«Es braucht keine Angst, aber eine gewisse Vorsicht»
Florian Schütz, Direktor des Bundesamtes für Cybersicherheit, erklärt, wie man sich vor Cyberkriminellen schützen kann.
Florian Schütz, Direktor des Bundesamtes für Cybersicherheit, erklärt, wie man sich vor Cyberkriminellen schützen kann.
Demnächst trifft sich die halbe Welt zur Ukrainekonferenz auf dem Bürgenstock. Bereitet Ihnen das wegen potenzieller Cyberangriffe Sorgen?
Florian Schütz: Sorgen mache ich mir keine, aber ein solcher Grossanlass ist immer eine Herausforderung. Er zieht die internationale Aufmerksamkeit auf sich und erfordert besondere Sicherheitsmassnahmen. Sei es zum Schutz vor Hacktivisten, die politische Botschaften platzieren wollen, vor Cyberkriminellen oder vor Spionageversuchen.
Die Zahl der Meldungen über Cyberangriffe steigt von Jahr zu Jahr rasant an, zuletzt hat sie sich verdoppelt. Ein Naturgesetz?
Schütz: Das nicht, schliesslich ist das Internet von Menschenhand gemacht. Wir sehen aber jedes Jahr eine Zunahme der Meldungen von Vorfällen, die zu Schäden führen, um ungefähr 30 Prozent. Leider sind immer noch sehr viele Systeme unzureichend geschützt. Für Kriminelle ist es deshalb teils einfach einzudringen. Dazu kommt, dass sich mit der zunehmenden Digitalisierung ein immer grösserer Teil unseres Lebens in den digitalen Raum verlagert – und die Kriminalität entsprechend auch.
Sie haben kürzlich erklärt, vielen Leuten, die sich im digitalen Raum bewegen, fehle es am Verständnis für die Gefahren – «nicht, weil sie es nicht verstehen könnten, sondern weil sie es nicht erklärt bekommen». Müssen Sie da mehr leisten?
Schütz: Wir leisten einen Beitrag, zum Beispiel mit Tipps auf unserer Website, wie sich Privatpersonen, Firmen und Behörden schützen können, oder mit Sensibilisierungskampagnen. Das beginnt in den Schulen und zieht sich bis in den Alltag hinein. Es ist wie mit der Körperhygiene: So wie wir als Kinder lernen mussten, die Zähne zu putzen, müssen wir heute den Umgang im digitalen Raum lernen.
Wer sollte dafür sorgen, dass das geschieht?
Schütz: Am Ende ist jede und jeder selber für die eigene Sicherheit verantwortlich, die kann man nicht delegieren. Das gilt in allen Bereichen: Ich muss meine Wohnung so einrichten, dass möglichst keine Unfälle passieren. Unsere Aufgabe ist, die Hilfsmittel zur Verfügung zu stellen, damit sich die Leute informieren und schützen können, und gemeinsam mit den Strafverfolgungsbehörden dafür zu sorgen, dass Cyberkriminelle dingfest gemacht werden.
Wer muss Cyberattacken mehr fürchten: Private, Unternehmen oder Behörden?
Schütz: Generell würde ich niemandem empfehlen, sich zu fürchten. Angst ist ein schlechter Ratgeber. Zudem hat uns die Digitalisierung mehr Vorteile als Nachteile gebracht. Sie ermöglicht etwa, über Distanzen in Verbindung zu bleiben oder online zu shoppen. Es braucht also keine Angst, aber eine gewisse Vorsicht.
Wovor sollten sich Privatpersonen in Acht nehmen?
Schütz: Dass sie aktuell nicht Opfer von Betrug werden wie etwa von Voice Phishing. In letzter Zeit hatten wir viele Meldungen über Anrufe, bei denen ein Band abgespielt wird, auf dem es heisst «This is the Swiss Police Departement». Wenn man sich darauf einlässt, wird man weitergeleitet und betrogen. Seit Anfang dieses Jahres haben wir 19’195 Betrugsfälle aller Art gemeldet bekommen.
Worauf müssen Firmen besonders achten?
Schütz: Vor allem vor Ransomware, also Schadprogrammen, welche das System verschlüsseln, um die Opfer anschliessend zu erpressen. Ihnen wird gedroht, dass sie keinen Zugriff mehr auf ihre Daten bekommen oder dass diese veröffentlicht würden, wenn sie nicht zahlen. Für Firmen kann das existenzbedrohend sein.
Wer ist besser aufgestellt: Unternehmen oder Behörden?
Schütz: Das kann man nicht generell sagen. Es gibt sehr gut aufgestellte kleine Firmen, aber auch sehr schlecht aufgestellte. Branchen, in denen der Umgang mit Geld zentral ist, sind eher vorne dabei. Die Finanzindustrie zum Beispiel hat früh gelernt, mit Kreditkartenbetrug und Zahlungen im Internet umzugehen. Branchen im handwerklichen Bereich sind eher weiter hinten. Aber auch dort gibt es Unterschiede, ebenso bei den Behörden. Es wäre ein Trugschluss zu denken, die kleinen ländlichen seien schlecht und die grossen städtischen gut aufgestellt. Das ist definitiv nicht so, sondern recht durchmischt.
Wie kann ich als Privatperson Cyberangriffen vorbeugen: Welches sind die drei wichtigsten Tipps?
Schütz: Erstens sollten Sie das System aktuell halten. Wenn das Telefon oder der Computer nach einem Softwareupdate fragt, sollten Sie das schleunigst installieren. Zweitens ist zwar nicht Angst, aber Skepsis angebracht: Ist das Angebot mit einer Rendite von 100 Prozent, das ich per E-Mail bekommen habe, nicht zu schön, um wahr zu sein? Kann es wirklich sein, dass meine Tochter oder mein Sohn in diese Situation geraten ist?
Und der dritte Tipp?
Schütz: Man sollte sich informieren. Das muss nicht exzessiv sein, es gibt Wichtigeres im Leben. Aber ich empfehle doch, sich ein bisschen einzulesen und keine Angst vor der Technologie zu haben. Die wichtigsten Dinge kann man auch verstehen, ohne alle Details zu kennen.
Gelten diese Tipps auch für eine Schreinerei oder ein Malergeschäft?
Schütz: Sie gelten ähnlich, haben aber eine andere Dimension. Da geht es nicht nur darum, ein bisschen skeptisch zu sein, sondern darum, klare Prozesse zu definieren: Wie kommt eine Rechnung rein, wie wird sie geprüft, wie wird die Bankverbindung, auf der das Geld landet, verifiziert? Wichtig für Firmen ist zudem ein Notfallplan. Auch Kleinunternehmer sollten überlegen, was sie tun, wenn die IT nicht funktioniert, wenn sie auf die Bestellungen nicht mehr zugreifen können und die Liefertermine nicht mehr kennen.
Ermöglicht Künstliche Intelligenz besonders perfide Angriffe?
Schütz: Je nach Definition von «perfid» kann man das bejahen. KI kann von Angreifern in verschiedensten Bereichen genutzt werden, zum Beispiel für Betrugsfälle mit Phishing. E-Mails, bei denen es etwa hiess, das sei ein Wettbewerb, man müsse nur draufklicken, waren oft voller Fehler, so dass man sah: Das kann nicht stimmen. KI erzeugt professionell gefälschte Mails, die sehr gut formuliert sind. Ein anderer Fall, von dem wir letzthin die erste Meldung bekommen haben, sind mit KI manipulierte Videos, sogenannte Deep Fakes.
Was wurde da vorgetäuscht?
Schütz: Ein angeblicher Videoanruf des CEO, der bei seinem Finanzverantwortlichen eine Geldüberweisung auslösen wollte. Alles sah ganz echt aus – bis dem Angerufenen auffiel, dass der CEO anders gekleidet war als sonst immer, weshalb er stutzig wurde. Da wurde KI eingesetzt, um das Gesicht des CEO zu imitieren.
Kann KI auch zur Abwehr genutzt werden?
Schütz: Absolut. Leider diskutiert man in der Öffentlichkeit vor allem die Gefahren, die drohen, wenn Kriminelle KI einsetzen. Es wird aber heute schon geforscht, wie man KI benützen kann, um Angriffe zu erkennen und dann auch abzuwehren. Da stellen sich allerdings Fragen der Ethik und der Haftung. Wer ist verantwortlich, wenn eine KI einen Cyberangriff abwehrt und damit einem Dritten Schaden entsteht? Kriminellen ist das natürlich egal, da sind die Spiesse nicht gleich lang. Ich glaube aber, auch in der Abwehr werden wir lernen, KI gewinnbringend einzusetzen.
Vor fünf Jahren sind Sie als Delegierter für Cybersicherheit mit ein paar wenigen Mitarbeitenden gestartet, heute leiten Sie ein Bundesamt mit 54 Angestellten und einem 14,6-Millionen-Franken-Budget. Macht das Ihre Aufgabe einfacher oder anspruchsvoller?
Schütz: Es macht sie einfacher, weil wir Mittel benötigen, um unsere Aufgaben zu erfüllen. Die Bedrohung nimmt zu, die Vorfälle nehmen zu, die Erwartungshaltung an die Leistung des Bundes von der Wirtschaft und der Bevölkerung nimmt zu. Meine Aufgabe ist es, dafür zu sorgen, dass wir mit möglichst geringem Mittelbedarf und möglichst niedrigen Kosten eine möglichst gute Leistung erbringen können. Ich möchte aber relativieren: Verglichen mit den Budgets im Ausland ist unseres um Faktoren kleiner.
Welches ist Ihre grösste Sorge?
Schütz: Ich spreche lieber von Herausforderungen. In der Schweiz mit ihrem föderalen System haben wir im Cyberbereich sehr viele Verantwortlichkeiten, mit unterschiedlichen Organisationen und Stellen in den Kantonen und in der Wirtschaft. Eine der Herausforderungen ist, dies mit der nötigen Geschwindigkeit zusammenzubringen, damit alle am gleichen Strick ziehen, um die nationale Cyberstrategie umzusetzen.
Gelingt das?
Schütz: Es funktioniert relativ gut und gibt eine gewisse Resilienz. Andere Staaten haben alles zentralisiert. Die haben weniger Resilienz, müssen sich dafür aber weniger abstimmen. Eine andere Herausforderung besteht darin, dass der Cyberbereich leider immer noch ein lauter Markt ist, in dem auch sogenannte Experten auftreten und Dinge erklären, die nicht ganz richtig sind, und das auch aufgenommen und darüber berichtet wird. Da wird Angst geschürt, dass der grosse Cyberangriff die Schweiz zum Erliegen bringen könne.
Zu Unrecht?
Schütz: Wir sollten vom Marktschreierischen wegkommen und eine vernünftige risikobasierte Diskussion führen. Der Bevölkerung wäre eher geholfen, wenn man in Ruhe klar sagen könnte, wie es funktioniert und wo die Probleme effektiv liegen. Ich wünschte mir, dass man das besser einordnet. Das ist natürlich sehr schwierig. Denn wenn etwas passiert, gibt es eine grosse Betroffenheit.
Sehen Sie sich als Teil der Gesamtverteidigung?
Schütz: Wir tragen dazu bei, Sicherheit herzustellen, aber nicht nur. Ein anderes wichtiges Ziel unserer Tätigkeit ist, zusammen mit unseren Partnern und der Wirtschaft ein Umfeld zu schaffen, in dem man sicher digitale Geschäfte betreiben kann und dafür zu sorgen, dass sich die Bevölkerung sicher im digitalen Raum bewegen kann. Man kann das mit der Wasserversorgung vergleichen.
Wie genau?
Schütz: Heute kommt aus den meisten Wasserhähnen sauberes Wasser, das man ohne Bedenken trinken kann. Wenn dies bei einem Brunnen nicht möglich ist, hat es ein Schild: «kein Trinkwasser». Wir sehen unsere Aufgabe darin, dazu beizutragen, dass der Datenverkehr sauberer wird und die Systeme mit kleinen Risiken genutzt werden können. Der Trinkwasservergleich hinkt aber insofern, als es im digitalen Raum die absolute Sicherheit nicht gibt. Es wird immer Cyberangriffe geben.
Wie sind Sie eigentlich auf das Digitale gekommen? Aus Liebe zur Mathematik?
Schütz: Als ich acht Jahre alt war, bekam ich von einem Kollegen einen damals schon sehr alten Computer geschenkt. Ich wollte darauf spielen, es waren aber keine Spiele drauf. Mein Vater, der nicht viel von Computern versteht, drückte mir ein Buch in die Hand, das erklärte, wie man programmiert, und sagte: «Wenn du spielen willst, musst du halt programmieren lernen.» Also habe ich programmieren gelernt, damit ich Spiele spielen konnte, und bin so in die IT gerutscht.
Verbringen Sie Ihre Freizeit bis heute vor dem Computer?
Schütz: Zum Teil schon, denn ich programmiere gerne und löte auch gerne Elektronik. Als Hobby, um mit der Technologie vertraut zu bleiben. Denn im Beruf habe ich eher Führungsaufgaben, da bin ich nicht mehr so oft am Computer. Aber ich fahre auch Motorrad und reise gern – je weiter, desto besser.
Florian Schütz (42) ist im Baselbiet aufgewachsen und hat an der ETH Zürich Computerwissenschaften, Sicherheitspolitik und Krisenmanagement studiert. Ins Berufsleben stieg er bei der Ruag ein, wo er unter anderem für die Cybersicherheit zuständig und ein Jahr lang in Israel tätig war. Nach acht Jahren wechselte er als Leiter IT-Sicherheit zu Zalando nach Berlin und wurde 2019 zum Delegierten des Bundes für Cyber-Sicherheit ernannt. Seit dem 1. Januar dieses Jahres leitet Schütz das neugeschaffene Bundesamt für Cybersicherheit. Er lebt in Bern.