«Das Sicherheitsdenken ist gestiegen»

Thomas Holderegger (lacht): Am meisten aufgefallen ist mir der Stau in Davos. Ich war nur einen Tag lang dort und primär im digitalswitzerland Village. Aber man bekommt natürlich schon sehr viel mit, zumal dort neben dem WEF-Konferenzprogramm viele interessante Podiumsdiskussionen stattgefunden haben. Grosses Thema war natürlich Künstliche Intelligenz, insbesondere GenAI. Von digitalswitzerland wurden verschiedene Workshops zu diesem Thema durchgeführt. Allgemein waren nebst der Politik die verschiedenen Aspekte der Digitalisierung omnipräsent. Und um den Bogen zum Leitmotiv zu spannen: Ja, Digital Trust – und damit verbunden Cyber Security sowie Cyber Resilience – stand ganz oben auf der Agenda.

Die Bedeutung, aber auch die Abhängigkeit von reibungslos funktionierenden, sicheren IT-Systemen rückt zunehmend ins Bewusstsein. Gleichzeitig werden die Auswirkungen der digitalen Welt auf die reale Welt immer spürbarer. Beispielsweise vernetzen immer mehr Unternehmen ihre physischen Produktionsstrassen mit IT-Netzwerken, womit neue Cybergefahren entstehen. Plötzlich können Cyberattacken auch physische Systeme wie Fertigungsroboter oder Industrieanlagen betreffen und lahmlegen. Das kann durchaus auch zu physischen Gefahren führen wie Verletzungen oder Brände. Oder nehmen wir nur die Verbreitung von digital veränderten Bildern oder über soziale Netzwerke gestreute Fake News. Sicherheit hat sehr viel mit Vertrauen zu tun. Das wirft sehr viele Fragen auf, gerade in demokratischen Gesellschaften. Okay, wir können sagen, meine Daten gehören mir. Aber digital gesehen sind diese Informationen irgendwo gespeichert. Vertrauen in IT-Technologien ist vielschichtig: Es geht ums Vertrauen in das Funktionieren, aber auch ums Vertrauen in die Nutzung. Wie können wir Vertrauen schaffen? Das WEF-Motto war nicht so schlecht gewählt, finde ich.

Das ist zwar auch wichtig, aber das Cybersecurity-Komitee, welches ich präsidiere, hat doch noch ein paar andere Themen. Wir pflegen den regelmässigen Dialog rund um das Thema ITSicherheit. Zu den Mitgliedern des Komitees gehören zum Beispiel die CISOs von SBB, Post, UBS, Swisscom oder Swissgrid sowie relevante Players und Vendors aus der Schweizer Cybersecurity-Szene. Vertreten sind auch Behörden wie das VBS oder die Forschung und Lehre wie die ETH Zürich. Ziel des Gremium ist es, Wirtschaft, Verwaltungen und Politik kompetent im Bereich Cybersecurity zu beraten. Wir bringen Exponenten und Experten zusammen und verstehen uns als Sounding Board. Dabei greifen wir auch Aktuelles auf und diskutieren über politische Themen wie im Fall des NCSC (National Cyber Security Centre) beziehungsweise des Bundesamtes für Cybersicherheit (Bacs).

Ja und nein. Bei der KI gibt es verschiedene Ängste. Gar nichts halte ich von der ultimativen «Terminator-Angst», bei der die Maschinen die Kontrolle übernehmen und die Menschen vernichten. Völlig unrealistisch. Mehr Verständnis habe ich für die KI als Jobkiller; als Historiker weiss ich allerdings, dass wir schon unzählige Male in der Menschheitsgeschichte disruptive Technologiewechsel erfolgreich überlebt haben – und jedes Mal haben sie zu höherer Produktivität geführt, nicht zu tieferer. Was mich am meisten beunruhigt, ist aber der mögliche Missbrauch der Technologie in Form von Manipulationen. Hier müssen wir eine Lösung finden, um von KI erzeugte Inhalte klar zu kennzeichnen.

Richtig, aber wiederum nicht nur. KI hilft zwar Cyberkriminellen, täuschend echte Mails und Bilder zu erstellen. Aber KI hilft auch enorm bei der Früherkennung und der Ermittlung von Cyberangriffen. Damit lassen sich beispielsweise Muster erkennen, bevor es zum Angriff kommt, oder die Komplexität eines Angriffs besser verstehen als jemals zuvor. Jede Technologie, jedes Werkzeug kann man gebrauchen oder missbrauchen. Am Ende aller KI steht dann doch wieder der gesunde Menschenverstand. Wenn wir diesen einsetzen, sind wir gegenüber KI unschlagbar.

Regulierungen werden immer wieder diskutiert. Ich erachte das als zweischneidiges Schwert. Eine besondere Sorgfaltspflicht braucht es bei kritischer Infrastruktur. Auch die Wirtschaft als Rückgrat unserer Gesellschaft sollte bis zu einem Grad in die Pflicht genommen werden. Allerdings müssen wir Mass halten, damit wir uns nicht vor lauter Sicherheitsvorschriften selbst blockieren. Ehrlich gesagt, dürfte es auch nicht einfach sein, präzise, allgemein gültige Vorschriften zu erlassen. Abgesehen von den Einschränkungen für Wirtschaft und Gesellschaft, stellen Sie sich nur mal den administrativen Aufwand vor!

Das Sicherheitsdenken ist in den letzten Jahren nachweislich gestiegen. Das Problem ist die Ressourcenknappheit. Heute braucht es für ein grösseres Unternehmen enorm viel Kapital, um einen häufig vorhandenen Rückstand, beispielsweise bei den Cyberoperations, aufzuholen. Um Topexperten an Bord zu holen, muss man schon ein sehr spannendes Unternehmen sein oder über viel Geld verfügen. Man kennt zwar das Risiko, kriegt aber keine Fachleute. Aber ich muss auch sagen, dass es noch immer Firmen gibt, welche das Problem vor sich herschieben, weil andere Dinge vermeintlich gerade wichtiger sind – wenn auch weniger als auch schon.

Wir leben in einem demokratischen, gut funktionierenden Staat. Die Digitalisierung und die digitale Wirtschaft sind für unser Land von grosser Bedeutung. Uns sind das Potenzial, aber auch die Risiken durchaus bewusst. Defense, also Verteidigung, ist aus meiner Sicht eine Reaktion auf eine akute Bedrohung und eher militärisch behaftet. Das ist in besonderen Fällen wichtig und richtig. Besser finde ich aber den Begriff Security. Er zeigt, dass es allen Akteuren ein Anliegen ist, für stabile, sichere und geschützte Verhältnisse zu sorgen und dass wir das Thema Digitalisierung in allen Bereichen ernst nehmen.