Artikel
Zur Zukunft von Cybersicherheit im öffentlichen Sektor Wo steht die Schweiz?
Der Global Future of Cyber Survey 2023 von Deloitte zeigt, dass Cybersicherheit eine zunehmend wichtige Rolle bei der Erzielung von Geschäftsergebnissen spielt – und zwar nicht nur in der Wirtschaft, sondern auch im öffentlichen Sektor. Die Qualität der Ergebnisse hängt stark davon ab, wie gut Entscheidungsträger das heutige Cybersicherheits-Umfeld verstehen und sich auf das vorbereiten, was als nächstes kommt.
Folgende fünf Highlights der globalen Studie zeigen den aktuellen Stand und die Trends der Zukunft von Cybersicherheit:
Cybersicherheit ist eine nie endende Reise der digitalen Transformation und muss konsequent und flächendeckend verankert werden.
Wenn es um die Verankerung von Cybersicherheit bei der Modernisierung geht, haben Schweizer Behörden teilweise Nachholbedarf. Die Anfälligkeit der Systeme haben verschiedene Cyberangriffe im Sommer 2023 aufgezeigt, als Webseiten der Bundesverwaltung und staatsnaher Betriebe wie der SBB und der Post und kantonaler Verwaltungen von Zürich, Basel und Genf durch sogenannte DDoS-Angriffe stundenlang lahmgelegt wurden1. Nach einem Ransomware-Angriff wurden gar Daten vom Bundesamt für Polizei (Fedpol) und vom Bundesamt für Zoll und Grenzsicherheit (BAZG) gestohlen und im Darknet veröffentlicht2. Die Modernisierung und der Austausch von Altsystemen muss deshalb ständige Priorität haben. Cybersicherheit darf kein nachträglicher Gedanke bleiben, wenn neue Systeme bereitgestellt und alte Systeme aufgerüstet werden. Die Deloitte Studie 2023 zur digitalen Verwaltung in der Schweiz hat zudem gezeigt, dass sich Behörden überlegen müssen, welche Überbrückungslösungen sinnvoll wären, um die Funktionsfähigkeit der wichtigsten Leistungen auch im Fall eines zerstörerischen Cyberangriffs sicherzustellen.
Die Notwendigkeit, Cybersicherheits-Talente zu finden und zu fördern, wird immer wichtiger und Ökosystemansätze helfen langfristig mehr als kurzfristiges Outsourcing.
Fehlende Cybersicherheits-Talente bleiben auch für Schweizer Behörden ein Problem. Einer Schätzung des weltweiten Verbands zertifizierter Cybersicherheits-Experten ISC2 zufolge gibt es global 4,7 Millionen Cybersicherheits-Angestellte, wobei es aber rund 3,4 Millionen mehr brauchen würde3. Die ICT-Berufsbildung Schweiz schätzt, dass in der Schweiz bis 2030 fast 40’000 Fachkräfte im ICT-Bereich fehlen werden4. Die Schweizer Armee hat dahingehend eigens eine Ausbildungsoffensive gestartet, um Cybersicherheits-Talente frühzeitig zu erkennen und zu fördern5. Behörden, Bildungsinstitutionen und Unternehmen müssen noch stärker zusammenarbeiten, um Programme für die nächste Generation von Cybersicherheits-Talenten zu entwickeln.
Governance bleibt die grösste Herausforderung und kann durch mehr Konsolidierung und Zentralisierung der Verantwortung abgesichert werden.
Die Finanzierung ist der Motor von Cybersicherheit, wobei ein zentralisierter und vereinfachter Budgetierungsprozess hilft, finanzielle Mittel sinnvoll zuzuweisen.
Missions-orientierte Cybersicherheit wird immer wichtiger und muss klare Befehle, Kontrolle und Kommunikation umfassen sowie eine definierte Führungsstruktur aufweisen.
In den Bereichen Governance, Investitionen und Planung hat sich in den letzten Jahren bei Schweizer Behörden schon einiges bewegt. Mit der Gründung des Nationalen Zentrums für Cybersicherheit (NCSC) im Jahr 2020 wurde eine zentrale Anlaufstelle für Behörden, Bildungsinstitutionen, Unternehmen und die breite Öffentlichkeit für Cybersicherheitsfragen eingerichtet und ein Expertenpool zur Unterstützung der Departemente und Ämter bei der Entwicklung und Umsetzung von Cybersicherheit-Standards etabliert. Die Umwandlung des NCSC in ein Bundesamt im Jahr 2024 wird die Governance von Cybersicherheit in den Behörden weiter stärken6.
Zudem läuft aktuell die Überarbeitung der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) 2018–2022, bei der nicht nur der Schutz und die Abwehr im Zentrum stehen, sondern auch stärker diskutiert wird, wie und wo die Schweiz künftig in die Cybersicherheit investieren sollte7.
Auf nationaler Ebene funktioniert die Zusammenarbeit in Sachen Cybersicherheit schon recht gut, der Föderalismus erschwert aber die Kooperation auf Kantons- und Gemeindeebene.
Die Bestrebungen diverser Kantone (u.a. Zürich8 , St. Gallen9 und Basel10 ) stärker in Cybersicherheit zu investieren und eigene kantonale Zentren für Cybersicherheit aufzubauen sind ein wichtiger Schritt nach vorne.