Wie der Kanton Zug mit ITsec4KMU die Schweizer KMUs schützen will

Was ist ITsec4KMU und was wollen Sie mit dem Projekt erreichen?

Heinz Tännler: Mit dem Projekt ITsec4KMU will sich der Kanton Zug im Cyberbereich starkmachen. Es soll zu einer Awareness-Plattform werden, die sich spezifisch an Schweizer KMUs richtet.

René Hüsler: Die Bemühungen des Bundes im Bereich Cybersecurity fokussieren sich primär auf grössere Unternehmen. Aber hierzulande dominieren Kleinstunternehmen und KMUs die Unternehmenslandschaft. Diesen Firmen fehlte bisher der Zugang zu Informationen, die für sie verständlich und relevant sind. Wir wollen ein Informationsangebot erstellen, das auf die Bedürfnisse, Fähigkeiten und Interessen der Schweizer KMUs zugeschnitten ist. Die Zusammenarbeit mit dem NCSC ist dabei wichtig, da das NCSC sehr gute Grundlagen und Dokumente erarbeitet, die für KMUs adaptiert werden müssen.

Wie soll dieses Angebot aussehen?

Hüsler: Unser Fokus liegt auf der frühesten Phase: ein erstes Bewusstsein für Cybersecurity zu schaffen, damit diese KMUs erkennen, womit sie konfrontiert sind, und entsprechend erste Schritte machen. Informationen, Schulungen und Checklisten sind dabei wichtige Elemente. Wir werden nicht mit IT-Dienstleistern konkurrieren und Security Audits, Penetration Testing, Incident Response, Disaster Recovery, SOC etc. anbieten.

Heinz Tännler, Regierungsrat und Finanzdirektor des Kantons Zug. (Source: zVg)

Wie sieht der aktuelle Stand des Projekts aus?

Hüsler: Wir haben derzeit eine Teaser-Website online und sind dabei, diese kontinuierlich zu ergänzen und mit Inhalten zu befüllen. Die Website nutzen wir, um unser Netzwerk auf- und auszubauen. Wir wollen im ganzen Land verteilte Knoten einrichten, über die wir die lokalen Unternehmen und z.B. Gewerbeverbände erreichen können. Denn dieses Problem können wir nicht zentral lösen. Bis Ende des Jahres wollen wir eine erste Version der Website fertig haben, mit der wir wirklich in die Breite gehen können.

Wie berücksichtigen Sie die Mehrsprachigkeit der Schweiz in Ihren Ausbauplänen?

Hüsler: Im ersten Quartal des nächsten Jahres werden wir uns noch sehr stark auf die Deutschschweiz konzentrieren. Im zweiten oder dritten Quartal 2023 wollen wir die Westschweiz erschliessen und im Anschluss daran auch das Tessin. In der zweiten Jahreshälfte des nächsten Jahres sollen unsere Aktivitäten die ganze Schweiz abdecken. Die Website bauen wir parallel dazu weiter aus.

Tännler: ITsec4KMU soll also im Laufe der nächsten 12 Monate eine nationale Ausstrahlung erreichen. Das ist unser Ziel und das ist auch der Auftrag, den wir vom Regierungsrat und vom Zuger Kantonsrat erhalten haben.

Und was ist mit Rätoromanisch?

Hüsler: Rätoromanisch haben wir aktuell nicht im Fokus.

René Hüsler, Direktor des Departements Informatik der Hochschule Luzern. (Source: zVg)

Handelt es sich um eine reine Übersetzungsarbeit oder erkennen Sie noch andere Unterschiede zwischen den einzelnen Sprachregionen?

Hüsler: Die Informationen werden sich nicht unterscheiden, aber die Ansprache wird wohl anders sein. Der Weg zu den KMUs ist teilweise kürzer, teilweise länger als in der Deutschschweiz.

Wie sieht es bei der Bedrohungslage aus?

Hüsler: Eine Differenzierung der Angriffsszenarien innerhalb der Schweiz sieht man nicht. Man sieht aber einen Unterschied in der Qualität bei Spam-Mails. Die automatisch generierten deutschsprachigen und französischen Phishing-Mails sind schon sehr gut geworden. Die italienischen Phishing-Mails hingegen erkennt man oft am Sprachgebrauch. Die sind ungefähr auf dem Niveau, auf dem deutsch- und französischsprachige Phishing-Mails vor ein paar Jahren waren.

Wie verhindern Sie, dass sich ITsec4KMU und das NCSC gegenseitig auf die Füsse treten?

Hüsler: Wir wollen ganz klar keine Konkurrenzsituation zu den bestehenden Instituten schaffen. Deshalb arbeiten wir mit dem NCSC und dem NTC zusammen. So sollen etwa Cybervorfälle weiterhin dem NCSC gemeldet werden. Wir werden anschliessend darauf die Informationen herausfiltern, die für KMUs relevant sind. Eine Meldeplattform, wie der Bund sie schon hat, werden wir nicht aufbauen.

Tännler: Der ganze Aufbau des NTC und von ITsec4KMU ist im Verbund mit den Bundesstellen und den Verantwortlichen dahinter entstanden. Es handelt sich also um eine partnerschaftliche Zusammenarbeit, bei der sich alle ergänzen und sich niemand in die Quere kommt.

Wie wollen Sie KMUs motivieren, sich mit dem Thema Cybersecurity auseinanderzusetzen?

Hüsler: Ich glaube nicht, dass es den KMUs an Motivation fehlt, sondern viel eher an Zeit - und in einem gewissen Sinne auch Verständnis für die Problematik. Oftmals ist eine oder einer der Mitarbeitenden auch noch für die IT zuständig. Die sind schon froh, wenn alles einfach läuft. Dass sie im Visier von Cyberkriminellen sein könnten, kommt ihnen häufig gar nicht in den Sinn. Ausserdem denken viele KMUs noch immer, dass es bei ihnen nichts zu holen gibt und dass man sie deswegen nicht angreifen würde. Sie wissen nicht, dass beispielsweise Ransomware-Attacken nicht zielgerichtet sind, sondern breit gestreut werden. Wenn wir nur schon ein Grundverständnis vermitteln könnten, vier oder fünf wesentliche Aspekte, auf die KMUs achten sollten, würden wir die Schweiz damit deutlich sicherer machen.

Wir müssen die Informationen auf das für KMUs Wesentliche herunterbrechen.

Wo genau liegt dieser Verständnisbruch bei den Informationen, die der Bund bereitstellt?

Hüsler: Die Dokumente, die das NCSC erstellt, sind sehr umfassend und meistens recht wissenschaftlich. Für eine Hochschule und grössere Unternehmen sind sie super, denn sie gehen wirklich tief in die Materie. Aber ein Coiffeur oder eine Metzgerin braucht diese Tiefe nicht. Ganz im Gegenteil: Es schreckt KMUs eher ab, wenn man sie beim Lesen gleich zu Beginn mit Schlagwörtern verunsichert. Deshalb müssen wir diese Informationen auf das für KMUs Wesentliche herunterbrechen.

Geht so nicht auch Inhalt verloren?

Hüsler: Das soll nicht heissen, dass man den Inhalt verharmlosen soll! Aber die Texte müssen ja auch nicht auf so einem hohen wissenschaftlichen Niveau sein. Für KMUs braucht es zu einem Thema einfach zwei oder drei eingängige Beispiele, die zeigen, worum es wirklich geht, und Tipps, wo man ansetzen kann, um Schaden zu verhindern. Will ein KMU mehr wissen, werden wir auf die Dokumente des NCSC verweisen.

Der Kanton Zug beteiligt sich mit 1,4 Millionen Franken an den Aufbaukosten von ITsec4KMU. Welche Unterstützung erhalten Sie oder hätten Sie gerne von den anderen Kantonen?

Hüsler: Finanzielle Unterstützung erhalten wir beim Aufbau keine, aber die Bereitschaft ist da, mitzuarbeiten. Wenn das Projekt in den operativen Betrieb übergeht, wollen wir ITsec4KMU aber auf einer breiteren Basis abstützen.

Tännler: Das ist auch aus der Sicht des Kantons Zug das Ziel. Wir finanzieren den Aufbau. Diese Finanzierung ist für den Zeitraum bis 2024 gedacht. Danach wollen wir auf ein Modell mit Mitgliederbeiträgen umsteigen. Wir sind sehr optimistisch, dass wir diese weitere Finanzierung sicherstellen werden. Der Kanton Zug knüpfte die Kostenbeteiligung jedoch nicht daran, dass morgen bereits der nächste Kanton einen Beitrag leistet. Das Projekt soll organisch wachsen können.

Mit dem NTC und ITsec4KMU kommen gerade zwei grössere Cybersecurity-Projekte aus dem Kanton Zug. Will sich Zug als Cybersecurity-Hub der Schweiz positionieren?

Tännler: Das Cyberthema passt sehr gut ins Crypto-Valley - dort spielt die Digitalisierung ebenfalls eine grosse Rolle. Die Absicherung dieser Innovation ist für den Wirtschaftsstandort enorm wichtig. Das soll auch zu unserem Wahrzeichen werden: Im Kanton Zug treiben wir die Innovation sicher voran.

Hüsler: Die HSLU ist aktuell die einzige Fachhochschule in der Schweiz, die einen Bachelor in Information & Cybersecurity anbietet. Den Studiengang bieten wir am Departement Informatik hier in Rotkreuz an. Der Kanton Zug ist zwar eine Keimzelle für digitale Technologien, aber es gibt auch viele und wichtige Aktivitäten ausserhalb. Deshalb ist es wichtig, dass man diese Bestrebungen zusammenbringt. So kann die Schweiz als Ganzes von diesem Know-how profitieren, das in verschiedenen Bereichen gesammelt wurde.

Weshalb hat sich dieses Technik-Zentrum in Zug gebildet?

Hüsler: Da, wo etwas ist, wird sich auch etwas ergeben. Das heisst, es musste einfach einmal eine Person die Initiative ergreifen. Das erzeugt eine gewisse Sogwirkung und zieht weitere Personen mit ähnlichen Ideen an. Und so entsteht um diese erste Initiative herum schliesslich ein digitalaffines Umfeld. Natürlich braucht es eine Regierung, die offen ist für diese Themen. Und Personen, die bereit sind, diesen ersten Schritt zu machen. Als sich das Crypto-Valley im Kanton Zug zu bilden begann, sprach eigentlich noch niemand über die Blockchain. Das zeichnet den Kanton Zug aus: Dass er gewillt ist, auch mal etwas Neues auszuprobieren.

Tännler: Die Politik nimmt aber keine operative, aktive Rolle ein. Unsere Absicht ist es, die richtigen Rahmenbedingungen zu schaffen, damit der Stein überhaupt ins Rollen gebracht werden kann. Das machen wir nicht nur im Blockchain- oder Cyberbereich. Wir beschlossen etwa kürzlich auch eine Anschubfinanzierung in den Bereichen Klima und Wasserstoff. So wollen wir sicherstellen, dass man der Innovation mit einer gewissen Offenheit begegnet, statt sie abzuklemmen. Es hilft, dass man im Kanton Zug wirklich noch den Zugang zur Verwaltung hat. Die Wege sind hier nicht so kompliziert. Mit ein paar kurzen Aktionen gelangt man immer zur richtigen Person. Das ist enorm wichtig, wenn es um die Innovation geht.

In der Cybersecurity-Branche fokussiert man sich oftmals auf das Negative - auf das, was gerade schiefläuft. Aber was machen Schweizer KMUs jetzt schon genau richtig?

Hüsler: Diejenigen, die sich damit befassen, machen schon alles richtig. Aber die sprechen nicht unbedingt darüber. Es ist ja auch schwierig, positiv über Cybersecurity zu reden. Man kann schon hervorheben, dass eine Firma nach einem Vorfall besonders schnell wieder operativ ist und mit welchen Massnahmen sich die Firma für so eine Situation im Vorfeld gewappnet hatte. Aber sonderlich positiv ist das grundsätzlich nicht, da ja ein Vorfall stattgefunden hat - einen Erfolg kann man es nicht wirklich nennen. Und natürlich ist es auch nicht so spannend, darüber zu berichten, dass sich ein Unternehmen super schützen konnte. Es ist ja in diesem Sinne nichts passiert.

Die relevanten Informationen müssen einfach zugänglich zur Verfügung gestellt werden.

Wie schätzen Sie die Cyberrobustheit der Schweizer Wirtschaft ein?

Hüsler: Die Angriffe auf Schweizer KMUs sind im vergangenen Jahr um über 60 Prozent gestiegen; dieses Jahr sollen sie weiter zunehmen. Wenn wir diesen Trend brechen könnten, hätten wir schon sehr viel gewonnen.

Tännler: Wir müssen einfach besser sein als die Umgebung.

Hüsler: Die Lage ist aber extrem heterogen. Es gibt einige Security-Champions, die mit gutem Beispiel vorangehen. Aber daneben gibt es auch die Firmen, die sich - sagen wir es mal so -im Internet komplett öffnen. Die zahlreichen KMUs sind in der Regel eher unterdurchschnittlich unterwegs. Die Champions sind meist die grösseren Firmen. Insgesamt stehen wir nicht viel besser da als unser Umfeld. Wenn wir also die Schweizer KMUs nur ein bisschen sicherer machen könnten, würde das das Sicherheitsniveau der ganzen Schweiz bereits spürbar anheben.

Wo wollen beziehungsweise müssen Sie mit ITsec4KMU als Erstes ansetzen?

Tännler: Die relevanten Informationen müssen einfach zugänglich zur Verfügung gestellt werden. Zudem ist es wichtig, dass diese dann auch bei den KMUs bekannt werden und sich die Plattform so zu einer wichtigen Informationsquelle entwickelt.

Hüsler: Wir müssen mehr auf die Unternehmen zugehen und aufzeigen, dass auch ihnen etwas passieren kann. Auch eine Bäckerei oder eine Papeterie kann von einer Cyberattacke getroffen werden - und das kann dann grössere Auswirkungen zur Folge haben. Deshalb müssen alle im Bereich Cybersecurity aktiv werden. Mit ein paar einfachen ersten Schritten können KMUs schon sehr viel erreichen - und da gilt es, anzusetzen.