Cybersicherheit
20.12.2021, 08:17 Uhr
Viele Schweizer Firmen tun nicht genug für die IT-Sicherheit
Die Verantwortung für Cybersicherheit in der Schweiz liegt in erster Linie bei den einzelnen Unternehmen und Institutionen. Doch viele tun nicht genug dafür, sagt Florian Schütz, der Delegierte für Cybersicherheit des Bundes, in einem Interview mit der NZZ.
Florian Schütz, Delegierter für Cybersicherheit des Bundes
(Quelle: pd)
Zwischen den Firmen gebe es grosse Unterschiede bei der Cybersicherheit. Das hänge zum Beispiel davon ab, ob die IT-Sicherheit auf der Stufe Verwaltungsrat oder Geschäftsleitung ein Thema sei. Auch gebe es Unterschiede bei den Branchen.
Die Banken hätten schon früh gemerkt, dass sie zum Beispiel beim Kreditkartengeschäft Geld verlieren, wenn sie zu wenig in ihre Cybersicherheit investieren. Doch bei vielen kleineren KMU sei das Geld knapp. Viele Firmen mit einem Umsatz von weniger als einer halben Million Franken setzten 2000 bis 5000 Franken im Jahr für die IT-Sicherheit ein. «Das ist nicht viel. Der Staat sollte die Rahmenbedingungen so gestalten, dass die Firmen mit dieser kleinen Summe einen grossen Effekt erzielen», meint Schütz in dem NZZ-Interview.
Schon heute mache der Bund viel, um Gemeinden und Firmen vor Cyberangriffen zu schützen. So warne das Nationale Zentrum für Cybersicherheit täglich zahlreiche Unternehmen und Behörden gezielt vor Gefahren wie Cyberkriminellen, die auf ihren Rechnern aktiv sind oder vor Schwachstellen, die das Zentrum selber entdeckt habe oder die ihm gemeldet würden. «Wir raten den Organisationen jeweils auch, die Polizei einzuschalten und einen externen IT-Dienstleister beizuziehen, wenn sie keine eigene IT-Sicherheitsabteilung haben.»
Sobald die Situation unter Kontrolle sei, zöge sich das Nationale Sicherheitszentrum für Cybersicherheit zurück und überliesse das Aufräumen den IT-Spezialisten. Er persönlich bezweifle, dass es nötig und sinnvoll sei, dass der Bund allen angegriffenen Unternehmen direkt helfe. Der Bund solle in erster Linie die Rahmenbedingungen schaffen, damit sich die Unternehmen besser selbst schützen können.
Label für Sicherheitslevel
Viele Firmen, mit denen er rede, hätten gar keine Ahnung wie gut sie von ihren Providern geschützt seien. «Aber die IT-Serviceprovider geben nur selten transparent an, welches Sicherheitslevel sie ihren Kunden mitliefern. Deshalb möchte ich im Rahmen der nächsten nationalen Strategie für Cybersicherheit anschauen, ob wir die Serviceprovider zu einem höheren Sicherheitsniveau bewegen können, ohne in den Wettbewerb einzugreifen.» Dies könne zum Beispiel mit einem Label erfolgen.
