Cybersecurity

Cybersicherheit ist kein Modethema, sondern eine dringende Notwendigkeit für die Schweiz samt ihren staatlichen Organisationen und den hier domizilierten Unternehmen, den Herausforderungen in einer zunehmend digitalisierten Welt gebührend begegnen und sich gegen entsprechende Attacken wappnen zu können. Die Relevanz des Themas zeigte sich auch bei den zahlreichen Anmeldungen für den heutigen Abend.

Das Bundesamt für Cybersicherheit BACS, zuvor seit 2020 Nationales Zentrum für Cybersicherheit NCSC, hat seine operative Tätigkeit anfangs 2024 begonnen.

Eingangs stellt BACS-Direktor Florian Schütz, der auch schon die Vorgänger-Organisation aufgebaut hat, das Amt und seine Tätigkeitsfelder vor. Er beginnt mit einer Frage, deren Beantwortung für die Meisten doch überraschend ist. « Cybersecurity ist ein nicht ganz irrelevantes Thema», stapelt er tief und möchte von den anwesenden Club-Mitgliedern wissen, wie neu dieses ihrer Meinung nach sei. Schütz datiert dessen «Geburt» auf den Zweiten Weltkrieg und erwähnt als Beispiel die Enigma-Chiffriermaschinen, die aus einschlägigen Hollywood-Filmen bekannt sind, sowie den ENIAC von 1946, den ersten rein elektronischen Universalrechner, der von der US Army zur Ballistik-Kalkulierung genutzt wurde.

Erstmals grösser in den medialen Fokus gelangten Hackerangriffe in den frühen 1980er-Jahren. Schütz nennt als Beispiel die damals noch abenteuerlich anmutende Geschichte um den Angriff auf die Trans-Sibirische Erdöl-Pipeline, bei deren Inbetriebnahme es eine Explosion gab. Vermutet wurde im Nachgang, dass die CIA dafür die zuständige kanadische Software-Firma unterwandert hatte. Eindrücklich zeichnet er die Entwicklung des Internets auch als Experimentierfeld von Kreativen und Hippies hin zum heute weltweit bedeutendsten Rechnernetzwerk nach. Begonnen bei seinem Vorläufer Arpanet, das ab 1968 im Auftrag der US Air Force entwickelt wurde. 1994 wurde das Internet privatisiert, seit der Jahrtausendwende ist es global wirksam.

Durch die fortschreitende Digitalisierung hätten sich gemäss Schütz in der Folge ganz neue Geschäftsmöglichkeiten ergeben. Dazu kamen tiefgreifende Veränderungen des politischen Umfelds und der weltpolitischen Grosswetterlage. Neue Risiken entstanden, traditionelle Risiken veränderten sich. «Warum soll ich heute physisch eine Bank ausrauben, wenn ich das auch digital kann? Warum soll ich für einen Enkeltrickbetrug noch persönlich an Ihrer Haustür klingeln, wenn ich auch über Ihren Laptop an Sie herankomme?», fragt er rhetorisch. Heute gehen pro Woche circa 1500 bis 2000 Meldungen über solche Angriffe beim BACS ein, die meisten davon betreffen mögliche Betrugsfälle. Als bekannte neuzeitliche Bespiele für Hacktivismus erwähnt Schütz die Online-Rede von Ukraine-Präsident Wolodymyr Selenskyj im Bundesparlament und der Ständeratsentscheid zum Kriegsmaterialgesetz, beide im letzten Jahr. Hacker fluteten dabei die Websites und überlasteten sie. Ganz besonders spektakulär im negativen Sinn war der Hackerangriff auf die Firma Xplain im selben Jahr. Mit einem Ransomware-Angriff auf die Firma stahl die Hackergruppierung «Play» hochsensible Daten und veröffentlichte diese im Juni 2023 im Darknet. Darunter befanden sich auch klassifizierte Informationen sowie besonders schützenswerte Personendaten aus der Bundesverwaltung.

Die amtliche Vision zur Cybersicherheit beschreibt Schütz in seinem Referat wie folgt: «Die Schweiz nutzt die Chancen des digitalen Wandels und ergreift Schutzmassnahmen, um Cyberrisiken auf ein Minimum zu reduzieren. Sie beherbergt die besten Unternehmen, die sichere digitale Produkte und Dienstleistungen entwickeln. Im Kontext von Cyberbedrohungen sind die Handlungsfähigkeit und die Integrität ihrer Bevölkerung, ihrer Wirtschaft, ihrer Behörden und der auf ihrem Territorium ansässigen internationalen Organisationen gewährleistet.»

Im Bezug auf die Cybersecurity sieht Schütz in der Schweiz fünf strategische Prioritäten: Selbstbefähigung; sichere und verfügbare digitale Dienstleistungen und Infrastruktur; wirksame Erkennung, Verhinderung, Bewältigung, und Abwehr von Cyberangriffen; effektive Bekämpfung und Strafverfolgung der Cyberkriminalität sowie die Einnahme einer führende Rolle in der internationalen Zusammenarbeit. Zur Kernmission des BACS hält Schütz fest: «Das Bundesamt fördert Cybersicherheit als Fundament der Digitalisierung und erhöht die Widerstandsfähigkeit der Schweiz vor solchen Angriffen. Es ist aber nicht unsere Aufgabe, Sie zu beschützen. Sondern, Sie zu befähigen, sich zu beschützen».

Thomas Holderegger, Managing Director des Cybersecurity-Anbieters Accenture Security, war während längerer Zeit bei der UBS für Cybersicherheit zuständig. Die Cybersecurity sei ein stetes operatives Risiko einer Organisation. «Optimistisch stimmt mich, dass das Bewusstsein für das Problem gestiegen ist und die staatlichen Aktivitäten breiter wahrgenommen werden.» Als wichtigen ersten Meilenstein in dieser Sache spricht Holderegger die Gründung der Meldestelle MELANI, der Vorgängerin des NCSC / BACS, an. Diese ist seit 2004 operativ und hat die Aufgabe, die kritischen Infrastrukturen unseres Landes wie die Energieversorgung, das Bankenwesen und die Telekommunikation zu schützen. Ziel ist, dass Netz- und Systemunterbrechungen sowie Missbräuche möglichst selten und nicht gravierend sind.

Wie Schütz mahnt auch Holderegger: «Wir dürfen mit den bisher ergriffenen Massnahmen zwar zufrieden sein, es gibt aber noch viel zu tun.» Ihre Arbeitstätigkeiten bündeln sie auch gemeinsam bei der Cybersecurity-Abteilung der bekannten Standortinitiative «digitalswitzerland». «Unser Kernziel ist es, punkto Cybersicherheit rechtzeitig verstehen zu wollen, wonach man überhaupt Ausschau haben muss.» Dabei würden sich die Probleme gemäss Holderegger laufend verändern. «Die Grenzlinien sind mittlerweile viel unklarer. Und kriminell Aktive betätigen sich mittlerweile gerne auch im staatlichen Auftrag.» Doch an der Basis sieht er immer noch profane Angriffe als wichtigstes Bedrohungsszenario: etwa Phishing-Mails, die in einer Firma verteilt werden und dort die Büro-Computer lahmlegen können. «Wichtig ist, zu wissen, was in solchen Fällen überhaupt vorzunehmen ist. Und vor allem, sich mit diesen Fragen zu beschäftigen, bevor ein solcher Angriff erfolgt, um die Stabilität der einheimischen Wirtschaft zu gewährleisten.»

Mit der täglichen Praxis in diesem Bereich beschäftigt sich auch Philippe Allain, Kommandant der Kantonspolizei Fribourg. Sein Corps umfasst 800 Mitarbeitende, 13 davon im Cybersecurity-Bereich. «Wir haben in unserem Kanton etwa 1000 Hausdiebstähle pro Jahr, von denen wir viele aufklären können. Cyberkriminalität hingegen ist ungemein komplizierter. Wir bekämpfen nichts und die Aufklärungsquote ist gleich null. Trotzdem appelliere ich daran, jeden Angriff zu melden, damit wir zusammen die Strukturen dahinter besser verstehen und vor allem die Prävention verstärken können.» Allain sorgt sich dabei weniger um Banken und andere Grossunternehmen, die bereits Vorsorgemassnahmen getroffen haben, sondern um mittlere und kleinere  KMU’s. «Die Täter sind agiler, als wir es sind. Sie sind stark und schnell. Es ist wichtig, keine falsche Scham zu zeigen, sondern Schäden zu melden. Über Hausdiebstähle spricht man, über Cyberkriminalität nicht. Das muss sich ändern.»

Als noch gefährlicher als Phishing-Mails schätzt Florian Schütz die Schwachstellen von Servern ein. «Der Mensch ist nicht die grösste Angriffsstelle, sondern wir haben viele IT-Systeme, die nicht sicher gebaut sind. Wir machen es den Kriminellen grundsätzlich viel zu einfach.» Und er wünscht sich: «In jeder Geschäftsführung eines KMU’s müsste wenigstens eine Person sitzen, die etwas von IT versteht.» Für Thomas Holderegger ist es eine «Kulturfrage des jeweiligen Unternehmens, welche Priorität IT-Fragen haben. Der innerbetriebliche Dialog muss intensiviert werden.» Philippe Allain vermisst diesbezüglich politische Leitplanken und Unterstützung. «Der parlamentarische Wille, Cybersicherheit oben auf die Prioritätenliste zu setzen, ist bisher für mich zu wenig spürbar. So, wie es früher in den Schulen Verkehrserziehung gab, müsste nun auch eine wiederkehrende Sicherheits-Schulung und -Prävention implementiert werden.»

Schütz erklärt sich die Zurückhaltung in vielen Unternehmen auch mit dem ökonomischen Aspekt. «KMU’s kommen hier an ihre Grenzen. Meine Empfehlung wäre, unbedingt die schon bestehenden Verträge zu prüfen und zu schauen, was alles darin enthalten ist. Was filtert der Internet-Server heraus? Was sind die Haftungsklauseln? usw. Wir bieten viele verschiedene Leitfäden für Unternehmen an. Und wenn ein wichtiger noch fehlen sollte, reichen wir ihn gerne nach.»

Auf die Frage aus dem Publikum, warum denn überhaupt mangelhafte IT-Systeme angeboten würden, meint Schütz: «Der Markt spielt nicht und es gibt keine Transparenz. Ich habe jedenfalls noch nie einen ‚Kassensturz‘-Beitrag zu diesem Thema gesehen. Zudem sind die Verantwortlichkeiten nicht genau zugeordnet.» Und er fordert: «Wir müssen die Cybersecurity unbedingt entmystifizieren». Der nötige Gesetzesapparat wäre zwar vorhanden. «Doch die Gesetze werden nicht angewandt.»  Immerhin gebe es bereits eine Zusammenarbeit mit den Gewerbe- und Industrieverbänden. Doch Schütz wünscht sich ähnlich wie Allain noch mehr parlamentarischen Schub. «Wir brauchen einen politischen Diskurs. Wie sauber soll unser Datenverkehr sein, wenn er durch die Netze geht?»

In der Schlussrunde möchte Dominique Reber von den drei Experten wissen, was sie sich für die Zukunft im Bereich Cybersecurity wünschen würden. Für Allain ist klar: «Die Unterteilung Gemeinde-Kanton-Eidgenossenschaft funktioniert in diesem Bereich überhaupt nicht. Und ebenso wichtig: Modularität statt Subsidiarität. Die Technologie wird unser politisches Denken bestimmen. Diesbezüglich könnten unsere Parlamente auch mehr Druck auf die Netz-Operateure ausüben.» Im Weiteren unterstreicht er noch einmal die Wichtigkeit der Prävention: «Die angewandten Erziehungsmodelle müssen früh schon in der Schule greifen. Und wir müssen über das Thema sprechen, statt uns stillschweigend dafür zu schämen, wenn wir Opfer einer Attacke geworden sind.»

Für Holderegger ist klar: «Cyberresilienz muss als wichtiger Zustand, als Ziel angesehen werden, das müssen alle Organisationen und auch die Privaten begreifen. Dieser Prozess wird nicht mehr aufhören. Und ich muss mich auch als Individuum damit auseinandersetzen. Das Bewusstsein dafür ist besonders wichtig.»

Für Schütz ist die Situation in der Schweiz mit der relativen Nähe zwischen Wirtschaft und Politik von Vorteil. «Das geht anderen Ländern ab.» Im Weiteren verspricht er: «Auch wir im Bundesamt können noch zulegen. Ich möchte, dass Sie uns sagen, was wir noch besser machen sollen. Seien Sie kritisch.»