Florian Schütz ist seit August 2019 Delegierter des Bundes für Cybersicherheit. Er ist direkt dem Departementsvorsteher des Eidgenössischen Finanzdepartements (EFD) unterstellt (bis Ende Jahr Ueli Maurer) und Ansprechperson für Politik, Wirtschaft, Medien und Bevölkerung im Bereich Cyberrisiken. Gleichzeitig steht er dem Nationalen Zentrum für Cybersicherheit (NCSC) vor und ist unter anderem verantwortlich für die koordinierte Umsetzung der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS), die sich derzeit in der Überarbeitung befindet.

Wie Schütz im Interview sagt, laufe in der Schweiz im Bereich Cybersecurity vieles gut, trotzdem gebe es noch viel Luft nach oben, sowohl in der Politik wie auch in der Wirtschaft. Wichtig sei, dass sich die Diskussionen nicht bloss um Angriff und Verteidigung dreht, sondern auch um politisch wichtige Themen, die die Schweiz weiterbringen können.

Florian Schütz: Generell kann gesagt werden, dass die Ransomwarevorfälle mit dem Ausbruch des Kriegs in der Ukraine effektiv abgenommen haben. Das mag etwas widersprüchlich erscheinen, ist aber so, weil sich viele Hackergruppierungen im Konflikt aktiv für eine Seite engagieren und sich hierfür neu aufgestellt haben. Häufig handelt es sich dabei um transnationale Organisationen, die aufgrund des Krieges miteinander in Konflikt geraten sind. Das bremst die Ransomwareattacken aus, sollte einen jedoch nicht in trügerischer Sicherheit wiegen: Irgendwann benötigen diese Gruppierungen wieder Geld. Dann werden die Angriffe wieder zunehmen..

Schütz: Nein. Das hat Expertinnen und Experten teilweise überrascht, ist aber relativ logisch: Cyberangriffe sind in geopolitischen Konflikten ein ideales Mittel zur psychologischen Beeinflussung. Sie sind quasi eine unsichtbare Gefahr – erfolgt eine erfolgreiche Attacke, kann oft nicht eingeschätzt werden, was genau passiert. Stellen Sie sich vor, dass in der Schweiz die Züge plötzlich einen Tag lang nicht fahren können. Das würde die Bevölkerung stark beunruhigen, obwohl es nicht der grosse volkswirtschaftliche Super-GAU wäre. Während militärischer Konflikte liegt der Fokus ohnehin mehr auf der Störung von taktischen Mitteln als auf dem gross angelegten Hackerangriff. Das sehen wir so auch in der Ukraine.

Schütz: Es kann zu Kollateralschäden kommen. Für die Angreifer ist es teilweise schwierig zu steuern, dass eine Attacke nicht übers Ziel hinausschiesst. Beispielsweise wurden aufgrund eines Cyberangriffs tausende Windräder in Europa gestört. Die Akteure im Cyberraum, insbesondere die staatlichen, sollten deshalb sehr vorsichtig sein, auch wenn sie selbst nicht direkt in den Konflikt involviert sind.

Schütz: Bei Unternehmen, die in der Ukraine oder auch in Russland Offshoring betreiben, besteht ein gewisses Risikopotenzial für eine staatliche Einwirkung, beispielsweise auf Remotezugänge, die gestört werden können, oder auf die Software-Entwicklung, bei der es zu Codemani­pulationen kommen könnte. Im Ukrainekonflikt ist das zumindest nach unserem Wissen bisher noch nicht eingetreten – wohl, weil er sich in einer heissen Phase befindet: Der Fokus liegt auf dem Kampf im Feld und nicht im Cyberspace. Je nach Ausgang oder Weiterentwicklung des Konflikts könnten diese Gefahren aber relevant werden. Die Firmen sollten das auf dem Radar haben und in ihrer Risikokalkulation miteinberechnen.

Schütz: Das sind sie immer – ein Beispiel dafür ist der Fall SolarWinds. Besonders schwierig zu erkennen sind Codemanipulationen, die vom Softwarehersteller selbst vorgenommen werden. Wenn das NCSC entsprechende Hinweise erhält, informiert es entsprechend.

Schütz: Wir sehen insgesamt eine Zunahme der kriminellen Aktivitäten im Cyberraum: 2020 registrierten wir insgesamt 10 833 Meldungen, 2021 bereits 21 714 und in diesem Jahr (bis am 3. November) sogar 29 196. Diese Zahlen müssen aber nüchtern betrachtet werden: Einerseits werden uns nicht alle Vorfälle gemeldet, es gibt also eine gewisse Dunkelziffer; andererseits haben wir das Meldeverfahren deutlich vereinfacht, weshalb uns wahrscheinlich etwas mehr Fälle gemeldet werden. Die Zunahme ist auch nicht weiter erstaunlich: Mit der fortscheitenden Digitalisierung des Lebens – wir bewegen uns immer öfter im digitalen Raum, kaufen dort ein oder handeln mit Aktien – wird auch die Kriminalität vermehrt in den Cyberraum verschoben.

Florian Schütz ist es ein grosses Anliegen, dass Bund und Politik das Thema Cyber­security zukunfts­gerichtet angehen

Quelle: Keystone/Gaëtan Bally

Schütz: Es ist immer schwierig zu pauschalisieren, zumal die verschiedenen Bereiche, Firmen und Organisationen sehr heterogen unterwegs sind. Die Unternehmen sind sehr gut bis sehr schlecht aufgestellt, und auch bei den Behörden gibt es grosse Unterschiede. Zusammengefasst befindet sich die Schweiz meiner Meinung nach etwa im Mittelfeld – die Schweiz ist nicht zwingend schlechter als andere, aber auch nicht das leuchtende Vorbild.

Schütz: Ich sehe drei Hauptgründe. Erstens: In der Schweiz dreht sich Diskussion noch immer stark um Angriff und Verteidigung: Oh, wir werden angegriffen – wie detektieren wir die Attacke und wie verteidigen wir uns? Dabei müsste die Kill Chain viel früher begonnen werden, indem möglichst korrekt entwickelte Software mit möglichst wenig Fehlern eingesetzt wird, die ausgenutzt werden können. Gerade in der Schweiz, die dank Berufslehren und Hochschulen über sehr gute IT-Infrastrukturstandards, viel IT-Fachwissen und eine hohe IT-Kompetenz verfügt, könnten wir hier durchaus etwas besser sein. Zweitens: Es wäre wichtig, dass wir bezüglich Cybersecurity noch transparenter würden. Wir sind deshalb derzeit daran, eine Meldepflicht für kritische Infrastrukturen zu entwickeln. Diese sollen dazu verpflichtet werden, bei einem sicherheitsrelevanten Ereignis entsprechend informieren zu müssen, damit das Bild der Bedrohung nochmals klarer wird. Heute ist das nicht einheitlich geregelt: Einige Sektoren, wie beispielswiese der Finanzsektor, kennen eine Meldepflicht. In anderen Sektoren sind Meldungen freiwillig. Das soll nun vereinheitlicht werden. Und drittens: Viele Firmen nehmen das Cyberrisiko nicht genügend ernst oder verstehen es gar nicht erst. In den Geschäftsleitungen fehlt es oft an Mitgliedern mit IT-Fachwissen. Das betrifft nicht nur, wie man vermuten könnte, Kleinstunternehmen oder fachfremde Unternehmen, sondern sogar IT-Firmen oder global tätige Unternehmen mit eigener IT. Dabei wäre die Cybersecurity ein zentral wichtiges Thema – genauso wie es Finanzen, Märkte, Gesetze und so weiter sind.

Schütz: In manchen Firmen sind die Prozesse nach einer Warnung nicht sauber geplant, deshalb ist die Reaktionszeit zu lang. Teilweise zeigen wir den Unternehmen auch Schwachstellen auf, die von Kriminellen aktiv ausgenützt werden, und trotzdem unternehmen sie leider nichts dagegen. Und dann gibt es auch Firmen, die das Thema einfach nicht wahrhaben wollen. Ich sage immer etwas provokativ: Sofern es sich dabei um einen rein ökonomischen Betrieb handelt und nicht um eine kritische Infrastruktur, wird der Markt die Sache regeln. Wenn es ein Unternehmen erwischt, kommt halt die Konkurrenz zum Zug.

Schütz: Das NCSC darf nur begrenzt nach Schwachstellen suchen und keinesfalls irgendwelche Organisationen in aller Tiefe abscannen – also nur das tun, wofür auch rechtliche Grundlagen bestehen. Ebenso besteht bei Tiefenprüfungen immer das Risiko einer versehentlichen Manipulation, welche die betreffende IT ausser Gefecht setzen könnte. Daraus ergäben sich Haftungsfragen. Das NCSC kann aber entweder auf bestehende Scans zugreifen oder, sofern es die Situation erfordert, mit passiven Methoden Ausschau nach Schwachstellen halten. Sehr oft erhält es auch Informationen aus dem Ausland, beispielsweise dass eine Schweizer Infrastruktur mit einer kriminellen Infrastruktur im Ausland kommuniziert. Uns wird meist einfach die IP-Adresse mitgeteilt. Teilweise können wir dann eruieren, welches Unternehmen hinter ihr steckt, aber nicht immer. Dann wenden wir uns an den Internet-Service-Provider, dem die IP-Adresse gehört und der sie einem Firmen-Account zuordnen kann. Idealerweise informiert und warnt der Provider seinen Kunden anschliessend sehr schnell. Wenn wir die Firma selbst ausfindig machen können und der Fall nicht superdringend ist, informieren wir sie per Mail, ansonsten per Telefon. Im Extremfall, wenn beides nichts nützt, schicken wir einen eingeschriebenen Brief. Das dauert zwar lange, zeigt der Firma aber auch, wie ernst wir die Sache nehmen.

CW: Macht das NCSC auf Anfrage auch Tiefenprüfungen von staatsfremden Betrieben?

Schütz: Nein, dafür gibt es diverse Angebote am Markt, die wir als staatlicher Betrieb nicht konkurrenzieren dürfen. Viele Firmen wissen leider nicht, dass sie mit relativ wenig Mitteleinsatz solche Scans einkaufen können. Sie können zuerst klein anfangen, mit einem automatisierten Scan. Ein solcher deckt zwar nicht alle Sicherheitslücken auf, aber zumindest die bekanntesten. Ebenfalls interessant ist Bug Bounty, da vor allem dort die gefundenen Schwachstellen bezahlt werden. Anschliessend können die Firmen noch weiter in die Tiefe gehen. Unsere Rolle in diesem Zusammenhang ist es, die Unternehmen und Organisationen darauf hinzuweisen, dass es Möglichkeiten und Mittel gibt.

Schütz: Dort haben wir natürlich viel mehr Möglichkeiten, auch weil wir unsere eigene Infrastruktur schützen müssen. Die Cybersecurity des Bunds ist folgendermas­sen organisiert: Die Leistungserbringer – beispielsweise das Bundesamt für Informatik und Telekommunikation (BIT) oder das Eidgenössische Justiz- und Polizeidepartement (EJPD) – verfügen über eigene operative Securityteams. Diese machen das Monitoring und reagieren bei einem Angriff. Zudem sorgen sie gemeinsam mit Securityarchitekten dafür, dass die Infrastruktur von Beginn an sicher gebaut wird. Das NCSC wiederum stellt speziell für einzelne Projekte Expertinnen und Experten für verschiedenste Sicherheitsthemen zur Verfügung. Diese helfen dabei, dass bereits in der Projektphase sauber entwickelt wird. Und dann gilt der Bund selbst natürlich als kritische Infrastruktur: Bei einem sicherheitsrelevanten Ereignis arbeitet die betroffene Organisationseinheit mit dem NCSC zusammen. Gerade wenn mehrere Einheiten betroffen sind, koordinieren wir das Ganze und machen auch die Nacharbeit. Ebenso erlässt das NCSC die internen Standards, respektive welche Regeln befolgt werden müssen. Wir geben aber nicht vor, welcher Krypto-Algorithmus zu verwenden ist, sondern welche Sicherheitsanforderungen beim jeweiligen Produkt zu erfüllen sind, damit ein entsprechender Algorithmus gesucht werden kann. Sie können sich vorstellen: Beispielsweise benötigt die taktische Kommunikation der Armee einen ganz anderen Algorithmus als eine zivile Infrastruktur.

Schütz: Dort ist es aufgrund des Föderalismus etwas komplizierter. Wir arbeiten eng mit den Kantonen zusammen und sind auch daran, die Kooperation mit den Gemeinden auszubauen, zum Beispiel indem wir sie über den Schweizerischen Gemeindeverband für die Cybersecurity-Thematik sensibilisieren. Es besteht aber die offene Frage, wie weit wir gehen und was wir anbieten dürfen; weniger wegen des Konkurrenzverbots gegenüber der Privatwirtschaft – beispielsweise kaufen wir Bug Bounty auch am Markt ein –, sondern wegen Unabhängigkeitsfragen. Auch ist unklar, ob unsere Verfassung es überhaupt zulässt, dass der Bund den Gemeinden eine breite Palette an Dienstleistungen anbietet. Das ist eine laufende Diskussion.

Schütz: Allgemeine Standards nicht, was ebenfalls mit der föderalen Unabhängigkeit zu tun hat. Diese Diskussion muss noch eingehender geführt werden. Es ist aber so: Durch das Informationssicherheitsgesetz, bei dem das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) federführend ist und das in enger Zusammenarbeit mit dem NCSC erstellt wurde, sind die Kantone und Gemeinden, die mit Bundesdaten arbeiten, dazu verpflichtet, gewisse Standards einzuhalten.

Schütz: Wäre es ein theoretisches Gedankenspiel, könnte man sagen, ja, es wäre einfacher. Allerdings wären dann alle Kantone und Gemeinden betroffen, wenn es in dieser Software eine Schwachstelle gäbe. Dann stellen sich Volumenprobleme. Wie bei der allgemeinen Diskussion um homogene oder heterogene IT gibt es viele Pros und Contras. Hinzu kommt, dass Software immer irgendwelche echten Prozesse und Lebenssituationen unterstützt. Hier gibt es regional sehr starke Unterschiede: Beispielsweise hat ein Landwirtschaftskanton ganz andere Anforderungen an die Software als ein Grenzkanon oder ein Kanton in der Innerschweiz. Deshalb wäre ein standardisiertes Softwarepaket für alle Gemeinden nicht das Wahre.

Schütz: Ich bin sehr zufrieden, wie sich die Politik mit dem Thema beschäftigt. Das ist nicht selbstverständlich. Wir in der Cybersecurity halten es für das Wichtigste überhaupt, aber nüchtern betrachtet ist es das nicht. Finanzen, Wirtschaft, Inflation und so weiter sind viel elementarer. Trotzdem räumen unsere Parlamentarierinnen und Parlamentarier und auch unsere Bundesrätinnen und Bundesräte dem Thema grossen Stellenwert ein. Das zeigt ein zukunftsgerichtetes Denken, darüber bin ich sehr froh. Eine Herausforderung ist, dass die Politikerinnen und Politiker in der Regel nicht vom Fach sind, sondern sich um hunderte unterschiedliche Pendenzen kümmern müssen. Ich sehe es deshalb als eine meiner Aufgaben an, dass die politisch wirklich relevanten Aspekte der Cybersecurity tatsächlich aufs Tapet kommen. Es geht bereits in die richtige Richtung: Es gibt gute politische Diskussionen, die sich nicht nur darum drehen, wie bei einem Angriff verteidigt werden muss und dass die Privatsphäre schützenswert ist, sondern auch konkret um die Anforderungen an die Datenverarbeitung von Behörden sowie um die Frage, wie welche Daten geschützt werden müssen und wo diese verarbeitet werden dürfen, damit die Sicherheit gewährleistet ist. Auch debattiert die Politik darüber, weshalb es nicht mehr erfolgreiche Schweizer IT-Firmen gibt und wieso viele von ihnen ins Ausland abwandern und dort ihre Erfolge feiern, obwohl wir doch so gut sind in der Technologie und über ein grossartiges Bildungssystem und hervorragende Hochschulen verfügen. Diese Diskussionen beginnen nun, sind aber ausbaufähig.

Schütz: Aktuell bin ich zufrieden, aber wie Sie sagen, mehr könnte es immer sein – und in Zukunft wird es mehr sein müssen. Wir befanden uns in einer starken Aufbauphase, in der wir schauen mussten, was funktioniert, was angenommen wird und was auch tatsächlich der Bevölkerung und der Wirtschaft hilft. Hierfür haben wir Key Performance Indicators (KPIs) eingeführt, was man beim Bund bisher nicht wirklich gekannt hat. Das erlaubt es uns, belastbare Aussagen zur Wirkung machen zu können. Ich glaube stark daran, dass noch so viel Geld nichts hilft, wenn es keine belastbare Kennzahlen gibt. Natürlich wird bald auch die Frage aufkommen, wie wir das Ganze skalieren: Es braucht mehr Leute und mehr Geld und vieles kann über Automatisierung koordiniert werden. Das ist aber definitiv ein Thema, bei dem wir noch nicht sind: Erfolgreiche Automatisierung bedingt klare Strukturen. Man kann das bei der Wirtschaft abschauen: First Level Support oder First Level Incidence Response sind dort meist komplett durchautomatisiert. Ich glaube, mit guten Strukturen und KPIs schaffen wir viele Möglichkeiten, die Mittel noch zielgerichteter einzusetzen.

Schütz: Absolut. Wenn wir die Mittel sauber beantragen, dann kriegen wir sie auch. Ich spüre viel Support, hätte aber ein ungutes Gefühl, wenn ich einfach sagen würde, ich brauche doppelt so viele Mittel, dann machen wir doppelt so viel. Ich möchte es schon belasten können.

Schütz: Einer ist sicherlich, dass wir die Zusammenarbeit über die verschiedenen Departemente ausbauen – Cyber ist schliesslich ein Querschnittsthema – und auf operativer Ebene die Abläufe stärker formalisieren konnten. Wir, sprich meine Kolleginnen und Kollegen von den Departementen und Ämtern und ich, haben viel in dieses Thema investiert. Ich denke, das war ein wichtiger interner Schritt. Gegen aussen besser sichtbar ist die Tatsache, dass wir es geschafft haben, die Bevölkerung und Wirtschaft besser abzuholen und zu informieren. Wir haben unsere Website zielgruppengerecht überarbeitet und die Informationskanäle ausgebaut. Hierauf erhalten wir sehr positives Feedback. Uns ist bewusst, dass wir noch viel mehr tun könnten – Ideen dazu sind auch vorhanden.

Ein weiterer Meilenstein ist, dass wir mehr Transparenz schaffen konnten. Sehr viele Akteure konnten nicht auf genügend verlässliche Informationen zugreifen, um das Cyberrisiko richtig einzuschätzen. Cybersecurity ist ein sehr lauter Markt mit Profis, die absolut korrekte Analysen machen, aber auch mit Quacksalbern, hinter deren Aussagen nicht viel steckt. Wir geben Gegensteuer, indem wir unsere Zahlen, die vorher nicht zugänglich waren, öffentlich machen – die Anzahl der Meldungen, die Verteilung der Cyberphänomene, die Vektoren und so weiter. Auch haben wir einige Angriffe ganz in die Tiefe analysiert.

Ein weiterer wichtiger Punkt ist die bereits erwähnte Meldepflicht, wo wir sehr gut fortgeschritten sind, wenn auch die Gesetzgebung typischerweise ihre Zeit braucht. Die Rückmeldungen darauf zeigen glücklicherweise mehr Zustimmung und Konsens, als das wir erwartet hatten.

Ein weiterer Meilenstein aus Bundessicht ist die Schaffung des Kommandos Cyber: Dadurch ist die Armee im Cyberraum besser aufgestellt und kann militärische Operationen besser und effizienter durchführen. Eine moderne Armee muss auch im Cyberraum kämpfen können.

Schütz: Wir befinden uns aktuell in der Abstimmungsphase mit den Kantonen, bevor die Strategie vom Bundesrat verabschiedet werden kann. Wir sind also auf gutem Weg. Uns ist wichtig, dass sich die Kantone zu dieser Strategie bekennen, zumal wir sie nochmals stärker einbinden möchten.

Schütz: Das entscheidet am Schluss der Bundesrat. Klar ist aber, dass die neue Strategie etwas weniger operativ sein soll, dafür politischer, damit die grossen politischen Themen tatsächlich auf die Agenda gesetzt werden. Statt über Angriff und Verteidigung sollte viel mehr darüber diskutiert werden, wie genau die Schweiz in die Cybersicherheit investieren sollte, um auch Chancen zu schaffen, etwa in Bezug auf die Förderung von Schweizer Unternehmen im Bereich Cybersicherheit oder auf die Ansiedelung von rein digitalen Firmen. Lagebild und irgendwelche Forschung sind nur Mittel zum Zweck. Zusätzlich benötigen wir auch politische Ziele, wie zum Beispiel die Selbstbefähigung der Bevölkerung und der Wirtschaft, damit sie sich selbst schützen können. Ein diesbezügliches Manko zeigte eine Wirksamkeitsanalyse der aktuellen Strategie durch eine externe Firma auf, ebenso, dass der Bund den Fokus sehr stark auf die kritischen Infrastrukturen gelegt hat, zumal wir dort auch die gesetzlichen Grundlagen und das Mandat haben. In diesem Bericht wurde angemerkt, dass man die Zielgruppe öffnen und besser ausbalancieren sollte. Das haben wir in die neue Strategie einfliessen lassen – schliesslich ist Cybersicherheit ein Querschnittsthema, das nicht nur die Sicherheitspolitik, sondern auch die Gesellschaft und die Wirtschaft beeinflusst. Dem wollen wir gerecht werden. Ebenso soll die Strategie zeitlich nicht mehr limitiert werden.

Schütz: Ich bin der Meinung, dass Strategien konstant überprüft, überarbeitet und an die neuen Gegebenheiten angepasst werden sollten. Wir sahen es während der Pandemie oder auch beim Konflikt in der Ukraine: Verschiedene Organisationen, die zu unserer Strategie beitragen, wurden plötzlich mit einem ganz anderen Kontext konfrontiert. Das erfordert eine entsprechende Anpassung der strategischen Ziele – diese müssen dann zwar nicht komplett über den Haufen geworfen werden, aber das Ambitionsniveau muss bei manchen Zielen gesenkt werden, um es bei anderen erhöhen zu können. Dass wir vermehrt mit Ambitionsniveaus arbeiten wollen, ist die zweite grosse Änderung in der neuen Strategie – neben der zeitlichen Limitierung.

Schütz: Der Verein hat zum Ziel, die Zusammenarbeit zwischen Finanzinstituten und Behörden im Kampf gegen Cyberbedrohungen zu stärken und die Widerstandsfähigkeit des Finanzsektors zu erhöhen. Als NCSC verstehen wir die Abhängigkeiten zwischen den Finanzsystemen nicht gut genug – beispielsweise können wir nicht sagen, dass wenn diese Bank ihre IT abschaltet, es zu diesen oder jenen Probleme am Markt führt. Der Finanzsektor weiss hier viel besser Bescheid. Auch können über den Verein Auslandbanken mit Sitz in der Schweiz besser eingebunden werden. Diese sind ebenfalls kritisch für das Funktionieren der Schweiz, da sie über einen grossen Teil der Schweizer Franken verfügen.

Schütz: Das bietet den Vorteil, dass die Mitglieder auf den Verein einzahlen. Es wäre schliesslich schwierig, den Steuerzahlenden zu erklären, dass sie neben den Bankgebühren zusätzlich auch noch mit ihren Steuergeldern den Schutz der Banken berappen sollen.

Schütz: Absolut – das ist auch unser Ziel. Aktuell sind wir zusammen mit dem EDA an einer Voranalyse, ob wir ein ähnliches Modell für in der Schweiz ansässige NGOs erstellen können. Gerade für NGOs, die von Spendengeldern abhängig sind und diese möglichst umfassend für Spendenzwecke einsetzen wollen, stellt die Cybersecurity eine grössere Herausforderung dar. Gleichzeitig brauchen die NGOs Distanz zum Staat, um ihre Neutralität nicht zu verlieren. Wir sind nun am Überlegen, ob auch in diesem Bereich ein Verein ein geeignetes Kooperationsmodell wäre. Im Gesundheitsbereich kann ich mir einen Verein ebenfalls gut vorstellen. Wir können aber nicht alles für alle sofort machen. Zuerst loten wir die Zusammenarbeit mit dem Swiss FS-CSC aus und schauen, wohin uns das führt. Gleichzeitig klären wir ab, wo ähnliche Kooperationen möglich sind. Ich bin zuversichtlich, dass das durchaus ein Modell für die Zukunft sein kann.

Schütz: Wir haben zusammen mit der Schweizerischen Kriminalprävention (SKP) anfangs September die neue nationale Sensibilisierungskampagne «Super 2022» lanciert, die immer mehr Sichtbarkeit erlangt und auch auf positives Echo stösst. Einerseits läuft sie über die Website s-u-p-e-r.ch, andererseits machen verschiedene Kantone mittels Plakaten oder Infoscreens mit. Das Ganze wird begleitet von Veranstaltungen wie Webinars.

Schütz: Es war von Anfang an klar, dass das NCSC zunächst im Generalsekretariat (GS) des Eidgenössischen Finanzdepartements angesiedelt wird, um den Aufbau zu betreiben, und dass nachher überlegt wird, in welche Organisationsform es überführt wird. Im Frühjahr haben wir dem Bundesrat verschiedene Vorschläge gemacht und Modelle aufgezeigt. Er hat sich schliesslich für ein Bundesamt entschieden. Wir haben nun den Auftrag, die Überführung bis Ende Jahr auszuarbeiten, sodass der Bundesrat entscheiden kann, welchem Departement das NCSC angegliedert wird. Dort sind wir schon weit fortgeschritten. Wann der Bundesrat den Entscheid fällt, kann ich nicht sagen – das ist allein dessen Entscheid, und schliesslich ist Cyber nicht das einzige Thema, das er auf der Agenda hat. Auch kann ich keine Stellung zu den Spekulationen nehmen, welches Departement zum Zug kommt. Klar ist aber, dass das NCSC auf Basis dessen, was bereits funktioniert, weiterentwickelt werden soll. Dabei können aber ganz unterschiedliche Schwerpunkte gesetzt werden – sicherheitspolitische, wirtschaftspolitische, gesellschaftspolitische und so weiter. Wichtig ist, dass die Ansiedlung dort erfolgt, wo das NCSC den Schwerpunkt optimal erreichen kann. Aber das ist der Entscheid des Bundesrats, deshalb kann ich im Moment dazu noch nichts sagen.

Schütz: Ich muss vielleicht erklären, was die Nachteile einer Ansiedelung in einem GS sind: Ein GS hat eine andere Aufgabe, als wir es haben. Das NCSC ist sehr operativ unterwegs und stellt hohe Anforderungen an die eigene IT. Wir rekrutieren in einem Markt mit IT-Ingenieurinnen und -Ingenieuren sowie Cybersicherheitsspezialistinnen und -spezialisten, die anders adressiert werden müssen als Mitarbeitende eines GS. Auch stellen sich sehr oft Rechtsfragen, die sehr schnell beantwortet werden müssen, gerade wenn es um ein akutes Ereignis geht. Beides passt nicht in die Strukturen eines GS, besonders wenn skaliert werden soll. Das GS war aber ein sehr gutes Setup für den Aufbau. Beim NCSC zählen wir aktuell 45 Mitarbeitende. Das liegt nahe am Limit, das ein GS leisten kann. Ein Bundesamt hat den Vorteil, dass es immer noch direkt einer Bundesrätin oder einem Bundesrat unterstellt und in die Prozesse der Bundesverwaltung eingebunden ist. Es hat aber etwas mehr Autonomie bei der Ausgestaltung und ein etwas grösseres Gewicht als ein GS.

Schütz: Vieles, das wir tun, zeigt auch wirklich Auswirkungen. Ich hatte das Privileg, im Ausland zu leben und zu arbeiten und mir viele andere Länder anzuschauen. Das hat mir eine gewisse Übersicht verschafft: Länder, die in der Digitalisierung oder Cybersicherheit ganz vorne mit dabei sind, überlegen diese Themen in einem sehr strategischen Kontext, und zwar genau angepasst auf die eigenen Begebenheiten. Die Schweiz könnte noch viel besser in der IT sein: Wir haben zwar sehr gute Infrastrukturen, aber auf der Serviceseite, vor allem international, gibt es viel Verbesserungspotenzial. Wir nehmen sehr oft eine schweizerische Sicht ein, das sehe ich beispielsweise bei Start-ups und Firmen. Die Digitalisierung ist jedoch ein gobaler Markt und sie drückt weiter in Richtung Globalisierung. Das ist eine Herausforderung für einen Staat, in dem sehr viel nach dem Territorialprinzip funktioniert. Gleichzeitig stellt sich die Frage, wie die Balance zwischen der Regulierung und der Freiheit für Innovationen und eine starke Wirtschaft gehalten werden kann. Mit dieser Thematik darf ich mich jeden Tag auseinandersetzen und das fasziniert mich. Ich habe sehr unterschiedliche Ansprechpartner, seien es Wirtschaftsleute, Expertinnen und Experten, Vereine, Behörden oder Medien. Das gibt mir Feedback und Input – was erwartet man von uns und wo können wir hin. Zusammengefasst: Ich baue gerne auf.

Schütz: Die Frage, wie das definiert wird, ist spannend. Es wird derzeit oft eine Studie zitiert, in der die Schweiz auf Platz 42 liegt, Israel auf Platz 37. Es geht in dieser Studie jedoch primär um Regulierungen. Meiner Meinung nach liegen ganz klar Länder wie die USA und Israel sehr weit vorne. Ebenfalls China, wenn auch mit einem ganz anderen Gesellschaftsverständnis. Ich meine das nicht wertend und sage auch nicht, dass das gut ist. Aber auch dort wird das Cyberthema sehr staatspolitisch gedacht. In der Schweiz verfügen wir zwar über eine sehr gute Infrastruktur, sind aber auch etwas sehr risikoavers. Deshalb ordne ich uns im Mittelfeld ein. Die IT-Wertschöpfung in unserem Land ist soweit zufriedenstellend, gleichzeitig stellt die Schweiz aber auch nicht die ganz grossen Namen auf der globalen Landkarte. Auch bei vielen Lieferketten spielen wir strategisch keine sehr wichtige Rolle. Nehmen wir als Beispiel die Chipindustrie: Es gibt weltweit nur zwei Firmen, die 5-Nanometer-Chips produzieren können, und diese befinden sich in Südkorea und Taiwan. Die Maschinen dafür kommen aus den Niederlanden. Die Schweiz sollte noch mehr strategische Felder in der IT-Industrie besetzen, um weiter vorne mitmischen zu können. In anderen Industrien tun wir das ja auch.