgabe, die breite Bevölkerung für Cybersicherheit zu sensibilisieren. Wie soll das erreicht werden?
Schütz: Wir haben zusammen mit der Schweizerischen Kriminalprävention (SKP) anfangs September die neue nationale Sensibilisierungskampagne «Super 2022» lanciert, die immer mehr Sichtbarkeit erlangt und auch auf positives Echo stösst. Einerseits läuft sie über die Website s-u-p-e-r.ch, andererseits machen verschiedene Kantone mittels Plakaten oder Infoscreens mit. Das Ganze wird begleitet von Veranstaltungen wie Webinars.



Das könnte Sie auch interessieren