Bitte beachten Sie, dass dieses Transkript zur besseren Lesbarkeit vereinfacht und zusammengefasst wurde und möglicherweise nicht den genauen Wortlaut des ursprünglichen Gesprächs widerspiegelt. Das vollständige, ungekürzte Interview können Sie im Video auf YouTube ansehen.
Robert Rogenmoser: Es freut mich sehr, Florian Schütz hier zu haben, vom Nationalen Zentrum für Cybersicherheit (NCSC). Florian, du bist seit einigen Jahren Leiter des Bundesamts. Wer bist du und woher kommst du?
Florian Schütz: (Scherzhaft) Das frage ich mich auch oft. Ich bin Ingenieur von Beruf, habe Informatik an der ETH Zürich studiert. Danach arbeitete ich bei RUAG, einem Schweizer Verteidigungsunternehmen, wo ich die Gelegenheit hatte, ein Forschungsteam aufzubauen. Später zog ich zu Zalando nach Berlin, wo ich lernte, wie man Sicherheit im großen Maßstab umsetzt.
Robert: Du hast also Kleidung verkauft?
Florian: (Lacht) Nein, Mode hat mich nie wirklich interessiert, aber bei Zalando habe ich gelernt, wie man Sicherheit im großen Maßstab handhabt. Damals haben wir etwa 200 GB komprimierte Daten pro Sekunde generiert und durch die Netzwerke geschoben. Wir hatten durchschnittlich drei Vorfälle pro Tag, die sich direkt auf den Cashflow auswirkten, und viele Änderungen in der Infrastruktur täglich. Das ist klein im Vergleich zu AWS, und AWS ist wiederum klein im Vergleich zu Alibaba. Es gibt immer Raum für mehr, aber dort habe ich Sicherheit im großen Maßstab gelernt.
Robert: Ging es dabei nur ums Geld?
Florian: Ja, Vorfälle führen oft direkt zu finanziellen Verlusten, also ist es entscheidend, sie schnell zu bewältigen.
Florian: Ich versuche, ein Umdenken anzuregen – Sicherheit geht nicht nur um Risiken, sondern auch darum, Geschäftswert zu schaffen. Zum Beispiel, als Zalando von DDoS-Angriffen betroffen war, haben wir anstatt nur Regionen zu blockieren, Daten und Erkenntnisse gesammelt, die im Marketing hilfreich waren. So haben wir durch Sicherheit Geschäftswert geschaffen.
Robert: Irgendwann hast du den Anruf aus Bern bekommen. Wie kam das?
Florian: Die Position des Bundesdelegierten für Cybersicherheit wurde mit der Umsetzung der zweiten nationalen Cybersicherheitsstrategie neu geschaffen. Diesmal berücksichtigt die Strategie alle, Militär, Polizei und so weiter. Der Bundesrat entschied daher, dass sie jemanden brauchen, der all diese Cybersicherheitsbemühungen koordiniert.
Ich habe mich beworben, weil ich Chancen für die Schweiz im Bereich Cybersicherheit sah. Jetzt leite ich das Nationale Zentrum für Cybersicherheit, das die Umsetzung der nationalen Strategie übernimmt. Es ist eine große Freude, in dieser Position zu sein und diese Chancen tatsächlich gestalten zu können.
Robert: Was ist deine Rolle im NCSC?
Florian: Ich leite das Nationale Zentrum für Cybersicherheit. Meine Aufgabe ist es, die nationale Cybersicherheitsstrategie zu entwickeln und umzusetzen. Dies beinhaltet die Koordination mit Unternehmen, Kantonen und der breiten Öffentlichkeit.
Robert: Eine nationale Cybersicherheitsstrategie klingt groß. Wo fangen wir an? Haben wir eine nationale Strategie?
Florian: Ja, schon die dritte Version. Im Vergleich zu den beiden vorherigen Versionen geht es nicht nur um Risiken, sondern auch um Chancen. Die Länder, die in der Cybersicherheit erfolgreich sind, sind diejenigen, die Chancen durch ihre nationale Strategie gestalten.
Dieses Mal ist die Strategie auch mit den Kantonen und Wirtschaftsverbänden abgestimmt und anerkannt. Wir versuchen, einen Weg zu finden, ein Gleichgewicht zwischen Regulierung und der Vermeidung jedes möglichen Risikos zu finden.
Robert: Wie koordinierst du Cybersicherheit zwischen verschiedenen Bundesstellen?
Florian: Wir sind ein föderaler Staat – es gibt keinen einzigen „Chef“. Ich koordiniere zwischen verschiedenen Einheiten, einschließlich des Militärs und der Kantone. Wir haben auch ein externes Steuerungskomitee, das aus Vertretern aus der Industrie, der Zivilgesellschaft, den Kantonen und auf Bundesebene besteht. Sie überwachen unsere Bemühungen.
Obwohl wir häufig mit verschiedenen Bundesstellen wie dem Cyber-Kommando und dem Nachrichtendienst des Bundes (NDB) zusammenarbeiten, gibt es strikte Grenzen beim Austausch sensibler Informationen. Beispielsweise teilen wir nicht automatisch alle Schwachstellen mit dem Nachrichtendienst oder der Polizei, es sei denn, die nationale Sicherheit ist direkt gefährdet. Diese Kontrollmechanismen stellen sicher, dass Informationen nur bei Bedarf weitergegeben werden, um sowohl die Sicherheit als auch die betriebliche Integrität zu gewährleisten.
Robert: Eines der großen jüngsten Ereignisse in der Schweiz war die Bürgenstock-Konferenz. Kannst du uns von deinem Engagement bei der Ukraine-Konferenz am Bürgenstock erzählen?
Florian: Ja, auf unserer Website gibt es auch einen Bericht über die Einzelheiten dessen, was wir offenlegen können. Wir hatten es mit erwarteten DDoS-Angriffen von pro-russischen Gruppen wie „NoName“ zu tun. Diese Angriffe waren zwar nicht besonders raffiniert, aber sie waren eine Belästigung und kosteten Geld. Sie hätten auch Auswirkungen auf die öffentliche Wahrnehmung haben können, also haben wir uns gründlich vorbereitet, indem wir mit der Polizei und dem Militär koordinierten und vor und während der Veranstaltung viel über Medienkanäle kommunizierten. Wir haben auch eine Risikoanalyse mit wichtigen Stakeholdern zur Vorbereitung der Veranstaltung durchgeführt.
Robert: Kannst du uns mehr darüber erzählen, was passiert ist? Sind einige Websites ausgefallen?
Florian: Wir hatten einige Angriffe; ich würde sagen, es war eine mittlere Intensität. Es hätte schlimmer sein können. Während der Konferenz gab es auch Manipulationen an Daten der Notfallorganisationen, aber insgesamt war der Einfluss überschaubar. Alle Einheiten haben auf das gleiche Ziel hingearbeitet. Unsere Aufgabe war es sicherzustellen, dass jeder wusste, woran er arbeitet und welche Rolle er hatte. Die Schweiz kann aufgrund ihres föderalen Systems etwas kompliziert sein, aber gleichzeitig, wenn man die Leute an einen Tisch bringt und gut koordiniert, ist es ein sehr widerstandsfähiges System.
Robert: Timo Pfahl von SIX sagte uns zuvor, dass man normalerweise nichts davon hört, wenn alles gut läuft. Das ist eine gute Sache. Bei Bürgenstock haben wir nicht viel über Cybersicherheitsvorfälle gelesen, also denke ich, es lief gut. Vielen Dank, großartige Arbeit für dich und alle anderen Teams!
Robert: Wie sieht es mit der Zukunft aus? KI, Cloud, Quantencomputer – wie spielen sie eine Rolle?
Florian: KI ist nicht unser Hauptthema, da die meisten Probleme immer noch mit Statistik gelöst werden können. Aber sie ist eine Realität bei Cyberangriffen, die wir überwachen, insbesondere bei Phishing-E-Mails. Mit maschinellem Lernen werden Phishing-E-Mails besser, gezielter und skalierter. Bleiben Sie wachsam.
Cloud-Computing ist ein breites und komplexes Thema, und es gibt keine universelle Lösung für Sicherheit. Meiner Meinung nach investieren große Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud Milliarden von Dollar pro Jahr in die Sicherung ihrer Infrastruktur. Diese Investitionen schaffen hochsichere Umgebungen, die oft robuster sind, als es sich einzelne Unternehmen leisten können. 75 % der Schweizer Unternehmen verdienen weniger als eine halbe Million pro Jahr, daher ist ihre IT recht klein. Aber je nach Geschäftsmodell und Branche gibt es strenge Compliance-Anforderungen, die vorschreiben, wie Daten gespeichert, verarbeitet und abgerufen werden sollten. Bei der Umstellung auf die Cloud ist es entscheidend sicherzustellen, dass der Cloud-Anbieter diesen regulatorischen Anforderungen entspricht.
Schließlich stellt das Quantencomputing eine signifikante zukünftige Herausforderung dar, insbesondere für die Kryptografie. Obwohl wir Migrationsstrategien erkunden, um uns auf diese Ära vorzubereiten, hat es derzeit noch nicht die höchste Priorität. Wenn es soweit ist, würde unsere Rolle wahrscheinlich darin bestehen, Prozesse zu rahmen, Abhängigkeiten zu bewerten und kritische Prioritäten festzulegen – insbesondere für die nationale kritische Infrastruktur – anstatt direkt die Umsetzung zu treiben. Ich sehe unseren Mehrwert darin, die Bemühungen zu koordinieren und klare Prioritäten für einen reibungslosen Übergang zu setzen.
Robert: Hast du abschließend noch Tipps für Unternehmen oder Privatpersonen, wie sie sich vor Cyberbedrohungen schützen können?
Florian: Ja:
Robert: Danke, Florian!