Was waren die wichtigsten Ziele und Erkenntnisse der Studie zur Cybersecurity-Forschungslandschaft, welche der Cyber-Defence Campus mit Unterstützung der SATW 2023 durchführte?
Bernhard Tellenbach (BT): Das primäre Ziel war, einen Überblick über die thematische Ausrichtung und der investierten Ressourcen (in Form von FTEs) an Schweizer Hochschulen (gem. Swiss Universities) zu erhalten. Dies unter der Vorgabe, Leistungen von Forschungsgruppen oder vergleichbaren Forschungseinheiten nur dann zu erfassen, wenn diese ein Thema über mindestens zwei Jahre verfolgen und dafür mindestens ein FTE (Full Time Equivalent, Vollzeitäquivalent) aufwenden. Die Berechnung der FTE beinhaltete ausschliesslich die Leistungen des Forschungspersonals (also Professor*innen, Postdocs, wissenschaftliche Mitarbeitende, Doktorierende). Die Leistungen von Studierenden (z.B. in Form von Bachelor- und , Masterarbeiten) wurden nicht berücksichtigt.
Die Studie hat aufgezeigt, dass schweizweit rund 297 FTEs investiert werden, was also fast noch einem «KMU» entspricht. Die Grenze zwischen einem mittleren und einem grossen Betrieb liegt in der Schweiz bei 250 Vollzeitäquivalenten. Von insgesamt 14 identifizierten Forschungsbereichen wurden sehr gute 13 abgedeckt, von allen 145 Forschungsthemen jedoch nur 57, d.h. etwas mehr als ein Drittel. Weiter fällt auf, dass die Ressourcen ungleichmässig verteilt sind. Mehr als die Hälfte, nämlich 174 FTE, sind auf drei Bereiche konzentriert: Kryptologie, Netzwerke und verteilte Systeme sowie Soft- und Hardware-Sicherheit, mit Letzterem als Spitzenreiter.
Wie lassen sich die regionalen Ungleichgewichte bezüglich Forschungsbereichen und Ressourcen erklären? Ist die Schweiz in Sachen Cybersecurity-Forschung generell gut aufgestellt oder gibt es «blinde Flecken»?
BT: Ich denke, dass hier verschiedene Faktoren mit reinspielen. Einer davon ist sicher die Schwierigkeit der Forschungsfragen und damit oft verbunden der zur Beantwortung nötige Aufwand. Insbesondere ist destruktive Forschung, respektive das Aufzeigen, wo ein Sicherheitsproblem besteht, meist einfacher, als eine Lösung zu entwickeln und zu etablieren, die eine unsichere Technologie durch eine sicherere Technologie ersetzt. Beim Letzteren muss man quasi eine kugelsichere Lösung für eine Problemstellung finden, also alle denkbaren Angriffspunkte und Löcher adressieren. Beim Ersten reicht das Finden eines einzigen Problems beziehungsweise eines Angriffspunktes.
Die Aktualität eines Themas aus Sicht von Politik und Gesellschaft kann ebenfalls ein wichtiger Faktor sein. Beispiele sind hier Fragen zur Sicherheit und Datenschutz rund um künstliche Intelligenz oder zu Quantum-Technologien. Wie jede Organisation, die zur Cybersecurity forscht, müssen auch wir im Cyber-Defense Campus unsere Prioritäten setzen und versuchen, Lücken nach Möglichkeiten und Ressourcen zu füllen.
Die Antwort auf die Frage, ob die Schweiz gut aufgestellt ist, hängt davon ab, welche Fähigkeiten und welches Wissen verschiedene Stakeholder aus Politik und Gesellschaft für unser Land als wichtig erachten. Je nachdem, wen man fragt, dürfte die Antwort unterschiedlich ausfallen.
Welche Massahmen schlägt die Studie aufgrund der Ergebnisse vor?
BT: Die Studie macht keine Vorschläge für Massnahmen. Die Instrumente, welche es erlauben, Forschungstätigkeiten auf gewünschte Felder zu lenken, sind bekannt. Es gibt viele Möglichkeiten, von der Ausschreibung von Grand Challenges à la DARPA (z.B. die Cyber Grand Challenge (darpa.mil) ) über finanzielle Anreizen durch Forschungsförderungsprogramme (z.B. Schwerpunkte im EU-Forschungsprogramm) bis hin zur Gründung spezifischer Forschungseinrichtungen (z.B. das von der Bundesrepublik seit 2018 geförderte/betriebene CISPA – Helmholtz-Zentrum für Informationssicherheit). Hier muss die Politik und Gesellschaft entscheiden, ob und wie allenfalls eingegriffen werden soll. Was jedoch in jedem Fall klar ist: die Schweiz muss mit ihren begrenzten Ressourcen eine Priorisierung vornehmen.
Aus der Melde- und Analysestelle MELANI wurde 2020 das NCSC im Generalsekretariat des EFD gegründet. Ab dem 1.1.2024 wird aus dem NCSC das Bundesamt für Cybersicherheit innerhalb des VBS. Ist diese rasante Entwicklung ein Spiegel der laufend grösseren Wichtigkeit, welche der Bund dem Thema Cybersecurity beimisst?
BT: Die zunehmende Wichtigkeit des Themas Cybersecurity ist beim Bund schon länger auf dem Radar. Als damals noch Aussenstehender empfand ich den Aktionsplan für Cyber-Defence (APCD), welchen der Bund auch als Reaktion auf den RUAG-Vorfall 2016 angestossen hat, als klares Zeichen für die hohe Priorität des Themas. Die Gründung des Cyber-Defence Campus, der bei armasuisse Wissenschaft und Technologie angesiedelt ist, war übrigens ebenfalls Teil dieses Plans. Die hohe Priorität des Themas Cybersecurity setzt sich bis heute fort, wobei mir bewusst ist, dass die neusten Entwicklungen von Teilen der Community auch kritisch beobachtet werden.
Gibt es Pläne zur Zusammenarbeit mit Cybersecurity-Forschungsstätten im Bildungssektor, wie sie in dieser Studie definiert wurden? Ev. auch mit zivilen Unternehmen?
BT: Ich kann hier nur für das Forschungsprogramm Cyberspace sprechen, welches ich am Cyber-Defence Campus leite. Wir arbeiten seit der Gründung des Campus eng mit Forschungsinstitutionen in der Schweiz zusammen. Wir haben dazu verschiedene Instrumente wie z.B. Auftragsforschung oder Hackathons. Bei der Auftragsforschung untersuchen wir gemeinsam mit Partnern Forschungsfragen, die aus unserer Sicht für die Sicherheit der Schweiz eine hohe Relevanz haben. Das Ziel ist dabei meist, Risiken und Chancen neuartiger Methoden und Technologien aufzuzeigen oder abschätzen zu können und Kompetenzen aufzubauen, die später bei Beschaffungs- oder Innovationsprojekten beim Bund gefragt sind.
