Im Rahmen eines Mediengesprächs hat Florian Schütz, Direktor des Bundesamts für Cybersicherheit (Bacs), auf die ersten vier Monate der neu geschaffenen Behörde zurückgeblickt. "Weil die Digitalisierung stetig voranschreitet, ist auch die IT-Sicherheit zentral", sagte der Leiter des Bundesamtes vor Medienschaffenden in Bern. Dabei sei es wichtig, nicht nur über die Risiken, sondern auch über die Chancen zu sprechen, mahnte der höchste Schweizer Cyberverantwortliche.
Die Überführung des Nationalen Zentrums für Cybersicherheit (NCSC) in ein Bundesamt sei eine Evolution für die Cybersicherheit der Schweiz, betonte Schütz. Es sei zentral, dass man Cyberbedrohungen für die breite Öffentlichkeit verständlich machen kann. Dazu will das Bacs Mittel zur Verhinderung von Cyberangriffen bereitstellen, damit die daraus entstehenden Schäden möglichst reduziert werden. Weiter steht die Sicherheit von digitalen Produkten und Dienstleistungen im Fokus.
Immer mehr Vorfälle
Im Rahmen des Gesprächs präsentierte das Bacs auch seinen ersten Halbjahresbericht als neue Organisationseinheit. Dieser zeigt, dass sich Cybervorfälle im zweiten Halbjahr 2023 im Vergleich zum gleichen Zeitraum im Vorjahr nahezu verdoppelt haben. Zu den meisten der 30'331 Vorfällen gehörten Phishing- und Betrugsversuche, wobei insbesondere die Kategorien "CEO-Betrug" und "Rechnungsmanipulationsbetrug" auffällig waren.
Gemäss dem Bacs sind Meldungen mit Schadensfolgen in den letzten Jahren jährlich um rund 30% gestiegen. In den letzten 12 Monaten hat sich die Anzahl der Meldungen von nicht-kritischen Infrastrukturen ungefähr verdreifacht. Gleichzeitig hat die Behörde mehrere hundert Meldungen zu Schadsoftware bei kritischen Infrastrukturen erhalten und diese in Zusammenarbeit mit den betroffenen Unternehmen beseitigt.
Wird wieder passieren
Insbesondere KMU geraten immer mehr ins Visier von Cyberkriminellen. "Im Durchschnitt wird dem Bacs alle 40 Stunden eine Malware-Infektion gemeldet, bei deren Bewältigung Unterstützung gewünscht wird", heisst es im Halbjahresbericht. Gerade Ransomware-Angriffe seien mittlerweile so stark automatisiert, dass es für Cyberkriminelle sehr einfach sei, auf gut Glück auch kleine Unternehmen anzugreifen.
"Sehr viele Vorfälle sind viel zu einfach", sagte der Bacs-Direktor. Ein Fall wie jener um die IT-Firma Xplain, bei dem heikle Daten in die Hände von Hackern geraten sind, werde sich wiederholen, zeigte sich Schütz überzeugt. Wann und wie dies geschehe, lasse sich jedoch nicht voraussagen. Ein Cyberangriff sei generell schwer zu verhindern, aber man "kann verhindern, dass so viele Daten geklaut werden", so Schütz, der auch an den Empfehlungen in der
Untersuchung des Xplain-Hacks mitgearbeitet hat.
Viel zu tun
Als grosse Herausforderung für die Zukunft sieht das Bacs die hohe Verwundbarkeit von Wirtschaft, Behörden, Bildungsinstitutionen und der Bevölkerung im Cyberraum. "Sie alle verfügen über eine unzureichende Reaktionsfähigkeit und haben lediglich punktuell ein vertieftes Verständnis von Cybersicherheit." Dazu gefährden die geringe Maturität von digitalen Produkten und Dienstleistungen sowie fehlende Mechanismen zur Qualitätskontrolle die Cybersicherheit.
Schütz vergleicht dies mit dem Bau von Gebäuden und Brücken: "Niemand würde über die Kornhausbrücke in Bern laufen, wenn sie so gebaut wäre, wie ein IT-System", sagte er. Dass die IT-Sicherheit kompliziert sei, lässt er als Argument ebenfalls nicht gelten. "Der Bau eines erdbebensicheren Hauses bringt ebenfalls viele Herausforderungen mit sich", so der Direktor des Bacs sinngemäss.
Mangelnde Transparenz und fehlende Daten, um Aussagen zur Cybersicherheit einzuordnen und entsprechende politische und ökonomische Massnahmen abzuleiten, seien ebenfalls ein Problem. All diese Risikofaktoren würden schlussendlich dazu führen, "dass Cyberangriffe zu oft erfolgreich sind". Und das wiederum schlage sich in hohen wirtschaftlichen Schäden und einem hohen Risiko von Ausfällen bei kritischen Infrastrukturen nieder.
Mehr Personal benötigt
Abhilfe schaffen soll da die neue Nationale Cyberstrategie (NCS) der Schweiz, die
im April 2023 vom Bundesrat und den Kantonen gutgeheissen wurde. Sie ist die dritte ihrer Art und soll nicht mehr wie bis anhin alle fünf Jahre erneuert, sondern laufend erweitert und ergänzt werden. Es sei in der Schweiz nicht immer alles schlecht, was mit Cybersicherheit zu tun habe, sagte Schütz auf die Nachfrage eines Journalisten. "Die Nationale Cyberstrategie beispielsweise sorgt im Ausland für viel Bewunderung."
Um diese Strategie umzusetzen, stehen dem Direktor des Bundesamtes 54 Angestellte und ein Budget von 14,6 Millionen Franken zur Verfügung. Bis Ende Jahr soll die Zahl der Mitarbeitenden auf 67 anwachsen. Dabei sorgt sich Schütz nicht so sehr um den Fachkräftemangel. Der Aufwand für die Rekrutierung sei zwar gross, aber man geniesse unter den Security-Experten und -Expertinnen einen guten Ruf, so der Direktor.
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!