Seit 2019 ist Florian Schütz Delegierter des Bundes für Cybersicherheit und damit Leiter des Nationalen Zentrums für Cybersicherheit (NCSC), welches im Generalsekretariat des Finanzdepartementes angesiedelt ist. Per 1. Januar 2024 wird das NCSC in ein Bundesamt im Verteidigungsdepartement VBS transformiert. Das NCSC und damit sein Chef stehen derzeit im Rampenlicht der Öffentlichkeit – Grund ist der Cyberangriff auf das Softwarehaus Xplain, das zahlreiche Bundesbehörden und Kantone beliefert. Die Aufarbeitung des Falls ist in vollem Gange. Es gibt also Gründe genug, Florian Schütz zum Gespräch zu treffen.
«Swiss IT Magazine»: Mit dem Schritt, das NCSC zu einem eigenständigen Bundesamt unter dem Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) zu machen, beginnt gewissermassen ein neuer Lebensabschnitt für Ihre Abteilung. Lassen Sie uns zum Start aber erst auf den ersten Lebensabschnitt – die letzten vier Jahre – zurückblicken. Was sind für Sie die wichtigsten Ereignisse und Schritte seit dem Start des NCSC?
Florian Schütz: Der erste Punkt ist die Überarbeitung unserer Strategie. Bisher haben wir uns sehr auf Risiken fokussiert. Nun haben wir versucht, Chancen abzubilden respektive Chancen mehr Raum zu geben und unsere strategischen Ziele politischer zu machen. Zweitens richten wir das NCSC gezielt darauf aus, Prävention und Reaktion angemessen zu balancieren.
Welche Punkte stehen bei der Prävention im Fokus?Neue Massnahmen sind etwa unser Schwachstellen-Management und Responsible Disclosures, im Rahmen derer wir auch im engeren Kontakt mit Herstellern stehen. Weiter haben wir etwa ein Bug-Bounty-Programm ins Leben gerufen, sowie gegen aussen die Sensibilisierung gestärkt und dadurch begonnen, Best Practices aufzeigen.
Sind die Präventionsbemühungen in Ihren Augen genügend?Wir haben damit angefangen, die Investitionen in Richtung Prävention zu verschieben. In meinen Augen könnten und sollten wir hier aber noch mehr leisten. Denn nach einem Angriff ist der Schaden schon passiert und es geht nur noch um Schadensbegrenzung.
Wie ist das NCSC in der Schweiz heute diesbezüglich positioniert?Dieser Punkt ist mir persönlich besonders wichtig: Wir konnten uns in den letzten Jahren stark vernetzen und es ist uns gelungen, den Austausch zum Thema Cybersicherheit in der Schweiz massgeblich zu erhöhen. Auch bei der Zusammenarbeit innerhalb des Bundes haben wir einen grossen Schritt gemacht – auf operativer Ebene können wir heute schneller und einfacher zusammenarbeiten.
Nun folgt also der schon erwähnte neue Lebensabschnitt des NCSC – was wird sich ändern? Gibt es neue Aufgaben, Leitplanken, Befugnisse?Vorneweg: Was nun folgt, ist keine Revolution – es ist eine Weiterentwicklung. Dieses Jahr konzentrieren wir uns auf die Überführung des NCSC ins VBS. 2024 prüfen wir dann Synergien innerhalb des VBS. Hier wird etwa angeschaut, wo man enger zusammenarbeiten kann oder ob es Themen im VBS gibt, die man besser ins NCSC integrieren sollte. Hier könnten dann auch neue Aufgaben auf uns zukommen.
Zum Beispiel?Eine Aufgabe, die schon im Raum steht, ist im Zusammenhang mit der neuen Meldepflicht für kritische Infrastrukturen und die damit einhergehende Pflicht für das NCSC, dann auch Hilfe anzubieten. Das wäre also eine Stärkung der heute freiwilligen Aufgabe mit erhöhter Verbindlichkeit.
Das Thema der verbindlichen Meldepflicht für gewisse Einrichtungen steht gefühlt schon ewig im Raum.Solche gesetzgeberischen Prozesse dauern an. Gestartet wurde das Ende 2019, kurz nachdem ich meine Arbeit beim Bund angefangen habe. Zum Anfang dieses Jahres ging das Geschäft ins Parlament. Es gibt noch eine Differenzbereinigung zum Thema Schwachstellen, diese erfolgt hoffentlich in der nächsten Parlaments-Session.
Mit neuen Aufgaben kommt mehr Arbeit auf das NCSC zu. Zudem wird ihr Angebot schon heute rege genutzt – im Juni 2023 verzeichneten Sie innert einer Woche knapp 1000 Meldungen im NCSC. Werden Sie diesem Ansturm noch gerecht?Viele Meldungen ans NCSC kommen aus der Bevölkerung und hier versuchen wir, möglichst viel zu automatisieren. Vorfälle im geschlossenen Kundenkreis für kritische Infrastrukturen bedingen aber mehr manuelle Arbeit und belasten uns stärker. Zu den Ressourcen: Das ist eine Frage der Erwartungshaltung und des politischen Auftrages. Wenn wir Vorfälle stärker unterstützen sollen, brauchen wir natürlich mehr Ressourcen.
Wie steht es da um den Erfolg des genannten politischen Aufwands für eine Aufstockung der Ressourcen?Die Politik wird ihre Absicht kundtun, ob man hier noch mehr fordern will oder dies auf dem aktuellen Stand belässt. Wir investieren jedoch bereits heute in eine bessere Vorfallsbewältigung, indem wir eine Analysestelle aufbauen, die Fehler analysieren und einordnen kann.
Was wird diese leisten?Die jüngst erfolgten DDoS-Angriffe in der Schweiz etwa haben ein grosses mediales Echo ausgelöst und so ins Narrativ der Angreifer eingezahlt, obwohl der wirtschaftliche Schaden überschaubar war. Nun muss man sich fragen, ob man den DDoS-Schutz in der Schweiz stärken muss oder aber, ob man kommunikativ anders vorgehen muss. Mit einer eingehenden Vorfallsanalyse über die technischen Ursachen hinaus lassen sich künftig die besten Lösungen für Wirtschaft, Politik und Administration vorbereiten.
Wenn Sie ausbauen, brauchen Sie entsprechende Leute und diese sind rar. Sie sagten uns gegenüber vor ein paar Jahren bei Ihrem Antritts-Interview, dass Security-Fachleute eher auf spannende Jobs statt auf hohe Gehälter aus sind. Wie geht es Ihnen da beim NCSC – ist der Job spannend genug?Leider verbindet man mit dem Bund nach wie vor das Bild verstaubter Akten.
…was kaum hilft.Es ist tatsächlich nicht bekannt genug, wie spannend dieser Job eigentlich ist. Wir werden künftig als Bundesamt jedoch mehr HR-Ressourcen bekommen, um zu rekrutieren und sind da auf einem guten Weg. Aber wir sind noch weit vom Bild eines Arbeitgebers entfernt, bei dem man unbedingt arbeiten will. Da haben die Googles und Microsofts noch die Nase vorn (lacht).
Nun, da Sie bald dem VBS unterstellt sind: Bekommen Sie da auch Unterstützung von der Armee?Die rechtliche Abgrenzung ist hier wichtig. Wir können beispielsweise Schwachstellen, die dem NCSC gemeldet werden, nicht der Armee oder dem Nachrichtendienst (NDB) übergeben. Das heisst aber nicht, dass man nicht zusammenarbeiten kann. Wenn Not am Mann ist, kann beispielsweise die Berufsarmee mit dem Cyber-Kommando unterstützen. Der NDB ist derweil wichtig für Lageinformationen. Es gibt aber klare Regeln, was man teilen darf und was nicht.
Also wie in der Katastrophenhilfe, im Rahmen derer Soldaten auch mal Sandsäcke abfüllen.Ich sehe das so: Es gibt Kernaufgaben, die das NCSC selbst erfüllen können muss. Hier braucht es Mittel und diese sollten auch dem NCSC angehören. Es werden immer mehr Cyber-Vorfälle in der Wirtschaft, also müssen wir meiner Meinung nach ausbauen. Ich denke auch, dass man nicht mehr zwingend nach kritischer und unkritischer Infrastruktur unterscheiden muss – das NCSC kann überall Ersthilfe leisten, solange auch kommerzielle Hilfe beigezogen wird. In aussergewöhnlichen Situationen braucht es dann gegebenenfalls ein Überlaufgefäss, wie das erwähnte Cyber-Kommando. Bei einem sehr grossen Ereignis kann unter Umständen sogar die Milizarmee beigezogen werden.
Sie haben eben zwei gute Stichworte für den aktuell grössten Elefanten im Raum genannt: Das Teilen kritischer Daten sowie aussergewöhnliche Situationen. Im Fall von Xplain wird beides heiss diskutiert. Was ist der aktuelle Stand des Falls aus Ihrer Sicht?
Man muss sehr aufpassen, wo man was liest – die aktuelle Berichterstattung ist teilweise opportunistisch. Wir versuchen, so transparent wie für uns möglich zu kommunizieren und wollen ein gutes Beispiel sein. Aber Analysen dieser Art brauchen viel Zeit. Die Prüfung der Datensätze ist enorm aufwändig und muss für jedes Indiz einzeln angeschaut werden. Teils sind das etwa Testdaten, die veröffentlicht wurden – das ist natürlich sehr unangenehm, aber keine Gefahr. Weiter muss dann angeschaut werden, wie und warum diese einzelnen Datensätze zu Xplain gekommen sind und ob das rechtens war.
Es sieht aber so aus, als ob vieles nicht rechtens war, oder?
Ein Vorfall wie Xplain unterliegt verschiedensten juristischen Regeln und Zusammenarbeitsmodellen mit den einzelnen Ämtern. Das macht die Komplexität aus. Wir sind uns alle einig, dass Personendaten in dieser Form nicht ins Netz gehören. Aber es ist zu früh für Schuldzuweisungen.
Welches Vorgehen wäre in Ihren Augen denn richtig?
Natürlich kann man nun einfach die Schuldigen suchen. Spannender ist aber sich zu fragen, was genau schiefgelaufen ist und was man daraus lernt. Xplain hat ja auch Kunden in der Wirtschaft, hier lohnen sich etwa Vergleiche der Prozesse mit dem Bund und den Kantonen.
Aber ehrlicherweise ist es doch so: Die Kontrolle der Cybersecurity-Elemente eines Vertrages sind enorm komplex und einmal mehr kommen wir damit zum Stichwort Ressourcen. Es klingt unrealistisch, dass jede Verwaltungseinheit des Bundes und jeder Kanton, der Kunde von Xplain ist, den Vertrag vollumfänglich selbst kontrolliert.
Das dezentrale Modell von heute gibt den Bundesämtern eine grosse Autonomie. Das wird so gewünscht. Aber jede dieser Stellen hat die Möglichkeit, sich Unterstützung vom NCSC zu holen.
Für die Überprüfung des Vertrages sowie dessen Einhaltung?
Genau. Je nach Fall und Auslastung kann das dann auch mit externer Hilfe geleistet werden. Im kommenden Jahr tritt ausserdem das neue Informationssicherheitsgesetz (ISG) in Kraft, damit ergeben sich neue Möglichkeiten, um Entitäten zu prüfen, die mit Daten des Bundes arbeiten.
Das ISG bringt also bessere Rahmenbedingungen für solche Prozesse; sicher ein guter Anfang. Aber braucht es in Ihren Augen nicht auch ein besseres Bewusstsein für Cybersicherheit beim Bund und damit entsprechende Spezialisten in den Ämtern?
Die Ausgestaltung dieser Umsetzung und der genaue Auftrag des NCSC sind noch Gegenstand der aktuellen Diskussionen. Man muss sich hier aber generell fragen, wie viel man dezentral macht und wie viel man zentralisiert.
Und was ist Ihre persönliche Meinung dazu?
Meine persönliche Sicht ist, dass wir das Expertenwissen zentral aufbauen sollten. Es ist nicht ökonomisch, wenn jede Organisationseinheit mehrere Sicherheitsleute braucht. Heute haben jedes Departement und jedes Amt einen Sicherheitsbeauftragten. Diese tauschen sich regelmässig untereinander und mit den Leistungserbringern aus. Geleitet wird dieser Ausschuss vom NCSC. Das ist in meinen Augen eine gute Grundstruktur. Es stellt sich nun aber die Frage, ob es nicht eine Liste der Top-Lieferanten gibt, die Bundesdaten haben, welche man zentral organisiert überprüfen sollte. Im militärischen Bereich – wenn es um klassifizierte Informationen geht – gibt es ein solches Instrument bereits heute. Ich bin aber nicht der Ansicht, dass das enorm viel Ressourcen braucht.
Wie würden Sie das denn effizienter gestalten?
Erstens helfen hier Standardklauseln, wie die vor einigen Jahren eingeführte Meldepflicht bei Vorfällen von Lieferanten des Bundes. Wichtig ist hier die Erfahrung, indem man aus Vorfällen und Audits lernt und neue Standardklauseln und präventive Mittel für die Verträge daraus ableitet. Mit schätzungsweise zwei bis drei Leuten kommt man meiner Erfahrung nach schon sehr weit. Auch braucht es ein Vier-Augen-Prinzip auf der Seite des Bundes. Es sind Menschen, die arbeiten, also passieren auch Fehler. Hier muss man sich fragen, welche Regeln praktikabel sind und wie wir Fehler schnell bemerken und lösen. Was nicht sein darf ist, dass sich Fehler über Jahre hinweg ziehen können.
Was bei Xplain aber wahrscheinlich passiert ist.
Und deshalb wird derzeit eine Administrativuntersuchung geplant, welche unter anderem klären soll, welche Prozesse nicht eingehalten wurden, wo konkrete Fehler gemacht wurden und wie man diese adressieren kann.
Apropos Fehler und Fehlerkultur: In der hiesigen IT-Bubble gibt es Stimmen, die sagen, dass es aus diversen Gründen ein Fehler ist, dass der Bund dermassen intensiv auf Microsoft-Produkte setzt. Wie sehen Sie dieses Klumpenrisiko?
Erstens muss man sich fragen: Was ist die Alternative? Um beispielsweise ein Linux-OS sicher zu machen, braucht es genau gleich viele Ressourcen wie bei Windows. Weiter stellt sich eine monetäre Frage: Wie viel kostet es, wie viel will man sich leisten? Auf einen Anbieter zu setzen, ist natürlich günstiger. Mit mehr Diversifizierung steigen die Kosten und es gibt Kompatibilitätsprobleme, Angriffe werden jedoch aufwändiger.
Und aus der Perspektive der Cybersicherheit? Die jüngsten DDoS-Angriffe oder die Exchange-Lücke sollten da doch zu denken geben.
Ein Unternehmen wie Microsoft investiert wesentlich mehr in Sicherheit, als der Bund das jemals könnte. Natürlich ergibt sich damit eine Abhängigkeit. Ich bin der Meinung, dass wir über gute Data Governance statt über einzelne Systeme sprechen sollten. Die Diskussionen in der IT-Bubble sind in meinen Augen oft zu High-Level und sollten detaillierter sein.
Die öffentliche Debatte geht in Ihren Augen also am eigentlichen Problem vorbei?
Die öffentliche Debatte ist mir oft zu schwarz-weiss – «Cloud böse, Microsoft böse». Das Ganze ist eine Ingenieursdiskussion und hat leider eine gewisse Komplexität, die man nicht vernachlässigen darf.
Und wie sollen die Unternehmen damit umgehen? Vor drei Jahren haben Sie vor allem betont, dass der Grundschutz bei den hiesigen KMU zu schwach ist. Wie ist die Situation heute?
Ich denke, dass es sich vor allem bestätigt hat, dass meine Aussage von damals nicht falsch war (lacht).
Aber weiter sind wir nicht?
Weiter sind wir mit der Awareness für die Risiken. Aber bei den von Ihnen angesprochenen Exchange-Lücken etwa haben wir die Probleme gesehen: Selbst wenn man den Unternehmen eingeschriebene Briefe schickt mit der Aufforderung, die Systeme zu patchen, gibt es eine grosse Menge, die spät oder gar nie reagiert. Eine gewisse Naivität registrieren wir da schon, und die Unterschiede sind riesig. Die Grösse des Unternehmens ist dabei weniger relevant, die IT-Affinität scheint wichtiger zu sein. Weiter hat sich gezeigt: Es kommt auf den Patron, die Geschäftsleitung und den Verwaltungsrat an.
Wagen wir noch einen Blick in die Zukunft: Wo bewegt sich Cybersicherheit in Ihren Augen in den kommenden Jahren hin?
Erstmal wird es wie gehabt ein Wettrennen bleiben. Sowohl die Wertschöpfung wie auch das Leben werden immer digitaler, damit wird auch Kriminalität immer digitaler, was natürlich nicht weiter erstaunt. Ich denke, dass wir künftig noch mehr auf Basisservices setzen werden, die wir über Servicemodelle beziehen werden. Weiter gibt es spannende Entwicklungen in der Forschung wie etwa Confidential Computing. Oder am Beispiel Quantum Computing: Das ist eine potenzielle Gefahr für Verschlüsselung, aber auch hier gibt es bereits quantensichere Algorithmen. Panik ist also unangebracht. Für mich wichtig ist die Frage, wie sich die Schweiz in der gesamten Entwicklung positioniert.
Wie sollte diese Positionierung aussehen?
Auf der Forschungsseite sind wir bereits sehr gut dabei. Die Berufslehre ist ebenfalls enorm wichtig, um Leute security-technisch in bestimmten Bereichen gezielt in der Tiefe auszubilden. Schwach sind wir in meinen Augen aber noch bei den Anforderungen an Security-Manager. Es gibt noch viel zu viele leitende Personen im Sicherheitsbereich ohne den erforderlichen IT-Background. Man stellt ja auch keinen CFO ohne Finanz-Background an. Das führt dazu, dass die IT-Experten entweder nie ins Management kommen, weil sie nicht entsprechend ausgebildet werden, oder ins Ausland abwandern.
Und wie sollten sich die Schweizer Firmen positionieren?
Wir sollten meiner Meinung nach nicht dem Unicorn-Prinzip hinterherrennen, sondern auf unsere bewährten Familienunternehmen setzen. Meine These ist daher, dass wir in der Schweiz gut aufgestellte Security-Unternehmen brauchen, die auch Krisen überstehen und die Entwicklungszyklen mitmachen können. Hier hätte die Schweiz eine riesige Chance – wir müssen es schaffen, dass wir diese Traditionsunternehmen in die IT-Bubble bringen können, von der wir schon gesprochen haben. Hier muss sich die IT- und die Security-Branche im Speziellen auch noch etwas öffnen und mit der Welt auseinandersetzen.
(win)
