BELIEBT
Business
New Work und Future Skills: Ein frischer Blick auf die Arbeitswelt von morgen
Deutschland
Zwei Juwelen an der Ostsee
Digitalisierung
Neue Ära der Effizienz in der Rechtspraxis
Sponsored
Soziale Arbeit: Rechtsfragen über Rechtsfragen
Sponsored
Wie Gemeinden die Energieplanung angehen können
florian schütz
Digitalisierung Bildung Innovation IT KMU Sicherheit Interview

«Cybersicherheit ist ein Prozess und kein Zustand!»

04.11.2020
von Lars Meier

Seit August 2019 nimmt sich Florian Schütz als Delegierter des Bundes für Cybersicherheit verschiedensten Cyberthemen an. Im Interview mit «Fokus» verrät er, wie sich Unternehmen präventiv vor Cyberangriffen schützen können, was über das Denken und Handeln von Cyberkriminellen bekannt ist und welche Ziele es in Sachen Cybersicherheit noch anzugehen gilt.

Herr Florian Schütz, vor über einem Jahr wurden Sie zum ersten Delegierten des Bundes für Cybersicherheit bestimmt. Wie kann man sich Ihre Arbeit vorstellen? 

Ich koordiniere die verschiedenen Cyberthemen beim Bund. Das ist ein komplexes Feld mit vielen Akteuren und unterschiedlichen Bedürfnissen.  Entsprechend bin ich in stetigem Austausch mit den diversen involvierten Stellen. Eine meiner zentralen Aufgaben ist die koordinierte Umsetzung der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS). Zudem leite ich das Nationale Zentrum für Cybersicherheit (NCSC), also die zentrale Anlaufstelle für Wirtschaft, Bevölkerung, Behörden und Bildungsinstitutionen, wenn es um Cyberthemen geht. Seit Januar nehmen wir Meldungen über Vorfälle einheitlich entgegen, prüfen diese und leiten sie an die entsprechend richtige Stelle weiter.

Eine meiner zentralen Aufgaben ist die koordinierte Umsetzung der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS). Florian Schütz

Was ist der Unterschied Ihrer Arbeit bei der öffentlichen Hand im Vergleich zur Privatwirtschaft?

In der Privatwirtschaft war Schnelligkeit ein wichtiger Faktor. Beim NCSC ist es zudem wichtig, die politischen Prozesse einzuhalten und insbesondere alle wichtigen Akteure einzubeziehen. Die Herausforderung besteht darin, einen Rahmen zu schaffen, der für alle beteiligten Stellen akzeptabel ist. Das erfordert eine gewisse Zeit. Wenn es um die Umsetzung geht, verwende ich dann einen agileren «Fail Fast»-Ansatz – so hole ich entsprechend wieder Zeit auf.

Bei Zalando musste ich eine Organisation aufbauen, die in hohem Masse skalierbar und messbar ist. Skalierbarkeit ist ein Schlüsselfaktor für den Erfolg und ist auch für das Nationale Zentrum für Cybersicherheit von hoher Bedeutung.

Welches sind die grössten Irrtümer, wenn es um Cybersicherheit geht?

Die Annahme, dass Cybersicherheit eine rein technische Angelegenheit ist. Das ist völlig falsch! Sicherheit geht uns alle an, sei es im privaten Rahmen oder im Arbeitsumfeld. Auch die Auffassung, dass der Mensch das Problem ist und man vor allem sensibilisieren muss, ist falsch. Vielmehr geht es darum, Sicherheit als integralen Aspekt der zu erledigenden Tätigkeit zu betrachten und sich Massnahmen zur Risikosenkung zu überlegen – technische und nicht technische. Damit ist bei einer Firma auch klar, wo die Verantwortung liegt – auf oberster Stufe. Wir müssen uns von der Idee verabschieden, dass es für Cybersicherheit einfach eine Spezialistin gibt, die dann schon weiss, was zu tun ist.

Cybersicherheit befindet sich in stetigem Wandel. Welche Rolle spielt im Zuge dessen die richtige Aufklärung in diesem Gebiet?

Aufklärung und Information sind wichtig. Aber wir betrachten das heute viel zu oberflächlich. Unter Aufklärung verstehen wir oft, dass man erklärt, was Phishing ist oder wie CEO Fraud funktioniert. Wichtiger ist, dass wir bei allen, die mit Technologien arbeiten sicherstellen, dass sie die Cybersicherheitsaspekte ihrer Arbeit verstehen und umsetzen können. Eine Automechanikerin sollte heute auch etwas von den Fahrzeugcomputern verstehen und wissen, wenn ein Protokolleintrag auf eine Manipulation schliessen liesse. Nur durch die Aus- und Weiterbildung der Cyberaspekte in den verschiedenen Fachgebieten wird Prävention möglich.

Aufklärung und Information sind wichtig. Florian Schütz

Wie häufig ist die Schweiz effektiv von Cyberangriffen betroffen?

Seit Anfang Jahr erhebt das NCSC die eingegangenen Meldungen und publiziert die wöchentlichen Statistiken. Da es in der Schweiz für Cybervorfälle keine Meldepflicht gibt, sind diese Zahlen nicht repräsentativ – die Dunkelziffer kennen wir nicht. Unsere Zahlen geben jedoch einen Eindruck, welches aktuell die häufigsten Bedrohungen sind.

Konkret gehen derzeit wöchentlich zwischen 200 und 300 Meldungen ein, die bearbeitet und weiterverfolgt werden. Unser Anliegen ist es, dass uns möglichst alle Betroffenen ihre Vorfälle melden: Das hilft nicht nur uns, sondern auch den Firmen und Privatpersonen. Bei einer Meldung erhalten die Betroffenen Unterstützung für das weitere Vorgehen – und uns hilft es, die grossen Trends besser zu erfassen.

Wo steht die Schweiz in Sachen Datenschutz und -sicherheit?

Cyberbedrohungen sind vielfältig, und es gibt keine einheitlichen Messkriterien. Daher lässt sich keine abschliessende Antwort auf diese Frage geben. In der Schweiz sind im Vergleich zu anderen Ländern die Herausforderungen wegen des föderalistischen Systems unterschiedlich. Jeder Kanton hat einen anderen Digitalisierungsgrad und will seine Eigenständigkeit bewahren. Meine allgemeine Einschätzung ist, dass in verschiedenen Bereichen des Grundschutzes noch Nachholbedarf besteht. Verschiedene Studien zeigen, dass die Mehrzahl der erfolgreichen Angriffe auf Schwächen beruht, die seit Monaten bekannt sind und längst hätten beseitigt werden können.

Sie sind bereits lange im Gebiet der Cybersicherheit tätig – welches ist die wichtigste Lektion, die Sie in diesem Feld gelernt haben?

Angreifer sind sehr wandelbar und passen sich sehr schnell neuen Gegebenheiten an. Sie sind effizient und agieren in einem komplett deregulierten Umfeld. Daraus resultiert, dass man sein Sicherheitsdispositiv auch möglichst agil aufstellt und konstant gegenüber den identifizierten Risiken ausrichtet.

Viele Unternehmen kümmern sich erst um ihre Cybersicherheit, wenn es bereits zu spät ist. Wie können sich Unternehmen präventiv vor Cyberangriffen schützen?

Ein wichtiger Punkt, denn präventiver Schutz wird zu oft vernachlässigt. Hier geht es vor allem um das korrekte – und damit sichere – Bauen und Einsetzen von Systemen. In der Unternehmenswelt bedingt dies eine Kombination aus technischen und organisatorischen Massnahmen. Dabei stehen im präventiven Bereich ein durchgängiges Identitäts- und Access Management, rigoroses Testen in allen Entwicklungs- und Betriebszyklen, sowie ein umfassendes Daten- und Asset-Management im Vordergrund. Ein Beispiel: Wenn Mitarbeitende unternehmensintern eine neue Stelle antreten oder das Unternehmen verlassen, müssen die Benutzerrechte unverzüglich angepasst werden! Dies funktioniert nur, wenn klare Prozesse für den Umgang mit Benutzerrechten definiert und die technischen Systeme entsprechend ausgelegt und manipulationssicher sind.

Angreifer sind sehr wandelbar und passen sich sehr schnell neuen Gegebenheiten an. Florian Schütz

Was geben Sie Unternehmen weiterhin auf den Weg, um sich vor Cyberangriffen zu schützen?

Wichtig ist in erster Linie die Erkenntnis, dass kein Unternehmen vor Angriffen sicher ist. Tönt selbstverständlich, aber hinter verschlossenen Türen sagen mir ab und zu Opfer von Cyberangriffen, dass sie das Risiko einfach nicht ernst genommen haben. Jedes Unternehmen muss Risikoanalysen durchführen und den Schutz der unterschiedlichen Systeme je nach Kritikalität des Systems entsprechend definieren.

Apropos Cyberangriffe: Ist bekannt, wie Cyberkriminelle jeweils vorgehen? Was lässt sich über ihr Denken und Handeln sagen?

In den meisten Fällen geht es einfach nur um Geld. Die klassische Kriminalität verlagert sich zunehmend ins Netz. Es gibt viele Phishing-Kampagnen gegen Einzelpersonen. Firmen wiederum werden immer wieder Opfer von Ransomware, also Erpressungsfällen, bei denen Daten verschlüsselt und nur gegen Bezahlung wieder freigegeben werden.

Am 1. Juli 2020 trat die vom Bundesrat verabschiedete Verordnung über den Schutz vor Cyberrisiken in der Bundesverwaltung (CyRV) in Kraft. Inwiefern prägt diese die Gesellschaft in Bezug auf Cybersicherheit?

Die Cybersicherheit spielt eine zentrale Rolle in der nationalen und internationalen Aussen- und Sicherheitspolitik und wird immer stärker zu einem wichtigen Faktor für den Wirtschaftsstandort und die Bevölkerung der Schweiz. Der Bund trägt dieser Entwicklung mit der Verordnung und den organisatorischen Massnahmen Rechnung. Eine der Hauptaufgaben des NCSC ist es, die Bevölkerung, die Wirtschaft, Bildungseinrichtungen und die Verwaltung beim Schutz vor Cyberrisiken zu unterstützen und die Sicherheit der eigenen Systeme zu verbessern.

CybersicherheitSie haben unter anderem für den Bereich Business Development Cyber & Intelligence ein Jahr lang in Israel gearbeitet – welche Unterschiede in Bezug auf Cybersicherheit können Sie allgemein international beobachten?

Die im Thema Cyber führenden Staaten – zu welchen Israel gehört – gehen das Thema gesamtheitlich und nicht nur sicherheitspolitisch an. Denn dadurch können sie die notwendigen Abwehrmassnahmen treffen, gleichzeitig aber Chancen nutzen, was zu einer positiven statt einer negativen Gesamtbilanz führt.

Besteht in der Schweiz noch Aufholbedarf in Sachen Cybersicherheit? Wenn ja, wo?

Wir müssen das Thema gesamtheitlicher betrachten und gleichzeitig auch die Rollen schärfen. Zum Beispiel muss der Staat Rahmenbedingungen schaffen, in denen auch in einer digitalisierten Schweiz ein Leben und Geschäften nach unseren Werten möglich ist. Firmen und Organisationen haben im Gegenzug eine Eigenverantwortung, sich zu schützen. In beiden Bereichen gibt es noch Luft nach oben. Ein weiterer Aspekt ist die Ausbildung nicht nur von Fachkräften, sondern der Cyberaspekte in Berufsgattungen, die mit Technologie in Kontakt kommen. Ein weiterer sehr wichtiger Punkt ist, dass Geschäftsleitungen und Verwaltungsräte erkennen, dass Leute aus der «Technik» auch in die Chefetagen gehoben werden müssen. Ein VP Technology muss etwas von Technologie verstehen und gehört in die Geschäftsleitung. Sie haben auch keinen CFO der nichts von Finanzen versteht.

Kann man Cybersicherheit messen? Wenn ja, wie?

Cybersicherheit per se ist schwer zu messen, da Cybersicherheit ein sehr weites Feld von Fachdisziplinen umfasst. Für die jeweiligen Fachgebiete kann man jedoch Key Performance Indikatoren (KPIs) etablieren. Diese sollten eine Aussagekraft über Themen haben, die die Organisation gerade beschäftigen. Zum Beispiel könnte man die durchschnittliche Zeit, die man vom Erkennen einer Schwachstelle bis zu deren Behebung messen, wenn man seine Angriffsfläche konstant minimieren möchte.

Welchen Wert messen Sie Cybersicherheit in Zukunft bei und warum?

Wie bereits gesagt, hat die Cybersicherheit in den vergangenen Jahren stark an Bedeutung gewonnen und sie wird auch in Zukunft weiter an Bedeutung gewinnen. Die Digitalisierung wird nicht weniger, sondern wird immer stärker. Das ergibt ein riesiges Potential in allen Lebensbereichen, bringt aber auch neue Risiken mit sich. Cybersicherheit heisst nicht zuletzt, mit diesen Risiken umgehen zu können.

Apropos Zukunft: Welche Ziele gilt es in Bezug auf Cybersicherheit noch zu erreichen?

Wir müssen uns davon verabschieden zu denken, dass wir, wenn wir alle heute gesetzten Ziele erreichen, sicher sein werden im Cyberbereich. Wir werden nie «fertig» sein – Cybersicherheit ist ein Prozess und kein Zustand!

Interview Lars Gabriel Meier     Bild Keystone, Gaëtan Bally

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Vorheriger Artikel So bleibt man im Wettrennen mit Hackern in Führung
Nächster Artikel Elektrische Geräte als häufige Brandursache – wir alle können Brände verhüten