Cybersicherheit in der Schweiz: Aktueller Stand und Zukunftsperspektiven
Im Rahmen der Cyber Security Days, zu denen ich eingeladen war, hatte ich Gelegenheit, mich über meine Bedenken bezüglich der Cybersicherheit in unserem Land zu äussern. Nach einigen Tipps zur digitalen Hygiene sprach ich insbesondere über den Weg, den die Idee der Schaffung eines Bundesamts für Cybersicherheit genommen hat. Ich hatte den Bundesrat im letzten Winter darauf angesprochen, und laut Bundesrat Ueli Maurer ist das Projekt auf dem besten Weg, verwirklicht zu werden. Hier ist meine Rede:
Les gros titres négatifs sur la cybercriminalité ne s’arrêtent pas, chers représentantes et représentants officiels, chers cybercracks et participants aux Cyber Security Days. Depuis la dernière conférence, le répertoire suisse des piratages informatiques douloureux s’est enrichi de quelques entrées éminentes. Vous connaissez les incidents, comme celui des communes romandes piratées, d’un portail très fréquenté comme comparis, qui a dû s’acquitter de lourds paiements de chantage pour pouvoir reprendre son activité.
Et plus récemment, ce sont des cabinets médicaux neuchâtelois qui ont été extorqués. Des données personnelles sensibles sur la santé de dizaines de milliers de patients* ont apparemment trouvé le chemin jusqu’au Darknet. Ce dernier cas est particulièrement inquiétant. Si, par exemple, le problème de drogue d’une personne devient visible pour tous à cause de telles fuites, cela peut détruire une existence personnelle. L’intégrité non seulement numérique est en jeu.
Une véritable industrie du ransomware-as-a-service s’est établie, qui se perfectionne avec l’accélérateur de feu : les crypto-monnaies.
Les attaques réussies sont toutefois un symptôme et non une cause.
En fin de compte, la cause est toujours une cybersécurité insuffisante de systèmes de plus en plus complexes et la manière de les gérer. Et je ne parle même pas des menaces nouvelles comme les deepfakes ou les drones tueurs kamikazes, qui dépassent même les dystopies de science-fiction actuelles.
Trop d’attaques sont en effet dues à des trivialités absolues. Des patchs non installés, des mots de passe faibles ou l’absence d’authentification à deux facteurs. Des choses qui devraient faire partie du quotidien numérique comme le brossage des dents.
Les attaques parfois désastreuses sont souvent dues à un travail peu soigné, comme lors de la construction et de la maintenance de portails tels que mavaccination.ch, ce qui conduit à des bases de données incontinentes et au vol de données correspondant. De nombreux organes de direction sont manifestement totalement perdus dans l’acquisition et la gestion de leurs plates-formes numériques. Il n’est pas rare qu’ils ne soient pas conscients du risque qu’ils encourent. Les aspects informatiques sont délégués dans un coin de l’organisation afin que les questions désagréables ne soient même pas traitées au niveau de la direction ou du conseil d’administration. Les comités, les conseils ou les directions n’accordent toujours pas assez d’attention à ce sujet.
Un autre problème majeur est celui des composants logiciels mal entretenus, dont la diffusion est énorme, y compris dans les infrastructures critiques.
Dix ans après Heartbleed, la terrible faille de sécurité du package OpenSSL largement répandu, un autre cas similaire s’est produit l’année dernière avec Log4j. Une multitude d’applications critiques ont dû être corrigées au pied levé pour ne pas être exposées à des attaques extrêmement dangereuses.
Le secteur du numérique n’a pas réussi à établir un inventaire de ces éléments essentiels, qu’ils soient propriétaires ou open source, et à en garantir collectivement la maintenance.
Mesdames et Messieurs, la situation est dramatique.
Les milieux de la cybersécurité sont depuis longtemps conscients du problème et ne cessent de le souligner. Mais où est le cri d’alarme ? Comment sortir de cette situation ? La Suisse doit-elle se faire hacker comme l’Estonie l’a été par la Russie il y a deux décennies pour qu’elle se réveille enfin ? Comment s’attaquer à cette tâche herculéenne ?
Commençons par le côté positif : pas rien n’a été fait. Le sujet fait son chemin dans l’agenda politique et de plus en plus d’entreprises et d’organisations prennent conscience du défi.
Au niveau fédéral, un travail de fond très important a été réalisé ces dernières années avec la création du Centre national pour la cybersécurité.
Et avec la création du groupe parlementaire interpartis Cyber, dont j’ai eu le plaisir d’être l’un des co-présidents avec ma chère collègue Doris Fiala, un jalon important a été posé dans l’ancrage de ce thème dans la Berne fédérale.
Aber erlauben Sie mir zuerst einen selbstkritischen Blick auf das, was die Digitalbranche selber angehen muss.
Aus einer Nutzer*innenperspektive müssten sich digitale Angebote ohne proaktives Zutun sicher anfühlen und vor allem sicher sein. Man wüsste zwar, dass ganz selten Vorfälle passieren können, weil es 100%ige Sicherheit nicht geben kann. Man hätte aber das Vertrauen, dass nichts vertuscht wird und gnadenlos lückenlos aufgeklärt wird. Sicherheit wäre nicht ein Addon, für welches man zusätzlich und überteuert bezahlen müsste.
Digitale Produkte wären intrinsisch sicher. Dem ist heute ganz offensichtlich nicht so.
Es lohnt sich deshalb, andere Branchen anzuschauen. Als Vorbild einer solchen Transparenz- und Sicherheitskultur dient die Luftfahrt. Auch in der Luftfahrt sind die Systeme unheimlich komplex. Auch in der Luftfahrt interagieren über den Globus hinweg in Echtzeit eine Unmenge an Akteur*innen miteinander. Auch in der Luftfahrt ist der technologische Wandel beeindruckend.
Und dennoch gilt der zivile Flugverkehr seit Jahrzehnten als eines der sichersten Verkehrsmittel. Von dieser Kultur sollte sich auch die gesamte Digitalbranche eine Scheibe abschneiden.
Die mittlerweile unzähligen Open Source Communities sind schon mal ein gutes Template. Gerade, weil mit der Quelloffenheit von Software Transparenz im Zentrum steht.
Wenn aber Open Source insbesondere für grosse Anwender wie internationale Plattformbetreiber als Einbahnstrasse gesehen wird, wird’s problematisch. Heartbleed und Log4j sind diesem Umstand geschuldet. Zu viele profitieren von Open Source, zu wenige tragen bei.
Das gilt auch für die Schweiz. Gerade als Open Source Unternehmer ist mir dieses gemeinsame Tragen der Verantwortung und der Gewinn an Kontrolle dank mehr Offenheit ausserordentlich wichtig.
Es muss zu einer Selbstverständlichkeit der Branche werden, unterdotierte Communities von wichtigen Softwarebestandteilen zu stützen. Zu Kultur in der Branche muss auch werden, dass dem Zeitalter gerecht werdende System- und Softwarearchitekturen umgesetzt werden. Dezentralität, Datensparsamkeit, Privacy by design und Security by Design sind hier die Stichworte. Kryptografisch niet- und nagelfest. Und weil das nicht von heute auf morgen geht, braucht es eine Daten-Fastenzeit.
Nie gespeicherte Daten sind die immer noch am einfachsten zu schützenden.
Wer die Abstimmungskampagne des E-ID Referendums beobachtet hat, hat bemerkt, dass genau diese Themen bei der Stimmbevölkerung verfangen haben. Das digitale Unbehagen der Menschen ist viel zu gross, das muss ändern!
Und mit dem Rückenwind der E-ID Abstimmung, konnte ich Ratsmitglieder aus allen Parteien für eine Neuauflage einer dezentralen und datensparsamen E-ID gewinnen. Die Verwaltung ist nun im Eiltempo daran, Pilotprojekte und die Gesetzesgrundlage für eine staatliche vertrauenswürdige elektronische Identität zu schaffen.
Womit ich auch auf die Rolle der Politik, insbesondere der nationalen in Bundesbern angelangt bin. Die Politik spielt schon heute eine Rolle und wird künftig wohl einen noch stärkere spielen.
Seit einer Weile mache ich die Idee beliebt, aus dem Nationalen Cyber Security Zentrum – dem NCSC – ein Bundesamt zu schaffen. Noch im Winter hat der Bundesrat meinen Vorstoss dazu eher zurückhaltend aber durchaus auch wohlwollend kommentiert.
Gestern Morgen hat Ueli Maurer dann hier virtuell auf der Bühne die Katze aus dem Sack gelassen: Er will nun auch ein Bundesamt für zivile Cybersicherheit.
So schnell kann’s gehen, liebe Anwesende. Auch in Bern!
Entsprechend kann ich mich nun schon zurücklehnen und brauche hier nicht einmal mehr Überzeugungsarbeit zu leisten. Dafür kann ich mir erlauben, etwas mehr über die aktuelle Vernehmlassung der Meldepflicht für kritische Infrastrukturen zu sprechen.
Ich bin froh um diese Gesetzesvorlage.
Nicht nur ist eine solche Meldepflicht letztlich im Interesse der Betreiber kritischer Infrastrukturen selber, sondern trägt auch zu gemeinsamen Lernen bei, ganz nach dem Vorbild der Luftfahrt. Der Bund kann hier eine wichtige koordinierende Schnittstelle bilden, damit die Sicherheit der Systeme insgesamt erhöht wird.
Ich würde aber weitergehen und zwar, um letztlich die gesamte Bevölkerung und alle Unternehmen zu erreichen. Denn wie der Fall in Neuenburg zeigt, kann auch eine Arztpraxis kritisch sein. Wir haben es bereits gestern oft gehört: Wir brauchen Sensibilisierung. Und es braucht Anreize, dass ohne Stigmatisierung Cybervorfälle gemeldet werden. Seien sie auch noch so trivial. Lieber eine Meldung zu viel, als eine zu wenig. Wieso nicht gerade als Zückerchen ein paar Stunden Cyberberatung offerieren? So wie man das in der Energieberatung kennt.
Dann sehe ich auch weitere gesetzliche Änderungen, welche einen wichtigen Beitrag leisten können. Heute haben Mitglieder von Verwaltungsräten die nicht delegierbare Pflicht, das Rechnungswesen auszugestalten und die Finanzplanung und -kontrolle zu garantierten. Im digitalen Zeitalter gebührt der Ausgestaltung einer Daten-Governance das gleiche Gewicht wie den Finanzen. Deshalb plädiere ich dafür, die Organhaftung auszubauen.
Eine andere Option sehe ich im Versicherungsrecht.
Dass sich Unternehmen für Erpressungszahlungen absichern können finde ich richtig.Dass es heute möglich ist solche Produkte zu kaufen, ohne an der Cybersicherheit etwas getan zu haben, halte ich für falsch.Müsste ein Unternehmen nachweisen, die Cybersicherheit proaktiv zu managen, um sich absichern zu können, würde hingegen ein gewichtiger Anreiz geschaffen. Erpressungsvesicherung nur gegen gute proaktive IT-Governance! Auch das, liesse sich wohl einfach gesetzlich umsetzen.
Werte Damen und Herren.
Ich bin bei aller Dramatik zuversichtlich, dass wir gemeinsam mit der Wissenschaft, der Zivilgesellschaft, der Wirtschaft und der Politik weitsichtig genug sind und dem Thema die nötige Aufmerksamkeit widmen.
Meinerseits versuche ich in Bern meine Kolleginnen und Kollegen von der Wichtigkeit und Dringlichkeit des Themas zu überzeugen. Und mir scheint, dass ich damit auf offene Ohren stosse. Und wie bei meiner letzten Ansprache an dieser Konferenz, kann ich Sie nur ermuntern zu schauen, dass die Gruppe der Digital-affinen im Bundeshaus grösser wird. Mit ihren Wahlzetteln haben Sie es in der Hand.
Liebe Anwesende, ich wünsche Ihnen einen spannenden, lehrreichen zweiten Konferenztag mit Tiefgang. Und der Equipe rund um die Konferenz danke ich herzlich für das Engagement. Und ich danke für den weisen Entscheid, diese Konferenz erneut in meinem schönen Heimatkanton mit Brückenfunktion durchzuführen!