Blick: Herr Schütz, Sie tragen einen Pin zur 150-Jahr-Feier des Basler Zollis am Veston. An welches Tier denken Sie bei Cyberangriffen?
Florian Schütz: Viele Hackergruppen nutzen Tiere als Gruppensymbole. So haben prorussische Aktivisten bei ihren Angriffen beispielsweise den Bären als Sinnbild für Russland verwendet. Auch Adler oder Habichte kommen häufig vor. Ich finde, der Elefant ist eine gute Metapher. Cyberabwehr ist der Elefant im Raum: Alle finden Cybersicherheit wichtig, doch konkrete Schritte lassen auf sich warten.
Der Bund hat der privaten Firma Xplain klassifizierte Dokumente anvertraut, die dann bei einem Datendiebstahl entwendet und geleakt wurden. Wie dramatisch ist das?
Die gute Nachricht ist, dass von den 121 klassifizierten Objekten keines unter die höchste Geheimhaltungsstufe fiel. Doch allein dass vertrauliche und interne Dokumente geleakt wurden, ist beunruhigend.
Was sind Ihre wichtigsten Lehren aus dem Xplain-Debakel?
Der Bund muss die Daten-Governance verbessern. Wir brauchen eine zentrale Übersicht darüber, welcher Lieferant über welche Daten verfügt. Wir haben ein sehr dezentrales System, jedes Amt arbeitet unterschiedlich. Es hat uns bei der Datenanalyse viel Zeit gekostet herauszufinden, wer von dem Datenleck überhaupt betroffen war. Für weitere Erkenntnisse müssen wir den Abschluss der Administrativuntersuchung abwarten.
Was haben Geheimdokumente bei einem privaten Anbieter zu suchen?
Der Bund ist auf externe IT-Lieferanten angewiesen, denn wenn er jede Software, die verwendet wird, selbst entwickeln wollte, bräuchten wir eine riesige Entwicklungsabteilung. Es macht Sinn, gewisse IT-Produkte einzukaufen. Aber dabei stellt sich die Frage, welche Daten der Lieferant tatsächlich braucht. Und wie wir kontrollieren, dass die Daten später gelöscht werden.
Das Datenleck betrifft auch Namenslisten von Hooligans. Schwirren diese nach wie vor im Darknet herum?
Ich glaube, ja. Sie können im Darknet praktisch nichts löschen. Zwar werden Server von Hackergruppen bei internationalen Razzien beschlagnahmt. Aber man kann trotzdem nicht davon ausgehen, dass die Daten danach nicht mehr im Darknet sind. Was einmal publiziert wurde, ist publiziert.
Was macht ein gutes Passwort aus?
Ein Passwort allein reicht heutzutage nicht mehr. Wir brauchen eine Zwei-Faktor-Authentisierung, also beispielsweise Passwort plus Code via Smartphone.
Dennoch: Was wäre ein gutes Passwort?
Ich empfehle, sich einen Satz zu merken und von jedem Wort den Anfangsbuchstaben zu verwenden. Man kann ein e durch eine 3 ersetzen oder ein s durch ein Dollarzeichen, also «3$» statt «es». So ist das Passwort schwerer zu knacken.
Schaden Datendiebstähle und Serversabotagen dem Image der Schweiz?
Kein Land ist vor Cyberangriffen sicher. 95 Prozent der Vorfälle sind krimineller Natur. Als reiches Land ist die Schweiz besonders anfällig. Die Hacker wissen: Sie kann zahlen.
Sollten Schweizer Firmen zahlen – oder Leaks in Kauf nehmen?
Wir raten dringend ab, auf die Forderungen der Erpresser einzugehen. Denn jeder Angriff finanziert sechs bis zehn weitere Angriffe und vergrössert so das Problem. Wenn kein Unternehmen mehr zahlen würde, hätten wir deutlich weniger Hackerangriffe.
Wurde Ihnen heute schon ein Angriff gemeldet?
Cyberangriffe passieren täglich, stündlich, minütlich. Es ist 9.30 Uhr, bis jetzt hatten wir heute 21 Meldungen, beispielsweise im Bereich Paypal-Phishing. Aber auch mehrere E-Mails mit Erpressungen nach dem Motto: «Wir haben Ihre Videokamera gehackt und Sie gefilmt, während Sie Pornos schauten.» In den meisten Fällen ist das frei erfunden. Trotzdem fühlen sich manche ertappt und zahlen vor lauter Panik. Aber nicht alle uns gemeldeten Fälle waren erfolgreiche Angriffe.
Weshalb sind Cyberangriffe so schwer in den Griff zu bekommen?
Viele Unternehmen machen ihre Hausaufgaben nicht. Sie wissen, dass etwas zu tun wäre – handeln aber nicht konsequent.
Woran liegt das?
In einer Geschäftsleitung gibt es oft dringendere Probleme. Cybersicherheit ist eine unsichtbare Gefahr. Sie wird erst konkret, wenn es ein akutes Problem gibt. Aber auch ökonomische Interessen spielen eine Rolle. Cybersicherheit kostet Geld.
Florian Schütz (42) ist seit diesem Jahr Direktor des neuen Bundesamtes für -Cybersicherheit. Er hat an der ETH in -Zürich Informatik studiert und war unter anderem für Siemens und Ruag tätig. Von 2016 bis 2019 leitete er die Risiko- und Sicherheitsabteilung des Modeversands -Zalando in Deutschland.
Florian Schütz (42) ist seit diesem Jahr Direktor des neuen Bundesamtes für -Cybersicherheit. Er hat an der ETH in -Zürich Informatik studiert und war unter anderem für Siemens und Ruag tätig. Von 2016 bis 2019 leitete er die Risiko- und Sicherheitsabteilung des Modeversands -Zalando in Deutschland.
Die Schweizer Armee diskutiert Risiken des neuen Microsoft Office, weil Word, Excel und Co. künftig Cloud-basiert sind.
Die Auslagerung von Daten an einen Anbieter, der entsprechend hohe Sicherheitsinvestitionen macht, ist aus technischer Sicht durchaus sinnvoll. Es gilt jedoch auch organisatorische Sicherheitsaspekte zu betrachten. So können Daten von Anbietern aus den USA auf einem amerikanischen Server landen. US-Gerichte könnten diese Firmen dazu zwingen, die Daten herauszurücken.
Russland hat ein brisantes Gespräch von hochrangigen Vertretern der deutschen Bundeswehr abgehört, die über Webex miteinander konferierten. Sind Programme wie Webex oder Whatsapp für Sie ein No-Go?
Im Bund haben wir klare Vorgaben: Wir nutzen Threema als Messenger. Für geheimen Austausch haben wir spezielle Systeme.
Sie waren früher für Zalando tätig. Was unterscheidet den Bund von einem Modeversand?
Zalando hat andere Prioritäten. Lieferfristen sind im Onlinehandel sehr wichtig. Wir haben alles getan, damit Lieferfristen nicht durch Hackerangriffe beeinträchtigt werden können.