ISB-Leiter im Interview

Peter Fischer: "Der Bund will eine deutlich aktivere Rolle übernehmen"

Uhr
von Fridel Rickenbacher, Mitglied Redaktion Swiss-ICT, Senior Consultant execure AG, Cloud Security Division

Ein intelligent orchestrierter, mehrschichtiger Cyberangriff auf systemkritische Infrastrukturen - das ist ein nach wie vor realistisches und beunruhigendes Szenario in der digitalisierten Welt. Die Swiss-ICT-Redaktion hat dazu mit Peter Fischer, Leiter Informatiksteuerorgan des Bundes (ISB), gesprochen.

Peter Fischer, Leiter Informatiksteuerungsorgan des Bundes. (Source: Netzmedien)
Peter Fischer, Leiter Informatiksteuerungsorgan des Bundes. (Source: Netzmedien)

Bei den Nationalen Strategien zum Schutz der Schweiz vor Cyber-Risiken (NCS) sind Bestrebungen des Staates spürbar geworden, der Gefahr eines Cyberangriffs auf systemkritische Infrastrukturen zu begegnen. Wo liegt derzeit der Fokus?

Peter Fischer: Der Schwerpunkt der nächsten Monate ist der Aufbau des Kompetenzzentrums Cybersicherheit des Bundes und die Verstärkung der strategischen Steuerung durch den Bundesrat. Das Kompetenzzentrum wird unter anderem eine nationale Anlaufstelle beinhalten, welche Meldungen von Bürgern und Unternehmen entgegennimmt, Warnungen und Einschätzungen zu aktuellen Bedrohungen herausgibt und Bevölkerung und Wirtschaft darüber informiert, wie sie sich gegen Cyberrisiken schützen können. Die Anlaufstelle basiert auf der bestehenden Melde- und Analysestelle Informationssicherung (Melani), welche ausgebaut werden soll. Der Bund will eine deutlich aktivere Rolle als bisher übernehmen, mit der Absicht, die Cybersicherheit in der ganzen Schweiz zu stärken.

Die digitale Selbstbestimmung und Cybersouveränität der Schweiz ist relevant für die Zukunft. Sich auf die nationale Ebene zurückzuziehen und das internationale Feld anderen zu überlassen, würde das Land teurer zu stehen kommen und seine Verwundbarkeit erhöhen. Wie ist Ihre Meinung hierzu?

Im vernetzten Cyberraum müssen Konzepte wie die Souveränität neu gedacht werden. Eine Unabhängigkeit von ausländischen Anbietern und Produzenten anzustreben erachte ich als illusorisch. Wir müssen uns befähigen, Cyberrisiken frühzeitig zu erkennen und richtig einzuschätzen. Dafür benötigen wir exzellente Hochschulen und eine aktive Vernetzung von Fachleuten aus der Wirtschaft. Es geht um die optimale Vernetzung der Kräfte. Ein Rückzug auf die nationale Ebene kann für ein Land wie die Schweiz im Bereich Cyberrisiken keine Option sein.

Wie geht die Schweiz mit der Herausforderung um, dass die Cybersicherheit nur über internationale Zusammenarbeit verbessert werden kann, dass sich aber die Staaten gleichzeitig gegenseitig ausspionieren?

Die Schweiz arbeitet mit verschiedenen Staaten zusammen und engagiert sich in internationalen Gremien. Bei der Bekämpfung von grenzüberschreitendem Cyber Crime gibt es viele Beispiele von erfolgreicher internationaler Zusammenarbeit. Zugleich hat sich der Austausch zwischen den Staaten als Folge der geopolitischen Spannungen erschwert. Das gegenseitige Vertrauen wurde durch den Einsatz von Cyberspionage stark unterminiert. Auch die Schweiz sucht sich ihre Partner bei der Zusammenarbeit zur Stärkung der Cyber-Sicherheit sorgfältig aus. Die Zusammenarbeit erfolgt situativ.

Die Cybersecurity beziehungsweise deren Sicherheitsstrategie muss zum Erreichen eines adäquaten Schutzniveaus durch alle Akteure definiert werden. Kann trotz vielen Regulierungen ein passendes Mass an Selbstregulierung auf der Basis von "best practices" und dem "Stand der Technik" ermöglicht werden?

Der "Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken" liegt das für die Schweiz bewährte Verständnis einer subsidiären Rolle des Staates zugrunde. Das bedeutet primär Selbstverantwortung der Akteure, und dass der Staat grundsätzlich erst dann eingreift, wenn das Wohlergehen unserer Gesellschaft wesentlich betroffen ist und private Akteure nicht in der Lage oder nicht willens sind, das Problem selber zu lösen. Eine zu starke Regulierung kann kontraproduktiv sein, da sich die Unternehmen für die Sicherheit nicht mehr verantwortlich fühlen. Sie wähnen sich in Sicherheit und beschränken sich darauf, die geltenden Regulierungen einzuhalten.

Gelingt es der Schweiz, den mitunter negativen Beigeschmack von Cybersecurity und den teilweise falschen Fokus auf den Kostenfaktor zu mindern?

Es findet durchaus ein Umdenken statt und die Cybersicherheit wird vermehrt auch als Chance für den Wirtschaftsstandort Schweiz wahrgenommen. Die Schweiz steht für Werte wie Verlässlichkeit, Diskretion und Neutralität, welche im unsicheren Umfeld des Cyberraums zunehmend gefragt sind. Mit unseren herausragenden Hochschulen, den bereits heute in der Schweiz ansässigen internationalen Firmen und den stabilen rechtlichen und politischen Rahmenbedingungen haben wir ideale Voraussetzungen, ein attraktiver Platz für die aufstrebende Cybersicherheits-Wirtschaft zu werden. Es ist wichtig, dass die Schweiz diese Chance aktiv nutzt.

Ist die Schweiz schläfrig geworden oder hat sie im sehr dynamischen Bereich der Cybersouveränität und Cyber Security einfach noch Nachholbedarf?

Geschlafen hat die Schweiz nicht, es wurden viele Arbeiten erfolgreich umgesetzt. Melani unterstützt beispielsweise seit 2004 die Betreiber kritischer Infrastrukturen beim Schutz vor Cyberrisiken. Es ist aber sicher richtig, dass die Schweiz - wie übrigens viele andere Staaten auch - im Bereich Cybersicherheit Handlungsbedarf hat. Uns stehen nach wie vor im internationalen Vergleich sehr wenig Ressourcen zur Verfügung. Mit dem Entscheid des Bundesrates vom Januar dieses Jahres zur Schaffung eines Cyberkompetenzzentrums unter der Leitung eines oder einer Delegierten für Cybersicherheit, sind aber nun die Voraussetzungen vorhanden, dass der Bund mehr Durchschlagkraft in diesem Bereich erhält.

Es gilt, die Cybersicherheit der Bürger, von KMU, von systemkritischen Infrastrukturen und des Bundes zu stärken. Reicht das Geplante? Oder braucht es mehr?

Die Breite an verschiedenen Aufgaben kombiniert mit der sehr hohen Dynamik macht eine längerfristige strategische Planung tatsächlich schwierig. Die NCS gibt Massnahmen für einen Zeithorizont von fünf Jahren vor. Das scheint uns eine realistische Vorgabe, damit Massnahmen überhaupt entwickelt und umgesetzt werden können. Es ist jedoch klar, dass in den fünf Jahren der Strategieumsetzung weitere Massnahmen dazukommen und sich neue Themen ergeben können. Es ist die Aufgabe aller beteiligten Stellen von Bund, Kantonen, Wirtschaft und Hochschulen solche neuen Themen oder Massnahmen frühzeitig zu identifizieren und die nötigen Aktivitäten zeitnah anzugehen.

Weltmächte wie die USA, China, Indien und Russland scheinen das Internet, die Cloud, den Cyberraum und künstliche Intelligenz beherrschen zu wollen. Schafft es die Schweiz, mindestens die Cybersouveränität mit einem gut austarierten Mass an Cybersecurity zugunsten der digitalen Assets weiter zu entwickeln?

Wir beobachten diesen Trend zu einer Verschiebung der Machtpolitik in den Cyberraum seit einigen Jahren. Insgesamt ist die Entwicklung zu bedauern, weil sie der urspünglichen Idee des Internets als freies und globales Verbindungsnetz zuwiderläuft und natürlich auch die Zusammenarbeit zwischen den Staaten erschwert. Die Schweiz setzt sich dafür ein, dass das Internet möglichst allen zugänglich bleibt und nicht durch einzelne Mächte oder Firmen dominiert wird. Obwohl die Schweiz kaum zur umfassenden Cybermacht werden wird, sie hat einiges zu bieten in Teilbereichen der Cybersicherheit und kann damit ihren Standort stärken.

Wie ist aus Ihrer Sicht der Spagat zwischen Privatsphäre und Schutz der digitalen Identität einerseits und Cyber Crime oder Cybersouveränität andererseits zu schaffen?

Es ist nicht nur ein einzelner Spagat, der zu schaffen ist, sondern gleich mehrere. Die digitale Transformation führt zu unzähligen neuen Chancen, birgt aber eben auch viele neue Risiken. Wir wollen die Chancen realisieren und die Risiken in vertretbarem Mass halten. Das ist ein ständiges Abwägen. Bei vielen entscheidenden Fragen gilt es, in der Gesellschaft einen stabilen Grundkonsens zu entwickeln. Das ist auch eine Wertediskussion. Die basisdemokratische DNA der Schweiz kann dabei helfen.

Ist die Unaufgeregtheit, Resilienz und zumindest bisherige Gelassenheit der Schweizer Unternehmen förderlich im Tsunami der Digitalisierung und des Cyber Crime?

Tatsächlich halte ich es für wichtig, in der Cyberthematik kühlen Kopf zu wahren und die Risiken sachlich abzuwägen. Es ist manchmal nicht einfach, zwischen echten und vermeintlichen Bedrohungen zu unterscheiden. Es gibt unzählige echte und angebliche Experten und ebensoviele unterschiedliche Expertenmeinungen zur Cybersicherheit. Es ist darum zu begrüssen, wenn Unternehmen sich ihr eigenes Urteil bilden, denn sie selbst kennen ihre Geschäftsrisiken am besten. Voraussetzung dafür ist natürlich, dass die Unaufgeregtheit auf eine fundierte Risikoanalyse zurückzuführen und mit Massnahmen verbunden ist. Sie darf nicht auf einer "Vogel-Strauss"-Taktik beruhen, bei welcher mögliche Risiken einfach ignoriert werden.

Bedrohungslagen rund um Cyber Security fordern zunehmend ihren Tribut. Data Breaches oder Hacks bei Unternehmen zeigen teilweise grosse Defizite auf, verursachen Reputationsschäden und verursachen mitunter auch massive Verluste an der Börse. Braucht es hier Neubewertungen von systemkritischen Infrastrukturen, geschäftskritischen Prozessen, Risikomanagement-Systemen und Unternehmen je nach Risiko und Exposition?

Ja, eine laufende Neubeurteilung der Risiken ist sehr wichtig und eine Daueraufgabe. Im Rahmen der NCS haben wir bei den systemkritischen Wirtschaftssektoren wie zum Beispiel Energieversorgung, Gesundheitswesen, Telekommunikation oder Finanzmarkt zusammen mit Wirtschaftsvertretern Risiko- und Verwundbarkeitsanalysen zu Cyberrisiken durchgeführt. Daraus abgeleitet haben die Sektoren für sich die wichtigsten Massnahmen identifiziert. Im Sinne eines "Plan-Do-Check-Act"-Prozesses werden wir in den nächsten Jahren diese Massnahmen umsetzen und die Risikoanalysen kontinuierlich überarbeiten.

Zur Person

Seit dem 1. Mai 2007 leitet Peter Fischer das Informatiksteuerungsorgan des Bundes (ISB), ehemals Informatikstrategieorgan Bund. Zum ISB gehört auch die Melde- und Analysestelle für die Informationssicherung MELANI. Es koordiniert die Umsetzung der nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken.

Peter Fischer schloss das Studium der Rechtswissenschaften an der Universität Genf 1984 als lic. iur. und 1986 legte er das Fürsprecherexamen am Obergericht Bern ab. Anschliessend war er für fünf Jahre persönlicher Mitarbeiter des Generalsekretärs im seinerzeitigen Eidg. Verkehrs- und Energiewirtschaftsdepartement (EVED). 1992 nahm er die Arbeit als Vizedirektor im Bundesamt für Kommunikation auf.

1994 wurde ihm die Funktion stellvertretender Direktor und Leiter Abteilung Telecomdienste übertragen. Er hat dabei die Liberalisierung des Telecom-Marktes in der Schweiz konzipiert, den politischen Prozess dazu begleitet und die Marktöffnung auf Seiten der Behörden umgesetzt. Weiter zeichnet er verantwortlich für die bundesrätliche Strategie für eine Informationsgesellschaft in der Schweiz, in deren Rahmen die E-Government-Strategie erarbeitet wurde.

Neben seiner beruflichen Tätigkeit amtete er von 1999 bis 2007 als Dozent an der Universität Freiburg. Am 24. Januar 2007 hat der Bundesrat Peter Fischer zum Delegierten für die Informatikstrategie Bund und als Folge der revidierten BinfV am 16. Dezember 2011 zum Delegierten für die Informatiksteuerung des Bundes ernannt.

Webcode
DPF8_135424