«Cyberresilienz ist Chefsache – nicht nur ein IT-Thema»
Florian Schütz, was bedeutet für Sie persönlich der Begriff «Cyber Resilience» – und wie unterscheidet er sich von klassischer IT-Sicherheit?
Cyberresilienz beschreibt die Fähigkeit einer Organisation, nach einer Beeinträchtigung ihrer digitalen Systeme möglichst rasch wieder geordnet arbeiten zu können. Dazu gehören sowohl technische als auch organisatorische Massnahmen: die Sensibilisierung der Mitarbeitenden, Notfallkonzepte, regelmässige Cyberübungen, um die Wirksamkeit der Massnahmen zu überprüfen und erkannte Lücken zu schliessen.
Worin liegt der Unterschied zur klassischen IT-Sicherheit?
Während klassische IT-Sicherheit vor allem auf Prävention abzielt – also darauf, Angriffe zu verhindern –, geht es bei der Cyberresilienz darum, vorbereitet zu sein, im Ernstfall schnell reagieren und sich rasch erholen zu können. Idealerweise wird eine Beeinträchtigung ganz vermieden, aber man muss immer auch den Ernstfall einkalkulieren.
Heisst das, Resilienz setzt immer auch beim Menschen an?
Ja, denn Technik allein reicht nicht. Viele Cyberangriffe beginnen mit einem menschlichen Fehler: Ein unachtsam geöffneter E-Mail-Anhang oder ein Klick auf einen Phishing-Link können schwerwiegende Folgen haben. Zwar lassen sich Schäden oft mit technischen Mitteln eindämmen, besser ist es aber, wenn es gar nicht erst so weit kommt. Sensibilisierung, klare Prozesse und regelmässige Übungen sind entscheidend, damit im Ernstfall jeder weiss, was zu tun ist.
«Cyberangriffe machen nicht an Grenzen halt.»
Wo sehen Sie aktuell die grössten Schwachstellen bei der Cyberresilienz in der Schweiz?
Wir sehen durchaus Fortschritte, aber auch noch einige Schwächen. Veraltete IT-Systeme, fehlende Notfallpläne und zu wenig Schulungen sind nach wie vor häufig.
Gibt es Unterschiede zwischen grossen Unternehmen und kleineren Organisationen?
Ja, insbesondere KMU und Gemeinden sind oft nur teilweise auf Cyberangriffe vorbereitet, da dort meist das notwendige Wissen und die Ressourcen fehlen. Umso wichtiger sind einfache, praxisnahe Hilfestellungen und Sensibilisierungskampagnen.
Was sind die grössten Herausforderungen bei der Umsetzung der Nationalen Cyberstrategie (NCS)?
Die NCS verfolgt einen ganzheitlichen Ansatz mit fünf strategischen Zielen: Selbstbefähigung der Bevölkerung, Schutz kritischer Infrastrukturen, Sicherheit digitaler Dienstleistungen, Bekämpfung der Cyberkriminalität und internationale Zusammenarbeit. Die grösste Herausforderung bleibt die koordinierte Umsetzung mit Kantonen und Wirtschaftsverbänden.
«Notfallkonzepte sind ein wichtiger Faktor der Cyberresilienz.»
Wo sehen Sie bislang die grössten Erfolge?
Es gibt konkrete Fortschritte: Die per 1. April 2025 eingeführte Meldepflicht für Cyberangriffe auf kritische Infrastrukturen ist ein wichtiger Meilenstein. Auch der Aufbau branchenspezifischer «Cyber Security Centres» (CSC) schreitet voran. Für den Finanzsektor gibt es den FS-CSC, für das Gesundheitswesen steht ein H-CSC kurz vor der Gründung, und auch im Bahnsektor sind die Vorbereitungen weit fortgeschritten. Diese CSC stärken die Resilienz in besonders exponierten Branchen erheblich.
Seit Anfang 2024 leiten Sie das neue Bundesamt für Cybersicherheit (BACS). Was hat sich dadurch gegenüber dem früheren NCSC verändert?
Das NCSC wurde per Januar 2024 in das BACS überführt. Als Bundesamt verfügen wir über eine klarere Struktur und eigene Ressourcen für Supportfunktionen wie HR und Controlling. Das gibt uns mehr Flexibilität bei der Planung und Priorisierung.
Gab es auch inhaltliche Veränderungen?
Ja. Wir haben nicht nur die bisherigen Dienstleistungen übernommen, sondern deutlich ausgebaut. Dazu gehören die verstärkte internationale Zusammenarbeit, der Ausbau der Anlaufstelle für die Bevölkerung bei Cybervorfällen sowie die Plattform für den Informationsaustausch mit Betreibern kritischer Infrastrukturen. Wir haben eine gute Basis geschaffen, um die Leistungen zu skalieren und mit der zunehmenden Bedrohung im Cyberraum mitzuhalten.
«Cyber gehört ins Risikomanagement.»
Was bedeutet das konkret für Unternehmen?
Der direkte Informationsaustausch mit dem BACS gibt Unternehmen frühzeitig Hinweise auf aktuelle Bedrohungen, Schwachstellen und Angriffsmuster, sodass sie ihre Schutzmassnahmen gezielt anpassen können. Wir führen zudem Sensibilisierungskampagnen und unterstützen beim Aufbau von Notfallkonzepten. Wichtig ist uns auch eine Balance zwischen Regulierung und Anreizen. Schweizer Unternehmen, die international tätig sind, sollen nicht mit widersprüchlichen Anforderungen konfrontiert werden.
Welche Rolle spielt dabei die internationale Zusammenarbeit?
Eine sehr zentrale. Cyberangriffe machen nicht an Grenzen halt. Als Vorsitzender der OECD-Arbeitsgruppe «Security in Digital Economy» arbeite ich mit anderen Staaten an politischen Analysen und Empfehlungen, um Vertrauen in die digitale Transformation zu schaffen. Ziel ist auch, regulatorische Rahmenbedingungen zu harmonisieren.
Welche Risiken für kritische Infrastrukturen sehen Sie aktuell als besonders relevant?
Ein längerer andauernder Ausfall beispielsweise der Stromversorgung hätte weitreichende Folgen für viele andere Sektoren. Deshalb unterstützen wir die Betreiber kritischer Infrastrukturen intensiv beim Schutz vor Cyberbedrohungen, bieten mit dem Cyber Security Hub eine Plattform für den vertrauensvollen Austausch über aktuelle Bedrohungen und leisten im Ernstfall technische und operative Unterstützung.
Auch interessant
Wie wichtig ist es, den Faktor Mensch zu adressieren?
Sehr wichtig. Viele Angriffe beginnen mit einem Klick. Deshalb führen wir regelmässig Sensibilisierungskampagnen und Pilotprojekte durch. Ein Beispiel ist das Projekt mit der Planzer Transport AG. Ziel war es, Unternehmen konkrete Hilfsmittel an die Hand zu geben, um ihre Resilienz entlang der Lieferkette zu stärken. Neben der technischen Absicherung haben wir dabei auch die Krisenkommunikation thematisiert – ein oft unterschätzter Faktor.
Was erwarten Sie sich von der Digital Conference Ostschweiz – und was wollen Sie mit Ihrer Keynote vermitteln?
Ich erwarte praxisnahe Einblicke und einen intensiven Austausch mit den Teilnehmenden und Referierenden. In meiner Keynote möchte ich zeigen: Jeder kann und muss zur Cyberresilienz beitragen. Es geht nicht darum, Angst zu schüren, sondern Verantwortung zu übernehmen.
Und was raten Sie Organisationen, um morgen resilient zu sein?
Cyber gehört ins Risikomanagement. Eine fundierte Business Impact Analyse hilft zu entscheiden, wo Investitionen notwendig sind und welche Risiken man bewusst trägt. Diese Entscheidungen müssen von der Geschäftsleitung getroffen und vom Verwaltungsrat mitgetragen werden. Cyberresilienz ist Chefsache – nicht nur ein IT-Thema.
Florian Schütz ist seit 2024 Direktor des Bundesamtes für Cybersicherheit (BACS) und damit direkt dem Departementsvorsteher des VBS unterstellt. Er ist Ansprechperson für Politik, Medien und Bevölkerung zu Fragen der Cybersicherheit und verantwortlich für die koordinierte Umsetzung der Nationalen Cyberstrategie (NCS). Schütz verfügt über einen Master in Computerwissenschaft sowie einen Master of Advanced Studies in Sicherheitspolitik und Krisenmanagement der ETH Zürich.
Text: Patrick Stämpfli
Bild: zVg
