Selbstschutz statt Cyber-Mythos: NCSC-Chef Florian Schütz im Video-Interview

Florian Schütz, Leiter des Nationalen Cybersecurity Centers (NCSC), spricht im Interview über die Realität hinter «Hollywood-Hacking», über die Meldepflicht für kritische Infrastrukturen und darüber, weshalb Cybersicherheit zunehmend zur wirtschaftspolitischen Frage wird. Sein Kernpunkt: Der Staat kann nicht jedes System schützen, aber er kann befähigen, Risiken zu verstehen und Resilienz aufzubauen.

Florian Schütz’ Weg in die Cybersicherheit beginnt früh, wie er im Video-Interview mit unserem Partner, The INGAGE Institute, verrät. Computer faszinierten ihn als Jugendlicher vor allem dort, «wo sie Dinge tun, die sie nicht sollen». An der ETH Zürich studiert er Informatik, zunächst mit Fokus auf Augmented Reality und Embedded Systems, später – begünstigt durch den Aufbau eines Security-Programms – zunehmend mit Schwerpunkt Cybersecurity. Prägend ist für ihn auch das Umfeld sicherheitskritischer Systeme: Wenn Software versagt, sind reale Schäden möglich. Verantwortung ist für Schütz daher kein abstrakter Begriff, sondern Teil des ingenieurwissenschaftlichen Selbstverständnisses.

«Cool ist nicht das Hacken – cool ist das robuste Bauen»

Mit dem populären Bild des glamourösen Hackers räumt Schütz nüchtern auf. Angriffe zu verstehen sei wichtig und intellektuell reizvoll, doch die eigentliche Meisterschaft liege im Entwurf widerstandsfähiger Systeme. In der Praxis scheitere Sicherheit selten an hochkomplexen Angriffen, sondern an fehlenden Grundlagen: ungepatchte (nicht verschlossene) Schwachstellen, schlecht konfigurierte Systeme oder mangelhafte Prozesse. Wer lange in der Branche arbeite, erkenne schnell wiederkehrende Muster und wisse, dass Prävention fast immer günstiger ist als Schadensbehebung.

Was das NCSC leistet – und was nicht

Das Nationale Cybersecurity Center (NCSC) schützt nicht stellvertretend «die Schweiz». Sein Auftrag besteht darin, Bevölkerung, Unternehmen und Betreiber kritischer Infrastrukturen zu befähigen, Cyberrisiken zu verstehen und selbst Verantwortung zu übernehmen. Eingebettet ist das NCSC in die nationale Cyberstrategie, die mehrere Akteure zusammenführt: Cyber Defense (militärisch und nachrichtendienstlich) für Konflikt und Spionage, Cyber Crime bei Polizei und Strafverfolgung und Cybersecurity im präventiven Sinn beim NCSC. Die Strategie bildet das gemeinsame Dach, ohne zentrale Kommandostruktur. Auch die Kantone tragen Verantwortung, damit die Ziele auf allen Staatsebenen umgesetzt werden.

Meldepflicht und Vertrauen als Grundlage

Seit dem 1. April 2025 gilt eine Meldepflicht für kritische Infrastrukturen. Entscheidend ist für Schütz die dahinterliegende Vertrauenslogik: Meldungen werden nicht ohne ausdrückliche Zustimmung weitergegeben. Unternehmen sollen zur Zusammenarbeit mit der Polizei ermutigt werden, ohne Angst vor öffentlicher Blossstellung oder automatischer Weiterleitung. Der Fokus liegt auf Hilfe, Lernen und Prävention und nicht auf Schuldzuweisung.

Der Bürgenstock als Cyber-Stresstest

Wie dieses Prinzip funktioniert, zeigt das Beispiel der Bürgenstock-Konferenz, des Friedensgipfels zur Ukraine. Erwartbar waren insbesondere DDoS-Angriffe, also Überlastungsattacken mit meist symbolischem Charakter, etwa gegen Websites regionaler Tourismusorganisationen. Operativ seien solche Vorfälle in der Regel verkraftbar, sagt Schütz. Kritischer sei die öffentliche Wahrnehmung: Alarmistische Einschätzungen selbsternannter Experten könnten Vertrauen untergraben, Teilnehmer verunsichern und der Reputation schaden. Entsprechend wichtig waren neben Risikobewertung und technischer Vorbereitung auch transparente Kommunikation und enge Abstimmung mit Medien und Betroffenen.

Wenn Schweizer Infrastruktur missbraucht wird

Ein wiederkehrendes Problem ist der Missbrauch von Infrastruktur aus der Schweiz als Ausgangspunkt für Angriffe. Das NCSC teilt Hinweise mit Internet-Providern, um kriminelle Strukturen zu blockieren oder Akteure weniger effektiv zu machen. Die Reaktionen fallen unterschiedlich aus. Während einige Anbieter verantwortungsvoll handeln, berufen sich andere auf «Freedom of Speech» (Meinungsfreiheit), ein Argument, das Schütz bei klar kriminellen Aktivitäten zurückweist. Für ihn ist klar: Sicherheitsverhalten wird wesentlich durch wirtschaftliche Anreize und Geschäftsmodelle geprägt.

Cybersicherheit als Standort- und Wirtschaftsfrage

Damit rückt ein oft unterschätzter Aspekt in den Fokus. Cybersicherheit ist nicht nur Technik, sondern auch Wirtschaftspolitik. Ein grosser Teil der Schweizer Unternehmen erzielt geringe Umsätze und verfügt über entsprechend begrenzte Budgets für Security. Steigen die Kosten für Cyberschutz flächendeckend, sinken Margen, Wettbewerbsfähigkeit und langfristig das Bruttoinlandprodukt. Schütz formuliert eine strategische Hypothese: Selbst wenn wirtschaftliche Schwächung nicht gezielt geplant ist, kann sie geopolitisch wirksam werden. Daraus folgt für ihn die Notwendigkeit, volkswirtschaftliche Schäden besser zu messen und gezielt gegenzusteuern.

Cloud, KI und digitale Souveränität

Beim Blick auf Cloud und Künstliche Intelligenz beschreibt Schütz den Übergang vom früheren Tech-Optimismus zu einer Phase geopolitischen Misstrauens. Wenn zentrale Infrastrukturen von wenigen globalen Anbietern kontrolliert werden, stellen sich Fragen nach Datenzugriff, Rechtsraum und politischen Abhängigkeiten. Technisch sieht er Hoffnung in Ansätzen wie Confidential Computing, politisch eine Rolle der Schweiz als vertrauensbildende Akteurin, die zwischen unterschiedlichen Interessen vermitteln kann.

Desinformation und Plattformökonomie

Auch soziale Medien ordnet Schütz in diesen Kontext ein. Was als Verbindungstechnologie begann, sei durch aufmerksamkeitgetriebene Geschäftsmodelle verzerrt worden. Desinformation liege in der Schweiz primär in der Verantwortung des Nachrichtendienstes, überschneide sich aber operativ mit Cyberfragen. Prävention beginne deshalb nicht nur technisch, sondern auch gesellschaftlich mit Medienkompetenz, Aufklärung und frühzeitiger Sensibilisierung.

Blick nach vorn: Cyber als Langfristinvestition

Für die kommenden drei Jahre wünscht sich Schütz, dass Cybersicherheit politisch nicht als kurzfristiges «Angriff-und-Abwehr-Spiel» verstanden wird, sondern als langfristige Investition in Sicherheit, Wohlstand und Lebensweise. Dazu zählen harmonisierte Regulierung, stabile internationale Vertrauens- und Austauschmechanismen sowie eine gestärkte digitale Handlungsfähigkeit. Für das NCSC selbst steht der Ausbau einer nationalen digitalen Plattform im Zentrum, über die Lageinformationen geteilt und Zusammenarbeit effizient organisiert werden kann.

Das Interview liefert keine Cyber-Thriller, sondern strategische Bodenhaftung. Die entscheidenden Hebel liegen weniger in spektakulären Abwehraktionen als in soliden Grundlagen, funktionierenden Anreizsystemen und in der Einsicht, dass Cybersicherheit längst eine zentrale ökonomische und gesellschaftliche Sicherheitsfrage ist.

Binci Heeb

Sehen und lesen Sie auch: Kompakt, radikal, riskant: Lars Tvede über Tech-Trends der Zukunft