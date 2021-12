Sicherheitslücken Niemand erreichbar: Warnungen vor Cyber-Angriffen kommen oft zu spät an Täglich warnt der Bund Firmen und Behörden gezielt vor Gefahren im Cyber-Bereich. Oft kommen die Warnungen aber nicht an. Laut dem Delegierten für Cybersicherheit fehlt es auch an Information. 20.12.2021, 06.57 Uhr

Florian Schütz ist seit 2019 Delegierter für Cybersicherheit des Bundes. Bild: Keystone

Zwischen den Schweizer Firmen gebe es grosse Unterschiede bei der Cybersicherheit, sagt Florian Schütz, Delegierter für Cybersicherheit des Bundes, gegenüber der NZZ. Das hänge zum Beispiel davon ab, ob die IT-Sicherheit auf der Stufe Verwaltungsrat und Geschäftsleitung ein Thema ist. Auch für kleine Firmen mit einem Umsatz von weniger als einer halben Million Franken sei IT-Sicherheit mit 2000 bis 5000 Franken aber erschwinglich, so Schütz. «Das ist nicht viel.»

Cyber-Angriffe sind heute alles andere als selten. Das Nationale Zentrum für Cybersicherheit warnt laut Florian Schütz «täglich zahlreiche Unternehmen und Behörden ganz gezielt vor Gefahren». Dann sei es wichtig, dass eine rasche Reaktion erfolgt. «Oft erreichen wir aber in der betroffenen Firma niemanden. Dann müssen wir eine Warnung per eingeschriebenem Brief verschicken», so Schütz. Um keine wertvolle Zeit zu verlieren, sollten Firmen deshalb auf ihrer Website einen Security-Kontakt angeben.

Informationsplattform für alle

Viele Firmen hätten zudem «keine Ahnung, wie gut sie bei ihrem Provider vor Cyberangriffen geschützt sind», sagt der Delegierte für Cybersicherheit. Die Serviceprovider würden nur selten transparent angeben, welches Sicherheitslevel sie ihren Kunden mitliefern. Florian Schütz will prüfen, ob man diese zu einem höheren Sicherheitsniveau bewegen kann, etwa durch die Einführung eines Labels. Weiter schwebt ihm eine für alle zugängliche Informationsplattform vor, die zur Warnung und Beratung dienen soll.

Geklärt werden muss laut Schütz zudem noch, inwiefern der Bund bei privaten Firmen zuständig ist. «Ich persönlich bezweifle, dass es nötig und sinnvoll ist, dass der Bund allen angegriffenen Unternehmen direkt hilft.» Der Steuerzahler solle nicht für die IT-Sicherheit jeder Firma bezahlen müssen, dafür gebe es private Anbieter. (agl)