«Sicherheit ist schwer messbar»
Florian Schütz ist der erste Cyberdelegierte des Bundes. Im Interview mit dem SicherheitsForum erklärt er, warum die Industrie vermehrt von Cyberattacken betroffen ist und welche wichtigen Cybersicherheitsziele auf der Agenda stehen.
Herr Schütz, was sind derzeit für Sie die grössten Herausforderungen Ihrer Agenda?
Bei den operativen Herausforderungen steht die Ausbreitung von Cyberrisiken im Vordergrund. Das Beispiel der Sicherheitslücken bei den Exchange-Servern zeigt, dass Sicherheitsvorfälle bei weit verbreiteten Produkten schnell Hunderte oder Tausende von Anwendern betreffen. Weiter ist es nach wie vor unsere oberste Priorität, die kritischen Infrastrukturen und den Bund selber vor gezielten Angriffen zu schützen. Hier machen vor allem die immer ausgeklügelteren Strategien der Angreifer und besonders die Angriffe über die Supply Chain die Abwehr immer anspruchsvoller.
Politisch stehen wir vor der Schwierigkeit, dass einerseits demokratische Verfahren viel Zeit in Anspruch nehmen, andererseits die Digitalisierung international schnell fortschreitet. Wir müssen plausibel und effizient die Cybersicherheit von Anfang an in Digitalisierungsbestrebungen einbeziehen, um bei Politik und Bevölkerung das Vertrauen in diese Technologien zu fördern und die politischen Entscheidungsprozesse entsprechend schlank zu halten.
Melani hat letztes Jahr eine Zunahme von Ransomware-Attacken auf industrielle Kontrollsysteme registriert (Stichwort «Ekans»). Inwiefern sollte «Snake»/«Ekans» als Warnung begriffen werden, dass durch die Konvergenz von IT und ICS bzw. OT ernste Sicherheitsrisiken entstanden sind?
Die Konvergenz von IT und OT kann nicht aufgehalten werden. Umso wichtiger ist es zum Beispiel, entsprechend klare Schnittstellen und Sicherheitszonen einzurichten. Die Sicherheit muss von Beginn weg in die Planung der Infrastruktur einfliessen und über den gesamten Entwicklungsprozess bis in den Betrieb umgesetzt werden. Ich empfehle hier zum Beispiel den Ansatz von Domain-driven Design, welches es erlaubt, IT optimal auf die gestellten Anforderungen inklusive Sicherheitsanforderungen auszurichten.
Haben Sie die Schweiz schon sicherer gemacht und welches sind Ihre wichtigsten Ziele, die Sie als Cyberchef des Bundes noch dieses Jahr erreichen wollen?
Sicherheit ist schwer messbar und letztendlich müssen andere entscheiden, ob meine Tätigkeiten schon einen sinnvollen Beitrag zur Cybersicherheit der Schweiz hervorgebracht haben. Ich bin jedoch überzeugt, dass wir schon einiges erreicht haben. Wir haben die Organisation im Bund geschärft und gestärkt. Konkret haben wir zum Beispiel eine nationale Anlaufstelle geschaffen, wo Firmen, Behörden sowie Bürgerinnen und Bürger Cybervorfälle zentral melden können. Diese leitet die Anfragen an die zuständige Stelle, auch ausserhalb des Bundes, weiter. Ebenfalls haben wir Informationen zum präventiven Schutz auf unserer neuen Homepage einfacher verfügbar gemacht. Bei der Sicherheit der Swiss Covid App haben wir das Testen der Sicherheit koordiniert und dabei nicht nur selber getestet, sondern auch die Öffentlichkeit eingebunden. Dies, um nur einige Beispiele zu nennen.
Aus meiner Sicht besteht jedoch sowohl bei der Wirtschaft wie auch den Behörden in verschiedenen Bereichen des Grundschutzes noch Nachholbedarf. Bei den meisten erfolgreichen Angriffen werden Schwachstellen ausgenutzt, die schon lange bekannt sind und hätten beseitigt werden können. Unser langfristiges Ziel ist es, dass das NCSC die erforderlichen Rahmenbedingungen schafft, die es den Behörden und KMU ermöglichen, mit vertretbarem Aufwand die Eigenverantwortung zum Cyberschutz wahrzunehmen und Möglichkeiten der Digitalisierung zu nutzen. Bis Ende dieses Jahres möchten wir verschiedene Schritte zur Erreichung dieses Zieles machen. Wir werden dem Bundesrat eine Vorlage zur Einführung einer Meldepflicht für Cyberangriffe vorlegen, wir werden mit Partnerorganisationen im Mai eine Awareness-Kampagne durchführen und arbeiten mit den kritischen Infrastrukturen am Ausbau des Informationsaustausches zu Cyberrisiken.
Sie wollen für das Nationale Zentrum für Cybersicherheit noch dieses Jahr mehr Fachkräfte engagieren. Finden Sie diese überhaupt?
Das NCSC hat bisher keine Probleme gehabt, geeignete Fachleute zu finden. Wir verfügen über ein breites Netzwerk zu Spezialisten und stellen immer wieder erfreut fest, dass viele dieser Spezialisten motiviert sind, ihr Expertenwissen für die Sicherheit der Schweiz einzusetzen.
Das vollständige Interview lesen Sie in der gedruckten Ausgabe SicherheitsForum 2-2021.
Sie wollen die Artikel dieser Ausgabe lesen? Dann schliessen Sie gleich hier ein Abonnement ab.