Economiesuisse fordert Selbstregulierung statt staatlichen Zwangs bei Cybersicherheit

Cyberbedrohungen nehmen kontinuierlich zu. Welche Branchen stehen aktuell besonders im Brennpunkt der Angreifer?

Angela Anthamatten: Grundsätzlich ist heute jedes Unternehmen betroffen – vom kleinen Familienbetrieb bis zum grossen Tech-Konzern. Besonders gefährdet sind allerdings kritische Infrastrukturen wie die Energieversorgung, das Gesundheitswesen sowie Logistik und Telekommunikation. In diesen Bereichen ist das Schadenspotenzial für die Gesamtwirtschaft am grössten. Gleichzeitig beobachten wir, dass zunehmend auch mittelständische Unternehmen ins Visier von Ransomware-Gruppen und anderen kriminellen Cyberattacken geraten.

Die aktuellen Zahlen des Bundesamts für Cybersicherheit zeichnen ein dramatisches Bild der Entwicklung ...

Das stimmt. Im Jahr 2024 erhielt das BACS über 62'900 Meldungen – das entspricht einer Zunahme von mehr als 13'500 Fällen im Vergleich zum Vorjahr. Diese Zahlen zeigen eindrücklich, wie stark die Bedrohungslage zugenommen hat. Was sich dabei besonders stark verändert hat, ist die Geschwindigkeit der Angriffe. Durch neue Technologien, insbesondere auch durch künstliche Intelligenz, haben Cyberkriminelle immer bessere Mittel zur Verfügung. Wenn heute Schwachstellen identifiziert werden, muss man umgehend reagieren. Die Zeit für eine angemessene Reaktion wird immer knapper.

Im neuen Positionspapier zum regulatorischen Umgang mit Cyberrisiken weisen Sie dem Staat spezifische Aufgaben zu. Welche konkrete Rolle sollte er übernehmen, um Unternehmen bei der Cyberprävention zu unterstützen?

Cybersicherheit ist aus unserer Sicht ein nationales Thema. Den Staat sehen wir dabei vor allem in einer koordinierenden Rolle – jedoch nicht in einer Aufsichtsfunktion, sondern als Partner der Wirtschaft. Es geht um ein gemeinschaftliches Vorgehen gegen die Cyberbedrohungen. Konkret bedeutet das: Der Staat sollte Frühwarnsysteme einrichten, Informations- und Austauschplattformen schaffen und technische Ressourcen bereitstellen. Wichtig ist uns dabei, dass dies nicht bedeutet, dass die Wirtschaft gratis Unterstützung vom Bund erwartet und ihre eigene Verantwortung für Cybersicherheit abgibt. Vielmehr soll es sich um ein echtes partnerschaftliches Engagement handeln.

Wie bewerten Sie denn den aktuellen Stand der Zusammenarbeit zwischen Staat und Wirtschaft bei der Cybersicherheit in der Schweiz?

Es ist nicht so, dass keine Zusammenarbeit existiert – sie ist definitiv vorhanden. Das BACS hat beispielsweise mit dem Cybersecurity Hub eine sehr vielversprechende Plattform etabliert, über die ein entsprechender Datenaustausch stattfinden kann. Was jedoch noch verbessert werden muss, sind die Geschwindigkeit und die Wechselseitigkeit des Informationsaustauschs. Bisher sind Unternehmen durch die Meldepflicht, die seit April in Kraft steht, verpflichtet, entsprechende Bedrohungen zu melden. Aber dieser Austausch sollte so funktionieren, dass die Wirtschaft auch von der Informationssammlung profitieren kann. Es braucht einen schnellen, wechselseitigen Informationsaustausch in nahezu Echtzeit, damit die Unternehmen gewarnt sind und privatwirtschaftliche Partner sich direkt untereinander koordinieren und entsprechend reagieren können. Daten, die mehrere Wochen alt sind, nützen den Unternehmen regelmässig nichts mehr.

Sie fordern in Ihrem Positionspapier immer wieder eine "flexible, adaptive Regulierung". Was genau stört Sie an der aktuellen Regulierung?

Das grundlegende Problem der aktuellen Regulierung liegt in ihrer Starrheit. Cyberrisiken lassen sich nicht einfach wegregulieren – jede Attacke ist einzigartig und erfordert individuelle Reaktionen. Starre Regelungen, wie beispielsweise die Meldung innerhalb von 24 Stunden, sind oft schwierig umzusetzen. Dies insbesondere in Kombination mit dem weitgefassten und teilweise unklaren Anwendungsbereich der Meldepflicht. Ein Unternehmen, das von einem Ransomware-Angriff betroffen ist, befindet sich in einem Ausnahmezustand – vergleichbar mit einem Brand. In einem solchen Fall ist schnelles flexibles Handeln gefordert. In einer solchen Situation innerhalb von 24 Stunden bereits eine zuverlässige Evaluation durchzuführen und entsprechende Meldungen zu erstellen, ist eine erhebliche Belastung.

Wie könnte denn ein flexibler und adaptiver Regulierungsrahmen konkret aussehen?

Ein solcher Rahmen sollte prinzipienbasiert und technologieneutral ausgestaltet sein. Das bedeutet eine Ausrichtung auf Grundsätze statt auf detaillierte Vorschriften. Wir sollten die Selbstregulierung durch Branchenverbände fördern und eine modulare Regulierung etablieren, die regelmässig überprüft und entsprechend angepasst werden kann. Was Sanktionen angeht, so sollten diese, wenn überhaupt, nur bei direktem Vorsatz zur Anwendung kommen. Wichtig ist es, eine offene Fehlerkultur zu fördern – denn aus Fehlern lernt man bekanntlich.

Gibt es internationale Vorbilder, an denen sich die Schweiz orientieren könnte?

Es gibt interessante Ansätze. Kanada und die Niederlande beispielsweise verfolgen kooperationsorientierte, vertrauensbasierte Ansätze. Diese Länder kommunizieren sehr klar, dass Unternehmen private Meldungen ohne juristischen Druck machen können. Das Feedback zu diesen Systemen ist sehr positiv, und der Informationsaustausch funktioniert deutlich schneller. Solche Modelle setzen auf Public-Private-Partnerships und erzielen damit offenbar bessere Resultate als rein regulatorische Ansätze.

Die Selbstregulierung ist ein zentraler Punkt Ihrer Forderungen. In welchen Branchen funktioniert sie heute bereits gut, und wo sehen Sie noch Defizite?

Selbstregulierung funktioniert; dies besonders gut in Branchen mit hohem Reputationsdruck, hohen Kundenanforderungen und einem entsprechenden technischen Verständnis. Das sind vor allem die Finanzbranche, Versicherungen, die Telekommunikation und die IT-Branche selbst. Defizite bestehen hingegen in Bereichen, wo zu wenig Sensibilisierung vorhanden ist und auch die Ressourcen fehlen. Das betrifft oft mittelständische Unternehmen ausserhalb der Tech-Branche, die sowohl bei der Sensibilisierung als auch bei den verfügbaren Ressourcen Unterstützung benötigen.

Besteht bei branchenspezifischer Selbstregulierung nicht die Gefahr eines Flickenteppichs verschiedener Standards?

Diese Sorge kann ich verstehen, aber man muss bedenken, dass es durchaus branchenspezifische Bedürfnisse gibt. Wenn man eine flächendeckende Regulierung macht, besteht die Gefahr, dass dabei nicht ausreichend differenziert wird und man bestimmte Branchen mit Regulierungen belastet, die für andere Branchen entwickelt wurden. Das führt zu unnötigen Compliance-Belastungen. Eine Bank muss beispielsweise nicht dieselben Anforderungen erfüllen wie ein Schreinerbetrieb. Der Staat kann jedoch staatlich anerkannte Selbstregulierung fördern und dabei koordinierend wirken, ohne zu stark in die spezifischen Bedürfnisse der einzelnen Branchen einzugreifen.

Ist die Schweiz regulatorisch bereits ausreichend für zukünftige Herausforderungen wie KI oder Quantentechnologie gerüstet?

Die Herausforderungen der neuen Technologie sind wohl noch nicht ausreichend überall angekommen. Bei Regulierung gilt es aber vorsichtig zu sein: Aufgrund der enormen Geschwindigkeit der technologischen Entwicklung ist es unerlässlich, dass wir technologieneutral regulieren und dadurch agil bleiben. Detaillierte Regulierung hinkt der Technologie grundsätzlich hinterher – besonders bei unserem langwierigen Gesetzgebungsprozess in der Schweiz. Wenn wir beispielsweise eine bestimmte Verschlüsselungstechnologie ins Gesetz schreiben, kann das dazu führen, dass neue, bessere Technologien gar nicht angewendet werden können, weil sie gesetzlich nicht vorgesehen sind.

Was sind aus Ihrer Sicht die nächsten dringenden Schritte, um die Cyberresilienz der Schweizer Wirtschaft nachhaltig zu stärken?

Zentral ist der Aufbau eines funktionierenden Frühwarnsystems, das staatlich koordiniert, aber mit Daten aus der Wirtschaft gespeist wird. Wir müssen Public-Private-Partnerships fördern und insbesondere KMU bei der Cybersicherheit besser unterstützen. Gleichzeitig ist es wichtig, dass die Schweiz technologische Entwicklungen nicht verschläft. Viele europäische Länder setzen sich sehr intensiv mit neuen Technologien auseinander. Hier braucht es eine enge Zusammenarbeit zwischen Wirtschaft, Wissenschaft und Staat, damit wir uns rechtzeitig auf neue Gefahren vorbereiten können.

Welche Botschaft möchten Sie als Wirtschaftsdachverband an die Politik vermitteln?

Cybersicherheit ist ein gesamtwirtschaftliches Thema, das jedes Unternehmen betrifft. Es geht um nationale Sicherheit und digitale Souveränität. Unser Positionspapier ist ein Angebot zur Zusammenarbeit. Wir brauchen nicht noch mehr Regulierung, sondern einen echten, wechselseitigen und schnellen Informationsaustausch. Der Bund soll koordinieren und unterstützen, aber nicht von oben herab diktieren, was zu tun ist. Denn letztendlich wissen die Unternehmen selbst am besten, wo bei ihnen der Schuh drückt. BACS hat bereits mit der Einführung des Cybersecurity Hub und der kürzlich erfolgten Kooperationen Swiss FS-CSC einen guten Weg eingeschlagen. Dieser Weg soll weiterverfolgt werden. Gemeinsam können wir viel mehr erreichen als mit einem System von Vorschriften und Sanktionen.

Hier geht es zum "Positionspapier zum regulatorischen Umgang mit Cyberrisiken" von Economiesuisse (PDF).

Zur Person

Angela Anthamatten ist stv. Bereichsleiterin Wettbewerb & Regulatorisches bei Economiesuisse. Sie hat Rechtswissenschaften studiert und anschliessend das Anwaltspatent des Kantons Bern erworben. Berufliche Stationen führten sie unter anderem zur Finma, in eine Wirtschaftskanzlei und zum ICT-Branchenverband SWICO. Ihre Schwerpunkte liegen im Technologierecht und in regulatorischen Fragen der digitalen Wirtschaft.