Schweizerische Gewerbezeitung: Was verstehen Sie unter Cyber-
security?

nJosef Bollag: Generell werde ich ersuchen, einfach verständliche Antworten zu geben – dies im Bewusstsein, dass die Materie viel komplexer ist, als von mir dargestellt. Cyber-security ist die Gewährleistung der Sicherheit und der Privatsphäre in der sich ständig erweiternden neuen Welt des Internets.

Gelegentlich werden die Begriffe Cyberrisk, Cybercrime und Cybersecurity vermischt. Wie erklären Sie die Unterschiede?

n Cyberrisk ist allgemein das Risiko, wenn man Handlungen, Aufträge, Botschaften und Messages statt auf der herkömmlichen Art über das Internet durchführt und sich damit neuen cyberspezifischen Risiken aussetzt.

Cybercrime sind neue Spielarten der Kriminalität, welche entweder über das Internet durchgeführt werden, oder sich erst neu durch den Gebrauch des Internets als neue Möglichkeiten von kriminellen Straftaten ergeben haben. Der Bankraub zum Beispiel nach alter Art erfolgte mittels physischem Überfall auf eine Bank; der Bankraub auf Cybercrime- Art durch ein gezieltes oder gestreutes Hacking von diversen Bankdaten mit finanzieller Potenz.

Cybersecurity ist die Eindämmung oder gar Verhinderung der beiden vorher genannten Erscheinungen.

Ist die Schweiz gut aufgestellt, mit den Risiken der Digitalisierung umzugehen?

n Nur teil-
weise. Grössere, auch internationale Firmen sind sich schon relativ früh der Gefahr aus der 
Cyberwelt bewusst geworden und haben sich sehr professionell in der Absicherung gegen Cybercrime 
und -risks geschützt, was ein sehr kostenintensives Unterfangen ist. Awareness, also die Bewusstseinsbildung der Betroffenen, ist – wie in vielen anderen Gebieten – von essen-tieller Bedeutung. Der Bund hat eine spezielle Truppe namens MELANI geschaffen, die jedoch bis anhin 
nur einer ganz bestimmten Gruppe dienlich sein kann.

«Die Bewusstseins­bildung über cyber­risiken ist von essentieller Bedeutung.»

Warum sind diese Themen für KMU relevant?

n Es kann jedes Unternehmen treffen und jeder Private kann Opfer eines Hackerangriffs, eines Cybervirus oder einer eingeschmuggelten Malware werden – also auch ein KMU.

Wie sind KMU als Kunden und Nutzer elektronischer Systeme gefährdet?

n Wir haben in der Schweiz viele KMU, die – manchmal sogar weltweit – als Nischenplayer 
Geschäfte tätigen, aber auch viele Start-up-Firmen mit neuen Ideen. Das Stehlen solch spezifischen Know-hows über das Internet 
scheint mir für die KMU eine grös­sere Gefahr als das Leeren ihrer ­Konten.

Was kann ein einzelnes KMU 
tun, um sich vor Cyberangriffen zu schützen?

n Der Bund hat einer Kommission den Auftrag für eine Studie gegeben, welche auch diesen Aspekt des Schutzes von KMU berücksichtigt. Man muss Erfahrungen, Finanzen und Gegenmassnahmen zusammenlegen können, um eine effiziente Abwehr für den Einzelnen aufzubauen.

Welchen konkreten Risiken aus dem Cyberspace ist der Finanzplatz Schweiz ausgesetzt?

n Der Finanzplatz Schweiz ist den gleich grossen Risiken ausgesetzt wie auch andere führende Finanzmärkte. Die konkreten Risiken möchte ich hier nicht öffentlich machen.

«Das Stehlen von Know-how über das Internet ist für die KMU eine grössere 
Gefahr als das Leeren ihrer Konten.»

Muss die Abwehr von Cyberrisiken zwingend vom Staat kommen? Kann sie nicht auch privat erfolgen?

n Wir haben es mit Cyberrisk mit einem Phänomen zu tun, das sparten- und nationenübergreifend ist, weshalb ganz sicher der Staat in die Pflicht genommen werden muss. Denken Sie nur an die internationalen Verträge zur Bekämpfung der Cyberkriminialität! Sehr viel Know-how wird aber von der Front der Wirtschaft und der verschiedenen Unternehmensbereiche abgerufen werden müssen. Deshalb wird es im Endeffekt zu einer Public-Private-Partnership kommen. Privat alleine wird nur der finanziell Starke sich schützen können – wobei er dann, isoliert, von keinen Synergien der Zusammenarbeit profitieren können wird.

Was sollte die Schweiz, was sollen die Unternehmen als erstes tun, um sich zu schützen?

n Es braucht interne Schulung, um die Awareness zu kreieren und die Aufmerksamkeit zu stärken, damit mögliche Vorfälle erkannt und behandelt werden können, unter Umständen mit Hilfe von externen Experten. Wer wusste vor 25 Jahren, was ein «Nigeria-letter» ist oder ein Enkeltrickbetrüger, oder kannte vor zehn Jahren den Begriff Spam? Dank gesteigerter Aufmerksamkeit leuchten bei solchen Begriffen heute bei Vielen rote Lämpchen auf!

«Das Thema cybercrime wird in Zukunft enorm an Bedeutung gewinnen.»

Wie wird sich die Bedeutung dieses Themas in Zukunft entwickeln?

n Das Thema wird in Zukunft enorme Bedeutung gewinnen und uns in allen Bereichen fordern, nicht zuletzt auf dem juristischen Parkett, insbesondere bei der Rechtsetzung und der Strafverfolgung.

Interview: Gerhard Enggist