Nähere Zukunft des NCSC

Schütz: Es war von Anfang an klar, dass das NCSC zunächst im Generalsekretariat (GS) des Eidgenössischen Finanzdepartements angesiedelt wird, um den Aufbau zu betreiben, und dass nachher überlegt wird, in welche Organisationsform es überführt wird. Im Frühjahr haben wir dem Bundesrat verschiedene Vorschläge gemacht und Modelle aufgezeigt. Er hat sich schliesslich für ein Bundesamt entschieden. Wir haben nun den Auftrag, die Überführung bis Ende Jahr auszuarbeiten, sodass der Bundesrat entscheiden kann, welchem Departement das NCSC angegliedert wird. Dort sind wir schon weit fortgeschritten. Wann der Bundesrat den Entscheid fällt, kann ich nicht sagen – das ist allein dessen Entscheid, und schliesslich ist Cyber nicht das einzige Thema, das er auf der Agenda hat. Auch kann ich keine Stellung zu den Spekulationen nehmen, welches Departement zum Zug kommt. Klar ist aber, dass das NCSC auf Basis dessen, was bereits funktioniert, weiterentwickelt werden soll. Dabei können aber ganz unterschiedliche Schwerpunkte gesetzt werden – sicherheitspolitische, wirtschaftspolitische, gesellschaftspolitische und so weiter. Wichtig ist, dass die Ansiedlung dort erfolgt, wo das NCSC den Schwerpunkt optimal erreichen kann. Aber das ist der Entscheid des Bundesrats, deshalb kann ich im Moment dazu noch nichts sagen.

Schütz: Ich muss vielleicht erklären, was die Nachteile einer Ansiedelung in einem GS sind: Ein GS hat eine andere Aufgabe, als wir es haben. Das NCSC ist sehr operativ unterwegs und stellt hohe Anforderungen an die eigene IT. Wir rekrutieren in einem Markt mit IT-Ingenieurinnen und -Ingenieuren sowie Cybersicherheitsspezialistinnen und -spezialisten, die anders adressiert werden müssen als Mitarbeitende eines GS. Auch stellen sich sehr oft Rechtsfragen, die sehr schnell beantwortet werden müssen, gerade wenn es um ein akutes Ereignis geht. Beides passt nicht in die Strukturen eines GS, besonders wenn skaliert werden soll. Das GS war aber ein sehr gutes Setup für den Aufbau. Beim NCSC zählen wir aktuell 45 Mitarbeitende. Das liegt nahe am Limit, das ein GS leisten kann. Ein Bundesamt hat den Vorteil, dass es immer noch direkt einer Bundesrätin oder einem Bundesrat unterstellt und in die Prozesse der Bundesverwaltung eingebunden ist. Es hat aber etwas mehr Autonomie bei der Ausgestaltung und ein etwas grösseres Gewicht als ein GS.

Schütz: Vieles, das wir tun, zeigt auch wirklich Auswirkungen. Ich hatte das Privileg, im Ausland zu leben und zu arbeiten und mir viele andere Länder anzuschauen. Das hat mir eine gewisse Übersicht verschafft: Länder, die in der Digitalisierung oder Cybersicherheit ganz vorne mit dabei sind, überlegen diese Themen in einem sehr strategischen Kontext, und zwar genau angepasst auf die eigenen Begebenheiten. Die Schweiz könnte noch viel besser in der IT sein: Wir haben zwar sehr gute Infrastrukturen, aber auf der Serviceseite, vor allem international, gibt es viel Verbesserungspotenzial. Wir nehmen sehr oft eine schweizerische Sicht ein, das sehe ich beispielsweise bei Start-ups und Firmen. Die Digitalisierung ist jedoch ein gobaler Markt und sie drückt weiter in Richtung Globalisierung. Das ist eine Herausforderung für einen Staat, in dem sehr viel nach dem Territorialprinzip funktioniert. Gleichzeitig stellt sich die Frage, wie die Balance zwischen der Regulierung und der Freiheit für Innovationen und eine starke Wirtschaft gehalten werden kann. Mit dieser Thematik darf ich mich jeden Tag auseinandersetzen und das fasziniert mich. Ich habe sehr unterschiedliche Ansprechpartner, seien es Wirtschaftsleute, Expertinnen und Experten, Vereine, Behörden oder Medien. Das gibt mir Feedback und Input – was erwartet man von uns und wo können wir hin. Zusammengefasst: Ich baue gerne auf.

Schütz: Die Frage, wie das definiert wird, ist spannend. Es wird derzeit oft eine Studie zitiert, in der die Schweiz auf Platz 42 liegt, Israel auf Platz 37. Es geht in dieser Studie jedoch primär um Regulierungen. Meiner Meinung nach liegen ganz klar Länder wie die USA und Israel sehr weit vorne. Ebenfalls China, wenn auch mit einem ganz anderen Gesellschaftsverständnis. Ich meine das nicht wertend und sage auch nicht, dass das gut ist. Aber auch dort wird das Cyberthema sehr staatspolitisch gedacht. In der Schweiz verfügen wir zwar über eine sehr gute Infrastruktur, sind aber auch etwas sehr risikoavers. Deshalb ordne ich uns im Mittelfeld ein. Die IT-Wertschöpfung in unserem Land ist soweit zufriedenstellend, gleichzeitig stellt die Schweiz aber auch nicht die ganz grossen Namen auf der globalen Landkarte. Auch bei vielen Lieferketten spielen wir strategisch keine sehr wichtige Rolle. Nehmen wir als Beispiel die Chipindustrie: Es gibt weltweit nur zwei Firmen, die 5-Nanometer-Chips produzieren können, und diese befinden sich in Südkorea und Taiwan. Die Maschinen dafür kommen aus den Niederlanden. Die Schweiz sollte noch mehr strategische Felder in der IT-Industrie besetzen, um weiter vorne mitmischen zu können. In anderen Industrien tun wir das ja auch.