Cybersecurity in der Politik

Schütz: Ich bin sehr zufrieden, wie sich die Politik mit dem Thema beschäftigt. Das ist nicht selbstverständlich. Wir in der Cybersecurity halten es für das Wichtigste überhaupt, aber nüchtern betrachtet ist es das nicht. Finanzen, Wirtschaft, Inflation und so weiter sind viel elementarer. Trotzdem räumen unsere Parlamentarierinnen und Parlamentarier und auch unsere Bundesrätinnen und Bundesräte dem Thema grossen Stellenwert ein. Das zeigt ein zukunftsgerichtetes Denken, darüber bin ich sehr froh. Eine Herausforderung ist, dass die Politikerinnen und Politiker in der Regel nicht vom Fach sind, sondern sich um hunderte unterschiedliche Pendenzen kümmern müssen. Ich sehe es deshalb als eine meiner Aufgaben an, dass die politisch wirklich relevanten Aspekte der Cybersecurity tatsächlich aufs Tapet kommen. Es geht bereits in die richtige Richtung: Es gibt gute politische Diskussionen, die sich nicht nur darum drehen, wie bei einem Angriff verteidigt werden muss und dass die Privatsphäre schützenswert ist, sondern auch konkret um die Anforderungen an die Datenverarbeitung von Behörden sowie um die Frage, wie welche Daten geschützt werden müssen und wo diese verarbeitet werden dürfen, damit die Sicherheit gewährleistet ist. Auch debattiert die Politik darüber, weshalb es nicht mehr erfolgreiche Schweizer IT-Firmen gibt und wieso viele von ihnen ins Ausland abwandern und dort ihre Erfolge feiern, obwohl wir doch so gut sind in der Technologie und über ein grossartiges Bildungssystem und hervorragende Hochschulen verfügen. Diese Diskussionen beginnen nun, sind aber ausbaufähig.

Schütz: Aktuell bin ich zufrieden, aber wie Sie sagen, mehr könnte es immer sein – und in Zukunft wird es mehr sein müssen. Wir befanden uns in einer starken Aufbauphase, in der wir schauen mussten, was funktioniert, was angenommen wird und was auch tatsächlich der Bevölkerung und der Wirtschaft hilft. Hierfür haben wir Key Performance Indicators (KPIs) eingeführt, was man beim Bund bisher nicht wirklich gekannt hat. Das erlaubt es uns, belastbare Aussagen zur Wirkung machen zu können. Ich glaube stark daran, dass noch so viel Geld nichts hilft, wenn es keine belastbare Kennzahlen gibt. Natürlich wird bald auch die Frage aufkommen, wie wir das Ganze skalieren: Es braucht mehr Leute und mehr Geld und vieles kann über Automatisierung koordiniert werden. Das ist aber definitiv ein Thema, bei dem wir noch nicht sind: Erfolgreiche Automatisierung bedingt klare Strukturen. Man kann das bei der Wirtschaft abschauen: First Level Support oder First Level Incidence Response sind dort meist komplett durchautomatisiert. Ich glaube, mit guten Strukturen und KPIs schaffen wir viele Möglichkeiten, die Mittel noch zielgerichteter einzusetzen.

Schütz: Absolut. Wenn wir die Mittel sauber beantragen, dann kriegen wir sie auch. Ich spüre viel Support, hätte aber ein ungutes Gefühl, wenn ich einfach sagen würde, ich brauche doppelt so viele Mittel, dann machen wir doppelt so viel. Ich möchte es schon belasten können.