Wie wäre der Prototyp eines digitalen «Verwaltungs-Menschen»? Vielleicht könnte Florian Schütz einer sein, der erste Delegierte des Bundes für Cybersicherheit und der Leiter des Nationalen Zentrums für Cybersicherheit (NCSC). Er verbindet Begeisterung für die Digitalisierung mit höchsten Ansprüchen an IT-Security und Privatsphäre.
Der 40-Jährige empfängt uns in einem unauffälligen fünfstöckigen Bürogebäude im Berner Zentrum. Das NCSC ist am Eingang nicht angeschrieben und liegt ein bisschen abseits vom Bundeshaus. Unauffällig und doch rasch präsent, wenn nötig, ebenso wie die IT-Security im Idealfall.
Risiken ausgesetzt
Schütz fungiert als Ansprechperson für Politik, Wirtschaft und Öffentlichkeit zu Fragen von Cyberrisiken und kümmert sich um die Umsetzung der nationalen Strategie zum Schutz der Schweiz. Sein NCSC unterstützt insbesondere die Betreiber kritischer Infrastrukturen bei der Bewältigung von Vorfällen. Dabei ist er selbst natürlich ein potenziell interessantes Opfer für Hacker. Was bedeutet dies für die Privatperson Schütz? «Ich bin mir bewusst, dass ich als Opfer interessant sein kann. Verändert aber hat sich im Vergleich zu früheren Tätigkeiten in der Privatwirtschaft vor allem meine Exponiertheit und weniger mein eigenes Verhalten. Ich habe mir auch früh überlegt, welche Daten über mich wertvoll sind, welche ich nach aussen geben will und welche nicht.»
Er habe privat beispielsweise keine Smart Speaker, aber nicht wegen spezieller Sicherheitsbedenken, sondern weil ihm die Devices «unsympathisch» seien. «Es hat auch in anderen Geräten Mikrofone und ich bin nicht paranoid. Ich lebe so, dass wahrscheinlich zuhören kann, wer will, wenn er den nötigen Aufwand betreibt, denn ich führe zu Hause keine vertraulichen oder gar geheimen Gespräche.»
Risiken managen
Tatsächlich gibt es, wie jeder in der ICT-Branche bestätigen kann, viele extrem vorsichtige oder gar paranoide Security-Experten. Schütz verfolgt hier einen pragmatischen Ansatz: «Viele Sicherheitsfachleute nutzen kein Facebook oder LinkedIn. Ich glaube, dies ist kurzsichtig. Das Leben wird digitaler und dies hat Vorzüge. Social-Media-Kanäle helfen beispielsweise dabei, an Geburtstage zu denken. Ich kann ja eingeben, was ich will, und ich kann immer ein Stück weit selbst gestalten, welche Informationen ich wo weitergebe.» Entsprechend gebe es den Privatmenschen Schütz, über den man auch aus der Kombination seiner Online-Profile nicht alles erfahren könne.
In diesem Verhalten kommt Regel Nummer eins der IT-Security zur Anwendung: für Risiken sensibilisiert sein und sie bewusst managen. Dazu gehört auch das bewusste Einsetzen von Technologie. So hat Schütz selbst drei Laptops zu Hause. Einen für Konferenzbesuche ohne relevante Daten, falls er gehackt würde. Einen für private Zwecke und ein Gerät als Reserve. Mit diesem Ansatz müsse man einen Gemeindeschreiber sowohl als Privatperson als auch Berufsmann betrachten. «Es ist eine Arbeitgeberpflicht, Mitarbeitende mit einer Security-Schulung auszubilden, idealerweise schon bei Stellenantritt und mit regelmässigen Sensibilisierungsevents.»
Überblick zum NCSC
- Gründung: 1. Juli 2020
- Budget 2022: 11.2 Mio. CHF
- Mitarbeitende: 46 Personen (Stand 1. September 2022)
Gemeldete Cybervorfälle*
- 2020: 10'833 Meldungen
- 2021: 21'714 Meldungen
- 2022: 20'631 Meldungen (Stand 8. August 2022)
* Nicht immer handelt es sich bei den Meldungen um erfolgreiche Angriffe. Gemeldet werden auch Angriffsversuche (Phishing usw.). Keine generelle Meldepflicht, das heisst, die Dunkelziffer wird entsprechend höher sein.
Risikobalance halten
Sich schützen kann man also, auch wenn man beispielsweise keinen Master in Computerwissenschaft hat. Oder doch nicht? Vorsichtige sind irritiert, wenn beispielsweise ein iPhone warnt, es sei nicht vollständig konfiguriert, weil Face ID nicht aktiviert wurde. Darum die Frage: Fingerabdrücke oder ein Gesicht sind ja im Falle eines Hacks nicht änderbar wie ein Passwort. Schütz: «Das ist eine Frage des Vertrauens, das muss jeder selbst abwägen. Ich beispielsweise habe Facial Recognition aktiviert, das hilft mir, und beim E-Banking habe ich einen zweiten Faktor zur Authentisierung. Ich habe mich darüber informiert, wie die Technologie funktioniert. Solange Apple tut, was sie versprechen, ist das Risiko überschaubar.» Er erklärt verständlich die Funktionsweise von Gesichtserkennung, bevor er zur Kernfrage kommt, nämlich welche Bedeutung der Faktor Vertrauen hat. «Muss man Apple vertrauen? Ja.» Es stelle sich hier auch die Frage, wie viel Aufwand ein Angreifer betreiben wolle, um einen Fingerabdruck zu erbeuten. Und ob es keinen einfacheren Weg gäbe. «Es ist immer ein Abwägen zwischen Annehmlichkeit und Sicherheit», sagt er.
Aber er weiss auch, dass es IT-Laien schwerfällt, Vertrauen zu haben, wenn sie von Hacks lesen oder sogar gehackt wurden. «Bei diesem Thema führen wir noch keine gesunde Diskussion», sagt Schütz. Er kritisiert zum einen, dass zu viele selbst ernannte Security-Experten ohne fachlichen Background angestellt würden, manche sogar als Chief IT-Security Officer oder IT-Leiter.
Risiken gesamtheitlich betrachten
Florian Schütz relativiert ebenfalls einen populären Satz der Cybersecurity: «Es heisst oft: ‹Der Mensch ist die grösste Schwachstelle.› Das stimmt nicht! Der Mensch ist nur ein Faktor. Nehmen wir als Beispiel ein Phishing-E-Mail, das an 5'000 Mitarbeitende versandt wird. Und seien wir grosszügig bei der Reaktionszeit der IT-Security. Wenn innert einer Stunde 5 Mitarbeitende via E-Mail auf eine Website zugreifen, auf welche noch nie von dieser Firma aus zugegriffen wurde, dann sollte im IT-System ein Alarm ausgelöst werden. So erkennt man, es handelt sich um eine neue Konferenz-Website oder es läuft etwas schief und man muss die Defenses hochfahren. Bloss weil ein Mensch auf ein Phishing hineinfällt, ist noch nicht Hopfen und Malz verloren!»
Was ist denn die grösste Schwachstelle? «Wir haben noch nicht gelernt, in Zusammenhängen zu denken, sondern denken nur an einzelne Elemente. Sicherheit ist aber keine Frage einzelner Technologien, sondern in welchem Kontext man sie wofür einsetzt.» Schütz weiss, so weit ist nicht jedermann und nicht jedes Amt. Leider, wie er sagt. «Wir müssen Sicherheit als integralen Bestandteil digitaler Dienstleistungen denken. Und wir müssen von einer reaktiven Sicherheit zu einer proaktiven Sicherheit kommen.»
Schütz verabschiedet sich, eine NCSC-Mitarbeitende begleitet uns hinaus, proaktive Sicherheit, ganz klassisch umgesetzt. Wer Schütz zuhört, könnte sich wundern, weshalb so viele Angriffe erfolgreich sind. Laut dem bekannten Risikoforscher Gerd Gigerenzer könnte jedermann lernen, mit Risiken auch in der digitalen Welt realistisch umzugehen und sich gegen Panikmache zu immunisieren, ebenso wie gegen Verharmlosung.