Wie in unserem letzten Beitrag angekündigt, wollen wir uns näher mit der Thematik “IKT-Strategie” auseinandersetzen. Aus diesem Antrieb heraus haben wir uns das von St. Gallen vorgestellte Gesetzeswerk zu Gemüte geführt. Wozu überhaupt eine eigene Strategie für Internet- und Kommunikationstechnik? Was bleiben Aufgaben der Regierung und wo müssen sich weitere Akteure besser vernetzen, um vor Cyberrisiken geschützt zu sein? Wir finden es heraus!
Mit IKT-Strategie und gutem Beispiel voran
Schon der erste Satz des besagten Regelwerks beschreibt die Ist-Situation sehr treffend: Die Schweiz befindet sich inmitten der Digitalisierung. Ob ganz bewusst mit einer hauseigenen Strategie oder gezwungenermassen durch Schwimmen mit dem Strom, sowohl kleine und mittelständische Unternehmen als auch Privathaushalte werden zunehmend digitaler. Wir vernetzen uns umfassend, nebenbei spielt die Transparenz eine ausschlaggebende Rolle.
Und was transparent und damit leicht durchschaubar ist, wird als Nebeneffekt leider auch angreifbar. Private PCs und ganze Firmennetzwerke sind nicht automatisch geschützt – wir müssen pro-aktiv handeln, um gewappnet ins World Wide Web zu ziehen. Auch die Gefahren listet St. Gallen zutreffend auf:
- Cyber-Kriminalität, -Spionage, Sabotage und Terrorismus
- Desinformation
- Propaganda
- technische Ausfälle
- menschliches Fehlverhalten
Was auch immer die jeweilige Ursache ist, Cyberangriffe führen zu herben Einbussen in vielen Bereichen, nicht nur auf finanzieller Ebene. Wenn wir uns allerdings deshalb aus Internet und Digitalisierungsprozessen zurückziehen, kommen wir später vielleicht nicht mehr hinterher. Also ran ans (Regel)Werk!
Regierungsaufgaben
Für die Strafverfolgung bleiben weiterhin Bund und die jeweiligen Kantone zuständig. St. Gallen erklärt, dass die bisherige Zusammenarbeit zwischen Kantonspolizei und Staatsanwaltschaft bestens funktioniert und daher keine neue Rollenverteilung oder Aufgabenzuweisung erfordert. Der Unterbereich “Cyber-Defense” obliegt davon abgesehen ausschliesslich dem Bund.
Ziele der IKT-Strategie
Prävention
Frühzeitige Erkennung ist unerlässlich, um entsprechend auf Bedrohungen reagieren zu können. Da sich die Bedrohungslage in der “Cyberwelt” stetig weiterentwickelt, müssen alle Akteure gleichermassen vorbereitet sein.
Resilienz
Darunter versteht man die Fähigkeit, sich von eventuellen Angriffen schnellstmöglich zu erholen.
Kompetenz
Für eine widerstandsfähige und zuverlässige Struktur sind gut ausgebildete Fachkräfte unabdingbar.
Zweckmässigkeit
Der Zweck heiligt alle Mittel? Nicht ganz. Gerade in Regierungsangelegenheiten ist sogenanntes adäquates Handeln gefragt. Darüber hinaus muss jede Regierung in der Lage sein, artgerecht auf Bedrohungen der öffentlichen Sicherheit zu reagieren.
Zusammenarbeit
Kein Kanton kann die Herausforderungen von Digitalisierung und Cyber-Risiken im Alleingang bewältigen. So vernetzt das Internet ist, so partnerschaftlich soll auch der Austausch zwischen allen Akteuren sein – sowohl auf nationaler als auch internationaler Ebene.
Information
Zurück zum Stichwort Transparenz: auf Basis von Vorarbeiten des Bundes wird die Bevölkerung informiert. Eine gute Informationslage hat den positiven Nebeneffekt, für zusätzliche Sensibilisierung zu sorgen. Bestenfalls sorgt eine zentrale Stelle für die Informationsverbreitung.
Grundsätze der IKT-Strategie
Eigenverantwortung
Es gilt das Prinzip der “Subsidarität”. Demnach sind Privatpersonen und Unternehmen für ihr Handeln selbst verantwortlich. Der Kanton wird allerdings dann aktiv, wenn besagte Akteure nicht in der Lage sind, sich ausreichend zu schützen und damit auch das Gemeinwohl gefährdet ist.
Risikomanagement
Hierfür gibt es diverse Grundsätze, aus denen verhältnismässige Massnahmen erfolgen. Der Punkt gleicht demnach sehr dem Begriff “Zweckmässigkeit” unterhalb der Ziele einer IKT-Strategie.
Verbindlichkeit
Was wäre ein Gesetz, wenn es nicht verbindlich ist? Der Bedarf an Reformen muss zudem stetig beobachtet werden.
Kooperation
Ähnlich dem Punkt Zusammenarbeit sollen Kantone ihre Ansprechpartner und Kontakte kennen und zusammenarbeiten, um mit keiner Frage der Cybersicherheit alleine dazustehen. Sowohl Kooperationen als auch nachhaltige Kontaktpflege sind wichtige Mittel für wirtschaftliches Wachstum.
Ökonomie
Alle zur Verfügung stehenden Mittel werden bedarfsgerecht und gezielt eingesetzt. Wir verfolgen damit erneut das Ziel der Zweckmässigkeit.
Die Akteure
Ein Fahrplan steht und fällt mit seinen Beteiligten. Obwohl wir uns am Beispiel von St. Gallen orientieren, wollen wir uns an dieser Stelle ein wenig von den Definitionen auf gesetzlicher Ebene wegbewegen – schliesslich betont der Kanton, dass es sich bei besagtem Regelwerk eben nicht um eine reine IKT-Strategie handele. Allerdings sind wir zu dem Schluss gekommen, dass die erarbeiteten Vorschläge sich äussert effizient genauso für KMU und Privatpersonen anwenden lassen.
Ein Kanton nimmt immer eine unterstützende Rolle gegenüber der Bevölkerung ein. Dasselbe gilt übrigens auch für die Gemeinden, denn diese unterliegen ebenfalls dem Prinzip von Autonomie und Subsidarität – der Kanton wird nur dann eingreifen, wenn das Gemeinschaftswohl gefährdet ist.
Interessant wird es bei Kapitel 5.3, der “Wirtschaft”. Endlich sind wir bei besagter Zielgruppe, nämlich den kleinen und mittelständischen Unternehmen, aber auch allen anderen Privatpersonen, die unternehmerisch tätig sind. Im entsprechenden Fazit lesen wir, dass “namentlich für KMU” eine kantonale Stelle für Cyber-Sicherheit von Vorteil wäre.
Umsetzung einer IKT-Strategie
Sobald wir gesetzliche Vorgaben haben, ist das für alle Beteiligten natürlich von Vorteil, denn letztendlich liefert uns die Regierung damit Schutz und zudem Leitlinien, die wir für uns selbst ebenso umsetzen können. Wie eingangs angedeutet, ist auch die beste Strategie wenig wert, wenn niemand den leuchtenden Beispielen folgt. Warum also nicht an einer unternehmerischen IKT-Strategie arbeiten, um die Akteure auf Regierungsebene im Ernstfall zu entlasten?
Wie Sie sehen, sind weder die Ziele noch die Grundsätze einer IKT-Strategie unrealistisch. Vielmehr sind alle Punkte eine sehr gute Orientierungshilfe, um sich als Privatperson oder Unternehmen in punkto Cyber-Sicherheit stabil aufzustellen. Wir haben das Kapitel “Umsetzung” weiter studiert und legen die Vorschläge einmal auf KMU Geschäftsführungsebene aus:
- Cyber-Schutz ist fest in die Schwerpunkt-Planung des Unternehmens zu integrieren. Dazu zählt auch die entsprechende Ressourcenplanung. Das dazugehörige Controlling ist natürlich ebenso relevant.
- Ohne Ziele braucht es keinen Plan: Bestimmt haben Sie Ihre Unternehmensziele bereits klar definiert. Falls nicht, tun Sie das jetzt und integrieren dabei einzelne Ziele im Bereich der Cyber-Sicherheit. Ziele sind immer konkret zu formulieren.
- Wie sieht es in Sachen Cyberschutz bei Ihren Geschäftspartnern und Kunden aus? Wer weiss, vielleicht enthalten Kooperationen ungeahnte, neue Möglichkeiten für Sie? Der Erfahrungsaustausch ist nicht nur in Cyber-Angelegenheiten ein nicht zu verachtendes Gut.
- Führen Sie sich (nicht nur abschliessend) noch einmal die Punkte unter dem Kapitel Ziele vor Augen. Sind in Ihrem Betrieb klare Massnahmen im Falle von Cyber-Attacken definiert? Stehen im Notfall die nötigen Mittel zur Verfügung?
- Wir gehen davon aus, dass Sie für die Aufgabenerfüllung Ihres Betriebes auf die Kompetenz von Mitarbeitern setzen. Vergessen Sie dabei nicht, dass die Information und Transparenz vonseiten der Geschäftsführung gegenüber den Angestellten eine solide Vertrauensbasis für erfolgreiche Zusammenarbeit darstellt. Nicht nur klare Kommunikation, auch Schulungen sind hilfreich zur Sensibilisierung in punkto Cyber-Risiken.