Schweizer Cybersecurity: Es gibt noch viel zu tun

In Sachen Cybersecurity besteht in der Schweiz noch Nachholbedarf. So lautet das Fazit der entsprechenden Experten von Switch, die vor den Medien in Zürich Daten und Erfahrungen zum Thema präsentierten. Switch ist eine privatrechtliche Stiftung, die ursprünglich für den Betrieb des Schweizer Hochschulnetzes zuständig war, seit 20 Jahren aber auch als Cert (Computer Emergency Response Team) für Schweizer Institutionen und Firmen tätig ist.

So beleuchtete Martin Leuthold, Bereichsleiter Security & Network bei Switch, den strategisch-organisatorischen Zustand der Schweiz in Sachen Cybersecurity. «Hier besteht Verbesserungspotenzial und Handlungsbedarf», ist er überzeugt. Eines der Probleme sieht er in den vielen «Köchen», die sich hierzulande im Handlungsfeld IT-Sicherheit tummeln würden. «Die vielen Akteure in der Schweiz sind zwar nicht per se etwas Schlechtes, aber es macht sehr viele Prozesse sehr langsam», sagt er. Diese Langsamheit sei in einem Themenfeld, in dem die Angreifer alle drei Monaten ihr «Geschäftsmodell» wechselten, etwas, dass man sich heute nicht leisten könne, meint Leuthold.

Dabei sei die Schweiz mit der ersten Nationalen Cyber Strategie (NCS), die bereits 2012 formuliert worden ist, im internationalen Vergleich sehr früh gewesen, betont Leuthold. Trotz guter Massnahmen habe die NCS aber wenig messbare Wirkung erzielt. Hauptproblem war für ihn der bei der Umsetzung an den Tag gelegte Dezentralismus mit diversen Kompetenzstreitigkeiten der Beteiligten. «Es nützt nichts, wenn an 20 Stellen der Bundesverwaltung Massnahmen umgesetzt, diese aber nicht vernetzt werden», so Leutholds Kritik an der Umsetzung der ersten NCS.

In der nun aktuellen zweiten NCS, die von 2018 bis 2022 läuft, sind gemäss Leuthold einige wichtige Verbesserungen vorgenommen worden. So wurde die Zielgruppe auf KMU und die einzelnen Bürgerinnen und Bürger erweitert. Gerade Letzteres sei zentral, erhalte so der in Sachen IT-Security so wichtige «Faktor Mensch» das nötige Gewicht. In diesem Zusammenhang nannte Leuthold auch die Sensibilisierungskampagnen, die derzeit auf verschiedenen Ebenen laufen, als vorbildlich.

«Ganz wichtig in der zweiten NCS ist auch das Primat der Eigenverantwortung aller Beteiligten», hob er hervor. «Grundsätzlich muss sich jedes Unternehmen selbst schützen können, und der Bund soll dann subsidiär eingreifen, wenn es für die Gesellschaft und die Wirtschaft kritisch wird», sagt er. Schliesslich sei auch der strategische Rahmen, der beispielsweise mit dem Kompetenzzentrum gegeben sei, sehr gut.

Leider werden gemäss Leuthold die bereits 2017 formulierten Massnahmen der zweiten NCS zu schleppend umgesetzt. So seien keine Ressourcen und Mittel gesprochen worden, sodass es für 2019 kein Budget für die Umsetzung der Massnahmen gebe. «Wir haben somit zwei von fünf Jahren, die in der zweiten NCS veranschlagt sind, verstreichen lassen, ohne dass wir weit gekommen sind», moniert er.