«Die Schweiz steht nicht im Fokus der Angreifer»
Mehr oder weniger Druck seitens des Staates
CW: Bräuchte es nicht mehr Zwang von Seiten des Staates? In Deutschland tritt derzeit ein IT-Sicherheitsgesetz in Kraft, das Firmen dazu verpflichtet, gewisse Vorkehrungen zu treffen und diese auch zu belegen.
Lamia: Mehr Druck ist problematisch. Es wäre schon schwierig zu definieren, welche Vorfälle die Firmen überhaupt melden müssten. Als Nächstes stellt sich dann die Frage, was der Staat mit diesen Informationen macht. Wir pochen auf die Eigenverantwortung der Unternehmen und erhalten durch das aufgebaute Vertrauen dennoch sehr viele Informationen, sozusagen auf freiwilliger Basis. Das heisst: Melani kann die Lage ziemlich gut beurteilen. In Ländern wie Deutschland, in denen es keine so enge Zusammenarbeit gibt und keine Vorfälle gemeldet werden, ist dies jedoch nicht möglich. Ich kann somit nachvollziehen, dass der Staat dort das Zepter in die Hand nimmt und die Unternehmen zwingt, die geforderten Informationen zu liefern. Generell ist das aber sehr heikel. Stellen Sie sich Folgendes vor: Sie sind eine börsennotierte Firma und haben im letzten Quartal drei Vorfälle gehabt, die Sie melden mussten und die in der Folge veröffentlicht wurden, weil der Staat ein Interesse daran hat, die Informationen auszuwerten und beispielsweise Berichte und Statistiken zu erstellen. Werden Sie als Firma in einem solchen Bericht namentlich genannt, kann Sie dies viel kosten, vom Börsenwert her, aber auch, was das Vertrauen gegenüber Ihrem Unternehmen anbelangt.
CW: Herr Ellenberger, Sie haben als Unternehmen der Privatwirtschaft ebenfalls Kontakt mit Firmen, die das Opfer eines Angriffs geworden sind. Wie beurteilen Sie die Lage?
Tobias Ellenberger: Wir stellen fest, dass wir teilweise andere Informationen erhalten als eine staatliche Stelle wie Melani. Der Grund: Wir werden noch eher von Firmen direkt angefragt, weil für gewisse Unternehmen die Hürde nach wie vor zu gross ist, sich an eine staatliche Institution zu wenden. Dies trifft vor allem auf Firmen zu, die keinem Regulatorium unterstehen. Dieser Sektor ist übrigens sehr gross. Wenn Unternehmen aus diesem Umfeld attackiert werden, kommen sie erst einmal zu einer privaten Firma wie uns, um abzuklären, was passiert. Wissen sie es und kann der Fall behoben werden, sind sie im Normalfall daran interessiert, es nicht an die grosse Glocke zu hängen. Hier sehe ich denn auch ein Problem mit einem IT-Sicherheitsgesetz wie in Deutschland. Denn es ist vielen Firmen unklar, wie schwer ein Vorfall sein muss, um unter die Meldepflicht zu fallen. Selbst bei einem Spionagefall sollte das Unternehmen aus meiner Sicht selbst beurteilen können, was genau abhandengekommen ist und ob es sich allenfalls lohnt, Anzeige zu erstatten.
CW: Ein aktiverer Informationsaustausch würde aber doch auch anderen Firmen bei der Cyber-Abwehr helfen …
Ellenberger: Genau, der Wissensaustausch ist sehr wichtig. Dieser kann dazu führen, dass beispielsweise eine Malware schneller bekannt ist und weiteren betroffenen Firmen schneller geholfen werden kann, oder diese entsprechende Schutzmassnahmen präventiv einleiten können.
Lamia: Ich plädiere zudem für mehr Transparenz. Wir haben dies beispielsweise beim Spionageangriff auf das EDA 2009 vorgemacht. Damals gaben wir bekannt, dass sich ein Hackerangriff ereignet hat, dass wir ein Verfahren eingeleitet haben und daran waren, den Vorfall zu analysieren. Das zeigte einerseits, dass Angriffe bei uns Tatsache sind. Andererseits wurde klar, dass auch die Verwaltung betroffen sein kann und nicht nur Unternehmen. Das hilft wiederum bei der Sensibilisierung. Ich begreife allerdings auch, dass Firmen ein solches Vorgehen nicht unbedingt schätzen und diese Art der Offenheit nicht wollen.