Cybersicherheitsexperte Florian Schütz: «Man vertraut der Schweiz»

Haben Sie einen konkreten Vorschlag?

Heute wird noch sehr häufig ein Geheimnis um Cyberangriffe gemacht und das Thema wird weitestgehend tabuisiert. Das ist aus meiner Sicht aber falsch. Man müsste über jeden Angriff offen sprechen, alle Angriffe dokumentieren und feststellen, wie die Angreifer vorgegangen sind. So kann man vergleichen und andere warnen, sodass alle besser vorbereitet sind. Denn die kriminellen Gruppen haben kein Interesse daran, dass ihre Vorgehensweisen ans Licht kommen. Hier könnte mehr Transparenz abschreckend wirken.

Wie könnte diese Transparenz hergestellt werden und von wem?

Es braucht natürlich Ressourcen, um das zu dokumentieren. Man könnte beispielsweise aufseiten des Bundes bei grösseren Vorfällen die Zusammenhänge untersuchen und publizieren.

Unternehmen fürchten häufig einen Reputationsverlust, wenn sie einer Cyberattacke ausgesetzt waren, und machen einen Vorfall lieber nicht publik.

Eine solche Dokumentation kann ja auch anonymisiert geschehen. Zudem hat sich das Verhalten zum Glück schon ein bisschen geändert. Wir hatten in der Schweiz ein paar Unternehmen, auch grössere Konzerne, die vorbildlich über ihre Cybervorfälle berichtet haben. Das enttabuisiert das Thema, und das ist auch gut so.

«Eine Versicherung verhindert keine Cyberattacke.»

Die Versicherer schätzen, dass lediglich 10 Prozent der KMU in der Schweiz eine Cyberversicherung abgeschlossen haben. Beunruhigt Sie diese tiefe Zahl?

Jede Unternehmung muss gut abwägen, wo sie ihr Geld investiert, um sich vor Cyberangriffen zu schützen. Eine Versicherung hilft dem Unternehmen, den Wiederaufbau zu finanzieren. Zu diesem Zeitpunkt ist aber bereits ein Schaden entstanden.

Höre ich bei Ihnen eine gewisse Skepsis heraus in Bezug auf Cyberversicherungen?

Eine Versicherung ist ein valides Mittel, wie in allen üblichen Lebensbereichen auch, aber sie verhindert keine Cyberattacke. Gerade ein KMU kann viel auslagern und für die Cybersicherheit beispielsweise einen externen Anbieter an Bord holen, der die notwendigen Sicherheitspakete liefert und in den Service Level Agreements Zusicherungen für den Fall eines Angriffs macht. Sollte dieser Anbieter jedoch für einen Cybervorfall nicht geradestehen, muss die Unternehmerin oder der Unternehmer diese Deckungslücke irgendwie kompensieren. Die Verträge sollten das klar und eindeutig definieren. Und wenn das dafür notwendige Wissen über IT-Serviceleistungen nicht vorhanden ist, sollten die Personen, die im Unternehmen die Verträge verhandeln, eine entsprechende Weiterbildung in Betracht ziehen.

Sie wollen den Patron einer Schreinerei oder den Geschäftsführer eines Skiherstellers zurück auf die Schulbank schicken?

In der Geschäftsleitung eines jeden Unternehmens sollte generell ein Fundament an Cyberwissen vorhanden sein. Ob sich das der CEO oder der Patron aneignet, kommt auf die Organisation der Firma an. Man muss nicht verstehen, wie der Virenschutz funktioniert, aber man muss verstehen, welche Prozesse in welchem Masse von digitalen Leistungen abhängig sind. Wenn aufgrund eines Cyberangriffs beispielsweise nicht mehr auf digital gesteuerte Maschinen zugegriffen werden kann, muss der Geschäftsleitung klar sein, welche Auswirkungen das auf die Prozesse, die Lieferfähigkeit und die Verpflichtungen gegenüber den Stakeholdern hat.

«Provider sollten ihre Kunden bestmöglich schützen.»

Da höre ich die Unternehmerinnen und Unternehmer im Hintergrund schon argumentieren, dass sie dafür weder Zeit und noch Geld haben …

Drei Viertel der Schweizer Unternehmen machen unter einer halben Million Franken Umsatz pro Jahr. Wenn man das je nach Branche herunterbricht, ergibt es einen Richtwert von 2500 bis 7500 Franken, die man in die Sicherheit investieren sollte. Das ist nicht viel Geld, also muss man gut damit wirtschaften. Und immer, wenn es knapp zu wirtschaften gilt, muss man auch etwas von der Materie verstehen. Insofern wäre das gut investierte Zeit.

Zeit ist auch bei einem Cyberangriff ein kritischer Faktor. Sie haben die Internet-Service-Provider schon kritisiert, weil sie Cyberattacken nicht im erforderlichen Umfang und Tempo an die Kunden melden. Wo sehen Sie da die Gefahr?

Wir kennen Fälle, bei denen eine schnellere Alarmierung seitens des Internet-Service-Providers grössere Schäden beim Kunden hätte reduzieren können. Die Provider sollten ihre Pflichten ernst nehmen und ihre Kunden bestmöglich schützen – und ihnen nicht nur ein Sicherheitspaket als zusätzliche Option zum Kauf anbieten. Ich verstehe, dass das ein Geschäftsmodell für die Provider ist, aber wir müssen uns offensichtlich ernsthaft darüber unterhalten, welche Services zur Grundausstattung dazugehören sollten, damit der Service in der nötigen Sicherheit und Qualität erbracht werden kann.

Alle Anbieter sollten also den gleichen, maximalen Sicherheitsstandard in ihren Grundpaketen offerieren?

Das wäre auch aus strategischer Sicht klug. Wenn die Schweizer Internet-Service-Provider hier einen sehr hohen Standard setzen würden, kann das motivierend und fördernd dafür sein, dass sich mehr Firmen in der Schweiz ansiedeln. Das könnte vermutlich eine positive Spirale in Gang setzen.

Flächendeckende und grundlegende IT-Sicherheit könnte also für das ganze Land zu einem Standortvorteil werden, ähnlich wie es die stabilen politischen Rahmenbedingungen sind, mit denen die Schweiz seit jeher trumpfen kann?

Durchaus, denn wir haben in der Schweiz eine sehr gute Infrastruktur und eine sehr gute Konnektivität, und das macht es auch sehr einfach. Das wird schnell zu einem Standortfaktor, zumal Firmen in Zukunft immer digitaler werden dürften. Und da hat die Schweiz eine gute Chance, zu einem bevorzugten Standort im Bereich Sicherheit zu werden, zumal es ja auch so ein bisschen ein Schweizer Thema ist, denn man vertraut der Schweiz und dem hiesigen Datenschutz.