Wie der Cyber-Delegierte des Bundes die Schweiz schützen will

Sie sind nun seit August 2019 im Amt. Haben Sie die Schweiz seitdem schon sicherer gemacht?

Florian Schütz: Ob die Schweiz sicherer ist oder nicht, lässt sich nicht einfach messen. Ich denke aber, dass meine Kollegen und ich Schritte in die richtige Richtung machen. Zum Beispiel arbeiten wir gerade daran, die Umsetzung der Ziele der "Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS)" in KPIs zu messen. Bislang gab es nur eine Meilensteinplanung.

Wie ist es Ihnen in der Zeit ergangen?

Gut. Wir konnten bereits Erfolge erzielen. Die departementsübergreifende Arbeit macht wichtige Fortschritte. Auch die Anlaufstelle konnten wir aufbauen und so die anderen Teams von Melani entlasten. Zudem konnten wir einige knappe Deadlines für politische Geschäfte – dank Sofortmassnahmen – einhalten. Es gibt aber immer noch viel zu tun. Zum Beispiel müssen wir die Organisation im Bund detaillierter beschreiben, mit allen abstimmen sowie Prozesse und Key Performance Indicators (KPIs) formalisieren, um unsere Leistung zu messen.

Wie haben Ihre bisherigen Aufgaben bei Ruag und Zalando Sie auf diese neue Rolle vorbereitet?

Bei Ruag habe ich vor allem gelernt, für Endkunden zu arbeiten, Businesspläne zu erstellen und eine Organisation Stück für Stück aufzubauen. Ausserdem konnte ich wertvolle Erfahrungen im Bereich Cyber- und Sicherheitspolitik im In- und Ausland sammeln. Bei Zalando lernte ich vor allem, welche Herausforderungen sich in einer komplexen Technologiefirma ergeben. Ich musste eine Organisation aufbauen, welche stark skaliert und messbar ist. Eine Skalierung wird vor allem für den Aufbau vom Nationalen Zentrum für Cybersicherheit (NCSC.ch) ein wichtiger Erfolgsfaktor sein.

Wie verlief die Umstellung von der Privatwirtschaft in die Politik?

Ziemlich reibungslos. Ungewohnt war für mich, dass die Vorbereitungen von Massnahmen, die man umsetzen will, etwas länger dauern. Es gilt, politische Prozesse einzuhalten, sämtliche wichtigen Akteure in den Diskurs einzubeziehen und zu berücksichtigen. Die Kunst besteht darin, einen für alle akzeptablen Rahmen zu schaffen. In der Umsetzung nutze ich dann einen agileren "fail fast"-Ansatz, um wieder Zeit gutzumachen.

Wo gab es nach Ihrem Amtsantritt den dringendsten Handlungsbedarf?

Den dringendsten Handlungsbedarf sah ich darin, die Zusammenarbeit zwischen den verschiedenen Teams in der Verwaltung reibungsloser zu gestalten. Um dies zu erreichen, braucht es für jedes Team vor allem eine scharf definierte Aufgabe. Dies erzeugt Transparenz, und die Ergebnisse werden messbar, was wiederum autonome Teamentscheidungen ermöglicht, ohne Konflikte mit anderen Teams zu schaffen oder Arbeit zu duplizieren.

Und wie packten Sie diese Herausforderung an?

An diversen Stellen wurden erste KPIs etabliert, und ich habe in meiner Geschäftsstelle mit dem Aufbau eines Projektmanagement-Office begonnen. Ausserdem arbeite ich mit meinen Führungskräften aus dem unmittelbaren Umfeld daran, die Teams entsprechend weiterzuentwickeln. Aktuell definieren wir gerade unsere Formate für die Zusammenarbeit – zum Beispiel "Daily Stand-ups" und "Retrospektiven".

Wie sieht der Arbeitsalltag des Delegierten des Bundes für Cybersicherheit aus?

Den typischen Alltag gibt es nicht. Und genau das ist es, was mir an meiner Tätigkeit gefällt. Ich diskutiere mit Verbänden über Herausforderungen in der Industrie oder evaluiere mit Experten Lösungsmöglichkeiten. Dann beschäftige ich mich mit Organisationsentwicklung und mache Vorschläge für Leistungskataloge. Oder es steht ein politisches Geschäft an, bei welchem ich mein Fachwissen einbringe.

Wie muss man sich das Nationale Zentrum für Cybersicherheit (NCSC.ch) vorstellen, das Sie leiten?

Das Nationale Zentrum für Cybersicherheit (NCSC.ch) ist die Anlaufstelle für Meldungen über Cybervorfälle. Diese ist seit 1. Januar 2020 aktiv und hat in den ersten zwei Wochen 192 Meldungen bearbeitet. Es wird Best Practices verfügbar machen, welche Unternehmen und Privatpersonen helfen, sich besser zu schützen. Das NCSC.ch stellt ausserdem die Koordination zwischen den Bundesbehörden sicher und steuert die Umsetzung der "Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS)". Zudem planen wir Leistungen, welche heute nur kritischen Infrastrukturen zur Verfügung stehen, auch anderen Unternehmen zugänglich zu machen. Dafür benötigen wir aber noch etwas Zeit.

Welche Ziele möchten Sie als Delegierter des Bundes für Cybersicherheit erreichen?

Mittelfristig möchte ich klarer veranschaulichen, welche Leistungen der Bund erbringt, welche Verantwortung der Bund übernimmt und wo eine Eigenverantwortung bei Kantonen, Organisationen oder Privatpersonen liegt. Ausserdem möchte ich den Eigenschutz des Bundes stärken. Meine Vision ist es, ein System mitzugestalten, welches unsere Schweizer Werte in den Cyberspace transformiert und unsere Bevölkerung, Bildung und auch Wirtschaft gut für die digitalisierte Zukunft positioniert. Dafür ist Cybersicherheit die Grundvoraussetzung.

Wie gut geschützt ist die Schweiz gegenüber Cyberbedrohungen?

Cyberbedrohungen sind vielfältig und es gibt keine einheitlichen Messkriterien. Daher kann ich diese Frage nicht abschliessend beantworten. Im Rahmen der NCS haben wir unter der Leitung des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) und in Zusammenarbeit mit der Oxford Universität einen ersten Versuch unternommen, die Maturität der Schweiz zu beurteilen. Dieser Versuch soll zukünftig eine Vergleichbarkeit mit anderen Nationen ermöglichen. Die Ergebnisse stehen aber noch aus.

Sehen Sie da einen Unterschied zwischen der Privatwirtschaft und der öffentlichen Hand?

Für den Eigenschutz sehe ich ähnliche Themen. Wir haben jedoch unterschiedliche Leistungserbringer mit eigenen Netzen. Es ist also schwieriger, hier eine einheitliche Analyse und Abwehr zu etablieren.

Ihr beruflicher Werdegang ist eher von grossen Unternehmen geprägt. Die Schweiz ist jedoch ein KMU-Land. Wie gut kennen Sie die Bedürfnisse der kleinen und Kleinstunternehmen hierzulande?

Ich denke, ich kann die Bedürfnisse und Herausforderungen gut einschätzen. Generell ist es immer wichtig, die Spezifika von Branchen zu berücksichtigen, um passende Lösungen zu finden. Dafür arbeite ich einerseits mit Verbänden, andererseits habe ich für engagierte Firmen und Experten aus KMUs auch immer ein offenes Ohr.

Welchen Einfluss hat die enorme Häufung von KMUs auf die Cybersicherheitslage der Nation als Ganzes?

Die Verteilung der Wirtschaftsleistung auf viele Firmen ergibt eine grössere Resilienz. Jedoch wäre die Verwundbarkeit grös­ser, falls die KMUs schlechter geschützt wären als grössere Firmen. Die wichtigste Herausforderung sehe ich aber darin, Cybersicherheit für KMUs einerseits erschwinglich zu machen und andererseits KMUs zu ermöglichen, sichere Produkte herzustellen und diese als Wettbewerbsvorteil in einer zunehmend digitalisierten Welt zu nutzen. Maschinen für die Fertigung werden zum Beispiel immer vernetzter. Ich bin überzeugt, dass an diese Unternehmen bald schon erhöhte internationale Sicherheitsanforderungen gestellt werden. Wenn die Schweizer Industrie sichere Maschinen liefern kann, ist das eine Chance.

Wie beurteilen Sie aktuelle Hype-Themen wie Smarthomes und KI?

Beide Themenfelder entwickeln sich fortlaufend und werden präsenter. Die zunehmende Durchdringung unseres Lebens mit Technologie stellt neue Herausforderungen an die Cybersicherheit. Es ist aber keine Revolution, sondern eher eine Evolution. Die Cybersicherheit muss zusammen mit der Entwicklung der Technologien angegangen werden.

Wie sehen für Sie die Eckpfeiler einer guten Cybersicherheit aus?

Der erste und wichtigste Pfeiler ist "Security Engineering & Architektur": Systeme sicher entwickeln, konfigurieren und betreiben. Das geht heute leider in der Diskussion oft neben Angriff und Verteidigung unter. Der zweite Pfeiler ist ein starkes "Identity & Access Management", um den Zugriff auf Daten zu steuern. Und der dritte Pfeiler ist "Security Operations". Hier geht es darum, Angriffe zu erkennen und abzuwehren sowie Schwachstellen zu managen. Das Ganze sollte auf einer soliden Basis von Risikomanagement, Governance und Compliance stehen. Übergeordnet gilt es dann, politische Rahmenbedingungen zu schaffen, um Kollaboration und Informationsaustausch über Organisations- und Landesgrenzen zu ermöglichen.

Für eine gelungene Cybersecurity müssen Forschung, Wirtschaft und Politik an einem Strang ziehen. Wie wollen Sie diese Zusammenarbeit fördern?

Im Rahmen der NCS gibt es verschiedene Vorhaben, in denen zusammengearbeitet wird. Ausserdem evaluieren wir auch neue Ideen im Steuerungsausschuss NCS, um neue Projekte, die einen Beitrag an die NCS leisten, besser zu koordinieren.

Während Ihrer Zeit bei Ruag waren Sie auch in Israel stationiert. Wie beurteilen Sie die dortige Cybersecurity-Kultur? Das Land gilt ja gemeinhin als Vorreiter in dem Bereich.

Israel hat es sehr früh verstanden, dass mit den richtigen Lösungen ein Vorteil geschaffen werden kann, obwohl die Abwehr von Cyberbedrohungen in erster Linie teuer ist und einen hohen Nachteil bezüglich Kosten in sich birgt. Israel fördert die Ausbildung im Bereich Cybersecurity und schafft günstige wirtschaftliche Bedingungen für Start-ups.

Hat das israelische Modell eine Vorbildfunktion für Ihre Bemühungen in der Schweiz?

Die Staaten, welche wir als Vorreiter in Cybersecurity wahrnehmen, haben eines gemeinsam: Sie betrachten das Thema ganzheitlich und nicht nur als Abwehr-Thema. Da können wir als Schweiz durchaus lernen, was funktionieren kann und was nicht. Wir müssen jedoch ein Modell finden, das zu unserer Kultur und unserem politischen System passt. Einfach kopieren geht nicht.

Wie wichtig ist die internationale Kooperation für eine starke Cyberabwehr?

Internationale Kooperation ist ein Muss, denn das Internet kennt keine Landesgrenzen. Wenn man das Netz nur auf die Schweiz eingrenzen würde, würden viele Dinge in unserem Alltag nicht mehr funktionieren.

Welche Länder sehen Sie sonst noch als Vorbilder beziehungsweise potenzielle Partner für die Schweiz?

Wir arbeiten heute schon mit vielen Ländern zusammen. Diese Zusammenarbeit findet sich vor allem bei GovCERT, Melani wie auch Fedpol und der Armee, aber auch in anderen Bereichen wie der Aussen- und Wirtschaftspolitik.

Was werden Sie 2020 unternehmen, um die IT-Sicherheit in der Schweiz zu erhöhen?

Mit der neu geschaffenen Anlaufstelle und dem Aufbau von NCSC.ch auf der Basis von Melani entsteht ein zentraler Anlaufpunkt für Meldungen und für Informationen im Bereich Präventivmassnahmen sowie Best Practices. Des Weiteren führen wir eine kontinuierliche Messung des Ambitionsniveaus der NCS-Umsetzung ein, um die strategische Steuerung zu verbessern. Ausserdem werden wir Möglichkeiten für eine Meldepflicht von Cybervorfällen evaluieren.

Wann darf die Sicherheit höher wiegen als die individuelle Freiheit?

Das ist eine gute und wichtige Frage. Es liegt jedoch nicht an mir, diese zu beantworten. Dafür haben wir einen demokratischen Prozess. Die Bevölkerung muss dies entscheiden. Persönlich gewichte ich die individuelle Freiheit sehr hoch.

Inwiefern sind mehr Regulierungen der Weg zu mehr Sicherheit?

Regulierungen sind ein indirektes Mittel, um die Sicherheit zu erhöhen. Sie können zum Beispiel dazu führen, dass Unternehmen verpflichtet werden, Dinge zu tun, die sie sonst ignorieren würden. Aber Regulierungen können auch die Spiesse "gleichlang" machen, sodass für alle betroffenen Firmen dieselben Regeln gelten. Jedoch denke ich, dass man so wenig wie möglich regulieren sollte.

Und wie wollen Sie diese Gratwanderung bestreiten?

Wichtig ist: Ich allein entscheide nicht, was wir regulieren und was nicht. Es werden aber Vorschläge gemacht. Diese gleichen wir mit Verbänden und Experten ab. Daher suche ich gerade auch mit Kritikern den Dialog. Leider nehmen die stärksten Kritiker das Gesprächsangebot heute noch nicht wahr, aber ich arbeite an der Vertrauensbasis.

Wie lautet Ihr persönlicher IT-Security-Top-Tipp für Herr und Frau Schweizer?

Wir sehen gerade viele Betrugsfälle, welche Werbeanzeigen auf Websites, E-Mail oder SMS nutzen. Wenn Ihnen etwas Kostenloses oder etwas mit sehr hoher Rendite angeboten wird, dann ist die Wahrscheinlichkeit gross, dass Sie das Produkt und nicht der Kunde sind. Seien Sie skeptisch, aber verfallen Sie nicht in Paranoia.