Der Delegierte für Cybersicherheit des Bundes sagt, dass viele Unternehmen und Institutionen nicht genug für die Cybersicherheit tun.
Bundestag verabschiedet verschärftes IT-Sicherheitsgesetz
ARCHIV - 11.01.2019, Baden-Württemberg, Stuttgart: ILLUSTRATION - Tasten einer beleuchteten Tastatur. (Aufnahme mit Zoomeffekt). - dpa

Das Wichtigste in Kürze

  • Zwischen den Firmen gibt es grosse Unterschiede bei der Cybersicherheit.
  • Klare Unterschiede gebe es laut dem Delegierten des Bundes auch bei den Branchen.

Die Verantwortung für Cybersicherheit in der Schweiz liegt in erster Linie bei den einzelnen Unternehmen und Institutionen. Doch viele tun nicht genug dafür, sagt Florian Schütz, der Delegierte für Cybersicherheit des Bundes, in einem Interview mit der «Neuen Zürcher Zeitung». Zwischen den Firmen gebe es grosse Unterschiede bei der Cybersicherheit. Das hänge zum Beispiel davon ab, ob die IT-Sicherheit auf der Stufe Verwaltungsrat oder Geschäftsleitung ein Thema sei. Auch gebe es Unterschiede bei den Branchen.

Die Banken hätten schon früh gemerkt, dass sie zum Beispiel beim Kreditkartengeschäft Geld verlieren, wenn sie zu wenig in ihre Cybersicherheit investieren. Doch bei vielen kleineren KMU sei das Geld knapp. Viele Firmen mit einem Umsatz von weniger als einer halben Million Franken setzten 2000 bis 5000 Franken im Jahr für die IT-Sicherheit ein. «Das ist nicht viel. Der Staat sollte die Rahmenbedingungen so gestalten, dass die Firmen mit dieser kleinen Summe einen grossen Effekt erzielen,» meint Schütz in dem NZZ-Interview.

Bund mache bereits viel, um Gemeinden und Firmen zu schützen

Schon heute mache der Bund viel, um Gemeinden und Firmen vor Cyberangriffen zu schützen. So warne das Nationale Zentrum für Cybersicherheit täglich zahlreiche Unternehmen und Behörden gezielt vor Gefahren wie Cyberkriminellen, die auf ihren Rechnern aktiv sind oder vor Schwachstellen, die das Zentrum selber entdeckt habe oder die ihm gemeldet würden. «Wir raten den Organisationen jeweils auch, die Polizei einzuschalten und einen externen IT-Dienstleister beizuziehen, wenn sie keine eigene IT-Sicherheitsabteilung haben.»

Sobald die Situation unter Kontrolle sei, zöge sich das Nationale Sicherheitszentrum für Cybersicherheit zurück und überliesse das Aufräumen den IT-Spezialisten. Er persönlich bezweifle, dass es nötig und sinnvoll sei, dass der Bund allen angegriffenen Unternehmen direkt helfe. Der Bund solle in erster Linie die Rahmenbedingungen schaffen, damit sich die Unternehmen besser selbst schützen können.

Viele Firmen, mit denen er rede, hätten gar keine Ahnung, wie gut sie von ihren Providern geschützt seien. «Aber die IT-Serviceprovider geben nur selten transparent an, welches Sicherheitslevel sie ihren Kunden mitliefern. Deshalb möchte ich im Rahmen der nächsten nationalen Strategie für Cybersicherheit anschauen, ob wir die Serviceprovider zu einem höheren Sicherheitsniveau bewegen können, ohne in den Wettbewerb einzugreifen.» Dies könne zum Beispiel mit einem Label erfolgen.

Mehr zum Thema:

Verwaltungsrat Franken Staat NZZ