Bundesrat: "Schweiz ist heute besser auf Cyber-Risiken vorbereitet als 2012"

Der Bundesrat will eine Nachfolge-Strategie zum Schutz vor Cyber-Risiken. Das ist auch eine späte Niederlage für die Armee.
 
Die "Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken" (NCS) werde im Wesentlichen plangemäss umgesetzt und sei überwiegend auch wirkungsvoll. Dieses Fazit ziehen der Jahresbericht 2016 und die Wirkungsprüfung der NCS, die der Bundesrat am Mittwoch beide thematisierte.
 
15 der 16 Massnahmen, welche in der 2012 lancierten NCS definiert wurden, seien erfolgreich umgesetzt, hält der Bundesrat fest. Und sowohl die strategische Ausrichtung der NCS sei richtig gewählt worden als auch deren zwar dezentrale, aber koordinierte Umsetzung.
 
"In allen Bereichen ist es gelungen, funktionierende Prozesse und Strukturen zu etablieren und nötiges Spezialwissen aufzubauen, so dass die Schweiz heute besser auf Cyber-Risiken vorbereitet ist als 2012," schreibt der Bundesrat.
 
Und weil alles insgesamt so gut verläuft, aber die Strategie 2017 ausläuft, hat der Bundesrat den Auftrag erteilt, eine Nachfolgestrategie für die Jahre 2018 bis 2023 auszuarbeiten. Verantwortlich dafür ist das Informatiksteuerungsorgan des Bundes (ISB), welches diese bis Ende 2017 dem Bundesrat vorzulegen hat.
 
Bewegte Vorgeschichte
Die Konklusion ist bemerkenswert, war die Geburt der Strategie doch von heftigen Wehen gekennzeichnet. 2010 vom damaligen Armeechef Ueli Maurer angekündigt, gab es bald Gerangel um Kompetenzen und Grundkonzepte. Eine unter Führung des VBS erarbeitete erste Version erlitt offenbar regelrecht Schiffbruch im Gesamtbundesrat, so meldete die 'Aargauer Zeitung' 2012.
 
"Stiller Putsch in Bern" titelte die 'AZ' kurz danach: "Maurer hat offenbar nach hitziger Bundesratssitzung seine Cyber-Chefs entmachtet." Der Bundesrat entschied sich für den dezentralisierten und entmilitarisierten Ansatz, der sowohl Kantone, als auch Unternehmen einbezog und damals mit dem "Melani"-Ansatz verglichen wurde.
 
Die Strategie fokussierte auch auf Risiken und geteilte Verantwortung zwischen Staat und Privaten und nicht auf die vom VBS präferierte militärische Bekämpfung durch die Armee.
 
Und dieser Ansatz inklusive dezentraler Organisation hat sich aus Sicht Bundesrat auch bewährt, so kann man aus der heutigen Mitteilung folgern. Darum will der Bundesrat auch die Finanzierung der bisherigen 30 Stellen der NCS unbefristet weiterführen. Die Armee hatte initial 50 Stellen dafür gefordert, so die 'AZ' 2012.
 
"Wichtige Fragen ungeklärt"
Wo liegen die Probleme in der Umsetzung und der Wirksamkeit? Ein bisschen Verzögerung da, vereinzelt Ziele nur teilweise erreicht. Von Aussen betrachtet scheinbar nichts Wesentliches.
 
Nur bei der Armee, ja genau dort, knirscht es im Strategiegebälk. Wörtlich heisst es im Wirksamkeitsbericht, der vom 30. November 2016 datiert ist: "Es wurde auch untersucht, ob die Schnittstellen der NCS zu den Arbeiten der Kantone und der Armee ausreichend berücksichtigt wurden. Während diese Frage in Bezug auf die Kantone bejaht werden kann, blieben an der Schnittstelle zur Armee noch wichtige Fragen ungeklärt. Die Abgrenzung und Zuständigkeit zwischen den zivilen Aufgaben der NCS und der Führung durch die Armee im Konfliktfall sind nicht abschliessend geklärt. Ebenfalls offen bleibt, wie die Armee die zivilen Behörden in Bezug auf Cyber-Risiken subsidiär unterstützen kann und soll."
 
Man darf also auf die Nachfolgestrategie nicht nur gespannt sein, weil die Bedrohungslagen komplexer werden und sich immer wieder ändern. Auch scheint es zu früh, schon zu messen, wie sich die bislang geleisteten Arbeiten kausal auf die strategischen Ziele auswirken. (Marcel Gamma)