Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Fahren auch in Schweden: Züge der Ostschweizer Stadler Rail. (Archivbild)

Nach einem erfolgreichen Hackerangriff versuchten unbekannte Täter, Stadler Rail zu erpressen und drohten mit der Veröffentlichung der erbeuteten Daten. Das betroffene Unternehmen reagierte vorbildlich. archivBild: sda

Interview

Meldepflicht für Hackerangriffe? Delegierter des Bundes erklärt, was sinnvoll wäre

Zu oft werde das Thema in den Führungsetagen noch stiefmütterlich behandelt, sagt Florian Schütz, der seit fast einem Jahr Delegierter des Bundes für Cybersicherheit ist. Er rät Firmen, bei Vorfällen offen damit umzugehen.

Lucien Fluri / ch media



Der Bahnbauer Stadler Rail wird erpresst: Zahlt er keinen Millionenbetrag, werden geklaute interne Daten veröffentlicht. Internetbetrugsversuche mit gefälschten Masken sind während der Coronapandemie in die Höhe geschnellt. Und Spitäler hatten sich in der Vergangenheit für Cyberangriffe verwundbar gezeigt. Trotzdem gibt es in der Schweiz erst seit einem Jahr einen Delegierten für Cybersicherheit: Florian Schütz ist 38 und war zuvor unter anderem beim Onlinehändler Zalando für die IT-Sicherheit verantwortlich. Er sagt: In vielen Schweizer Unternehmen sei die Wichtigkeit des Schutzes vor Cyberangriffen noch nicht genügend angekommen.

Das Interview

Eine Zusammenfassung gibts am Ende des Beitrags.

Herr Schütz, schlafen Sie ruhig als Verantwortlicher für Cybersicherheit des Bundes?
Florian Schütz:
Absolut.

Die Coronakrise hatte keine Folgen?
Die Zahl der Meldungen mit Bezug zu Corona ist angestiegen. Wie bei jedem Grossereignis versuchten Cyberkriminelle auf den Zug aufzuspringen. Man hat mehr Fake-Shops gesehen, in denen Medikamente oder Masken angeboten wurden. Wir befanden uns zwar immer in der Lagestufe «normal». Wir haben uns aber zusätzlich vorbereitet, um die kritische Infrastruktur im ansonsten schon stark belasteten Gesundheitssektor bei Bedarf zusätzlich zu schützen.

In der Coronakrise hat man gesehen, dass die Schweiz nicht überall gut vorbereitet war. Welche Lehren ziehen sie im Bereich Cybersicherheit?
Grundsätzlich funktionierte im Cyber-Bereich alles gut. Aber wir werden überprüfen, ob wir im Falle einer Krise zukünftig zusätzliche Infrastruktur bereitstellen sollen, um die Abwehr der kritischen Infrastrukturen punktuell zu verstärken und den Informationsfluss zu beschleunigen um noch rascher handeln zu können. Und dann gibt es die Frage der Meldepflicht für Cyberangriffe. Wir haben heute keine generelle Meldepflicht. Es ist fraglich, ob wir alles wissen und ob wir die Situation korrekt einschätzen können. Wir sind darauf angewiesen, dass Vorfälle gemeldet werden.

Florian Schuetz, Delegierter des Bundes fuer Cybersicherheit, spricht an einer Medienkonferenz, am Donnerstag, 27. Mai 2020, in Bern. (KEYSTONE/Peter Schneider)

Florian Schütz, Delegierter des Bundes für Cybersicherheit. Bild: keystone

Eine Meldepflicht ist politisch umstritten.
Es wird darauf ankommen, wie sie ausgestaltet wird. Eine generelle Meldepflicht gibt es noch nicht. Der Bundesrat will bis Ende 2020 Grundsatzentscheide über die Einführung von Meldepflichten für Cybervorfälle fällen. Eine Meldepflicht, bei der man jeden Vorfall melden muss, ist nicht sinnvoll. Bereits heute gibt es eine Meldepflicht für bestimmte kritische Infrastrukturen. Es macht Sinn, dass man eine einheitliche Regelung hat. Meldepflichten führen auch zu einer Wettbewerbsgleichheit. Wenn jemand Vorfälle meldet und dadurch einen erhöhten Aufwand hat, entstehen ihm Kosten. Der andere, der nichts meldet, spart kurzfristig Geld, löst dadurch aber sein Problem nicht.

«Man muss die Leute, die hier Karriere gemacht haben, ernst nehmen. Sie haben aber oft das Gefühl, im Staat oder in Firmen nicht durchzudringen.»

Stadler Rail wurden Daten geklaut. Die Firma hat die Erpressung öffentlich gemacht. Viele Firmen wollen dies allerdings nicht.
Viele Firmen haben Angst vor einem Reputationsverlust, wenn sie einen Cybervorfall publik machen. Ich gehe davon aus, dass sich dies ändern wird. Meiner Erfahrung nach ist es immer positiv, wenn Firmen offen über Vorfälle reden. Sie nehmen so Verantwortung wahr und zeigen, dass sie die Kunden ernst nehmen. Studien zeigen: Wer nach einem Cybervorfall transparent kommuniziert und nicht vertuscht, sieht nach zwei Jahren keinen Einfluss mehr auf die Entwicklung der Firma.

Sind Schweizer Firmen gut gerüstet gegen Cyberrisiken?
Es gibt Firmen, die top aufgestellt sind, andere weniger. Was ich noch viel zu oft sehe, ist, dass das Topmanagement denkt, dies sei eine technische Frage, die sie nichts angehe. Dies ist falsch. Genauso wie Finanzrisiken relevant dafür sind, wie ich meine Firma steuere, sind es auch Cyberrisiken. Das gilt speziell, wenn ich in einem digitalisierten Bereich bin wie beispielsweise in der Logistik oder der Lebensmittelproduktion.

Es ist noch zu wenig in den Köpfen?
Ja. Das Verständnis auf Topstufe fehlt oftmals noch. Ich sehe dort eine Riesenchance für die Schweiz. Wir haben früh begonnen mit Ausbildungen in diesem Berufsbereich. Wir haben sehr gute Fachspezialisten. Man muss die Leute, die hier Karriere gemacht haben, ernst nehmen. Sie haben aber oft das Gefühl, im Staat oder in Firmen nicht durchzudringen. Es herrscht oft noch die Meinung vor: Der Fachspezialist muss meine Sprache als Manager sprechen, damit ich ihn verstehe. Das ist überholt, mehr noch: Es ist ein Erfolgsfaktor, wenn das Topmanagement die Sprache der Fachspezialisten aufnimmt. Das zeigt sich, wenn wir international vergleichen, welche Firmen erfolgreich sind und welche Länder vorne liegen.

Welches ist die grösste Bedrohung für die Schweiz im Bereich Cybersicherheit?
Straftaten, also Cybercrime, machen den Grossteil der gemeldeten Vorfälle in der Schweiz aus. Hier liegt die grösste Gefahr. Es muss für die Kriminellen schwieriger werden, anzugreifen. Dann orientieren sie sich anders. Es ist auch eine grosse wirtschaftliche Chance für die Schweiz, wenn sie sich in diesem Bereich resilienter macht. Es liegt jedoch in der Verantwortung der Firmen, sich selbst zu schützen.

Was tut der Bund?
Wir können Strukturen schaffen, um sich auszutauschen oder um sich sektorenweise abzusprechen. Es gibt in jedem Sektor Infrastrukturen, die geteilt werden von mehreren Playern, wie beispielsweise im Finanzsektor. Die einzelnen Firmen müssen sich genau gleich schützen wie andere auch. Aber wir kümmern uns mit allen Involvierten um Fragen, die alle betreffen: Was tut man, wenn es zum Beispiel ein grosses Problem mit dem Zahlungssystem SWIFT gäbe? Wie ist man möglichst schnell operationsfähig?

Die Kantone sind Teil der Strafverfolgung. Gibt es da im Cyberbereich genügend Ressourcen?
Die Ressourcenfrage muss man 26 Mal stellen. Ein Stadtkanton hat beispielsweise andere Voraussetzungen als ein Landkanton. Sicherlich könnte man sich da verstärken. Aber Sie können auch nicht in jedem Kanton 50 Cyberspezialisten haben. Man hat deshalb das Netzwerk für die Ermittlungsunterstützung in der digitalen Kriminalität (Nedik) geschaffen.

Die Schweiz hat erst seit einem Jahr einen Delegierten für Cybersicherheit. Hat man das Thema zu wenig ernst genommen?
Ich glaube nicht. Melani wurde 2004 gegründet. Damals gab man auch in Deutschland den Startschuss für ein Cyberzentrum. Man war am Puls der Zeit, die Herausforderungen hat man erkannt. Aber in der Schweiz hat man ein föderales politisches System mit Gemeinden und Kantonen. Das führt dazu, dass gewisse Dinge etwas länger brauchen, aber danach vielleicht stabiler sind.

Sie müssen mit Kantonen, Departementen, etc. verhandeln, um etwas zu erreichen. Die Technik entwickelt sich schnell. Ist das System nicht zu langsam?
Es ist natürlich nicht immer ganz einfach, zum Beispiel wenn die Rechtsprechung nachziehen muss. Aber wir können grundsätzlich mithalten. Ich sehe im System eine grosse Chance für die Schweiz. Dadurch, dass wir es in der Schweiz gewohnt sind, verschiedenen Stellen, etwa Fachleute, die Wirtschaft, die Kantone unkompliziert an einen Tisch zu bringen, können wir etwas bewegen und gestalten.

Ein Beispiel?
An der ETH Zürich ist ein neues Routing-Protokoll entwickelt worden. Dabei geht es um die Frage, wie kommt der Datenverkehr von meinem Computer zum Kollegen in Deutschland. Dieses ist viel stabiler gegen Angriffe. Um dieses einzusetzen, muss man eine der Grundlagen im Internet ändern. Das geht nicht so einfach. Man hat aber mit dem Aussendepartement einen Pilotversuch gemacht, wie man Aussenstellen anbinden kann. Und man arbeitet an einem Pilot im Finanzsektor, um zu schauen, wie man Systeme sicherer miteinander verbinden kann. Bund, Wissenschaft, Wirtschaft haben zusammengearbeitet. Es ist eine Riesenchance: Wenn wir erfolgreiche Piloten haben und dieses Protokoll anderen Ländern schmackhaft machen können, könnte man zur Sicherheit beitragen und andererseits könnten wir die Schweiz auf der Landkarte als innovatives Land positionieren.

Das Wichtigste in Kürze

Die Schweiz sei bei der Abwehr von Cyberangriffen insgesamt gut aufgestellt, dennoch wäre eine Meldepflicht für Firmen sinnvoll, meint Florian Schütz, Delegierter des Bundes für Cybersicherheit.
Der Bund sei darauf angewiesen, dass Cyberattacken gemeldet werden, sagte Schütz in einem Interview mit den Zeitungen der CH Media (Donnerstagausgabe). Die Meldepflicht sei zwar politisch umstritten. Es komme aber darauf an, wie sie ausgestaltet werde.
Der Bundesrat wolle bis Ende 2020 im Grundsatz entscheiden, ob eine Meldepflicht für Cyberangriffe eingeführt werden solle. Nicht jeder Vorfall müsse gemeldet werden. Bereits heute gebe es eine Meldepflicht für bestimmte kritische Infrastrukturen.
Viele Firmen hätten Angst vor einem Reputationsverlust, wenn sie einen Cybervorfall publik machten. «Ich gehe davon aus, dass sich das ändern wird. Meiner Erfahrung nach ist es immer positiv, wenn Firmen offen über Vorfälle reden», sagte Schütz.
Vielfach fehle noch das Verständnis in den Unternehmen auf Topstufe. Die Schweizer Wirtschaft habe hier eine Riesenchance. Sie habe früh mit Ausbildungen in diesem Berufsbereich begonnen. Es gebe mittlerweile sehr gute Fachspezialisten.
Schütz ist seit einem Jahr Delegierter des Bundes für Cybersicherheit. Der Bund hat im letzten Jahr im Bereich Cybersicherheit 24 neue Stellen geschaffen. Knapp nochmals so viele hat er in diesem Jahr beschlossen.
(sda)

(aargauerzeitung.ch)

Vor zehn Jahren wurde der Computerwurm Stuxnet entdeckt:

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Die bösartigsten Computer-Attacken aller Zeiten

Zu viel am Handy? Dr. Watson weiss, woran du leidest

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

2
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
2Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • El Vals del Obrero 19.06.2020 07:19
    Highlight Highlight Käme natürlich drauf an, was als "Vorfall" gilt.

    Wenn jedes eintreffende Phishing-Mail und jeder Port-Scan gemeldet werden muss, müsste wohl jedes Geschäft 100 Personen nur dafür einstellen :)
  • Hoku 18.06.2020 17:40
    Highlight Highlight Das coole Pilot Projekt der ETH und Co heisst Scion.

    Hoffe das schafft den Durchbruch, wäre nicht nur gut für die Schweiz als Innovations- und Wirtschaftsstandort, sondern auch für alle End-User (Sicherheit, Privatsphäre).

    Man bräuchte nicht Mal neue Hardware als Endkunde. Die ganze Arbeit ist im Backend.

Undercover-Journalist infiltriert Netzwerk von Schweizer Corona-Verschwörern

Ein junger Westschweizer Journalist verbrachte zwei Monate «undercover» bei einer Gruppierung, die gegen das Maskentragen und die SwissCovid-App kämpft. Seine Enthüllungen werfen unbequeme Fragen auf.

Dieser Beitrag dreht sich um die Enthüllungen eines jungen Westschweizer Journalisten, der eine Gruppe von Corona-Leugnern und Verschwörungstheoretikern in der Romandie «infiltriert» hat. Dies im Auftrag des Westschweizer Online-Mediums Heidi.news, das nun in einer Serie über die Akteure und ihre beunruhigenden Ansichten berichtet.

Die Pandemie war geplant. Das Virus existiert nicht. Alles eine riesige Verschwörung, in Kombination mit 5G und obligatorischen Impfungen, um die Bevölkerung zu …

Artikel lesen
Link zum Artikel