Im Rahmen unserer Serie 20 Jahre Melde- und Analysestelle Informationssicherung (Melani) haben wir uns in Bern mit verschiedenen Verantwortlichen der Behörde zum Gespräch getroffen. Dabei haben wir uns über die Anfänge, die tägliche Arbeit und die Vorteile des Schweizer Weges unterhalten.

Ruedi Rytz: Die Anfangszeit war eine spannende Sache. Ende 2003 wurde die Stelle vom Bundesrat genehmigt. Das war eine der letzten Amtshandlungen des damaligen EFD-Vorstehers Kaspar Villiger. Anfang 2004 wurden dann die ersten Ressourcen für Melani gesprochen. Dazu zählten etwa Gelder und Arbeitsplätze für den Aufbau der Stelle, was mehr oder weniger das ganze Jahr 2004 in Anspruch genommen hat. Dabei ging es darum, Strategien und Produkte zu definieren, die Infrastruktur zu beschaffen sowie die Zusammenarbeit mit Partnern wie dem Bundesamt für Polizei (Fedpol) oder der Stiftung Switch zu regeln.

Auch den geschlossenen Kundenkreis musste man zuerst aufbauen, also die Betreiber von kritischen Informationsinfrastrukturen mit einbeziehen. Man musste bei Banken, Elektrizitätswerken und so weiter vorstellig werden und sehr viele Klinken putzen. In der Anfangszeit musste viel kommuniziert und Vertrauen aufgebaut werden, es mussten Geheimhaltungsvereinbarungen abgeschlossen und noch Vieles mehr erledigt werden.

Am Anfang war Melani noch ein sehr zartes Pflänzchen, das sozusagen zum Erfolg verdammt war. Wäre die Melde- und Analysestelle Informationssicherung nicht in den ersten zwei Jahren zum Fliegen gekommen, wäre es danach schwierig geworden. Aber es ist Gott sei Dank alles gut gekommen.

Marc Henauer: Wer die Bundesverwaltung ein bisschen kennt, der weiss, dass eine solche Idee an sich schon extrem progressiv ist. So gab es wahrscheinlich zum ersten Mal in der Geschichte des Bundes ein detailliertes Service Level Agreement zwischen den verschiedenen Bundesämtern, Departementen und der Melde- und Analysestelle. Das war am Anfang schon eine Herausforderung, wenn man intern erklären musste, weshalb man zwar in der einen Organisation angesiedelt ist, aber eigentlich für eine andere Dienstleistungen erbringt.

Das war damals überhaupt kein Standardprozess, aber es hat irgendwie funktioniert. Wie Ruedi bereits gesagt hat: In den ersten zwei Jahren war Melani gefordert, etwas zu liefern, weil auch das ganze System auf Freiwilligkeit basierte.

Florian Schütz: Hier kann ich zur Aussensicht auch noch ergänzen: Am 1. April 2004 hat Deutschland sein eigenes Cyberabwehrzentrum gegründet, weil es mit dem Bundesamt für Sicherheit in der Informationstechnik bereits über eine Organisation verfügte, die sich vor allem auf die Standardisierung fokussiert hat. 2004 herrschte im Bereich der Cybersicherheit sowas wie Aufbruchsstimmung.

Während die Schweiz Ressourcen geschaffen und gesagt hat: "Überlegt euch, wie ihr diese zum Fliegen bringt", hat Deutschland zuerst Strukturen geschaffen, und erst danach angefangen, Ressourcen zu suchen. Hier kamen eigentlich zwei konträre Ansätze zum Einsatz. Gerade in der Retrospektive ist ein solcher Vergleich spannend. Dabei kann man allerdings nicht sagen, dass ein Weg richtig und einer falsch war, aber man kann sehen, wo man am Schluss gelandet ist.

Florian Schütz: Ich kann hier auch wieder nur von einer Aussensicht sprechen, weil ich ja damals noch Student war. Ich denke, ein Vorteil war sicher, dass die Schweiz ein relativ kleines Land ist und man sich kennt und vertraut. Auch wenn die föderalen Strukturen nicht alles einfacher machen. Gerade bei Projekten, die zuerst noch entstehen müssen und bei denen man testen muss, ist das Vertrauen unabdingbar. Ich glaube, hier hilft sowohl die Nähe von der Wirtschaft zum Staat als auch die Unabhängigkeit vom Staat. Gleichzeitig ist man aber auch bereit, Vertrauen zu schenken, wenn ein Konzept gut erklärt wird. Ich glaube, das ist eine der Formeln zum Erfolg.

Ruedi Rytz: Und es hat nicht viel gekostet. Man ist sehr ressourcensparend mit dieser Sache umgegangen. Wir haben nicht einfach in zwei bis drei Jahren ein Government Computer Emergency Response Team (GovCERT) aufgebaut, sondern wir haben geschaut, was es schon gibt, beispielsweise nachrichtendienstliche Kompetenz beim Fedpol oder technische Kompetenz bei Switch, und haben dann versucht, das Bestehende zu integrieren. So haben wir die einzelnen Bausteine miteinander kombiniert und schliesslich integriert.

Marc Henauer: Was Florian gesagt hat, ist ein extrem wichtiger Punkt. Wir hatten während der Aufbauarbeit von Melani auch ab und zu Besuch aus Deutschland hier. Wie bereits gesagt, in der Schweiz kennt man sich. Die Deutschen ihrerseits haben sich den Kopf zerbrochen, wie sie es schaffen können, mit der Wirtschaft zu sprechen, weil eine solche Kultur bei ihnen gar nicht existiert hat. Da sind schon zwei Kulturen aufeinander geprallt. Bei Melani wurde ein pragmatischer Ansatz nach dem klassischen schweizerischen System gefahren, sprich: Man hat zuerst geschaut, was die neue Melde- und Analysestelle wert war oder eben nicht.

Ruedi Rytz: Die Idee kam von einem Berater als Arbeitstitel. Immerhin hat die Stelle das gemacht, was sie versprochen hat, sie hat nämlich die Meldungen entgegengenommen und analysiert. Dass man dann auf diese Meldungen auch reagieren muss, hat man dann nicht auch noch im Namen untergebracht, weil er sonst endgültig zu kompliziert geworden wäre. Etwas speziell ist auch der Ausdruck Informationssicherung (engl. Information Assurance), dieser war damals tatsächlich gang und gäbe und kam von amerikanischen Beraterunternehmen. Später wurde diese Tätigkeit unter dem Oberbegriff Critical Information Infrastructure Protection (CIIP) zusammengefasst.

Marc Henauer: Ich habe den Namen immer sehr hübsch gefunden. Es ist eben nicht Informationssicherheit, sondern Informationssicherung, weil der Name einen Prozess beschreibt. In meinen Vorträgen habe ich jeweils gesagt, Melani ist nicht dazu da, bei euch Informationssicherheit herzustellen, aber wir können euch komplementär dabei unterstützen.

Ruedi Rytz: Zuerst stand klar der lange Name mit den Tätigkeiten im Mittelpunkt. Dann hat man versucht, daraus ein Akronym zu formen.

Florian Schütz: Zur Namensgebung kann ich auch noch etwas sagen. Wir haben 2019 mit der Schaffung von neuen Strukturen angefangen und haben 2020 das Nationale Zentrum für Cybersicherheit (NCSC) geschaffen. Damals haben wir auch darüber diskutiert, ob man den Namen Melani vielleicht beibehalten könnte. Wir hatten meiner Meinung nach aber ein grosses Problem, da man die verschiedenen Stellen wie GovCERT, Melani oder das NCSC von aussen nicht klar unterscheiden konnte. Man hatte das Gefühl, es seien verschiedene Organisationen, aber eigentlich war es nur eine. Deshalb haben wir uns konsequent als NCSC bezeichnet. Dieser Ausdruck hat sich dann auch international immer mehr durchgesetzt. Melani wurde dabei nie offiziell beerdigt, wird heute allerdings auch nicht mehr gebraucht.

Marc Henauer: Mit der Schaffung des NCSC kam es bei meinen Vorträgen auch immer wieder zu den Fragen, was dann das NCSC genau anderes mache als Melani. Ich glaube aber heutzutage hat sich das geklärt. Melani stand auch immer für ein interdepartementales Kooperationsmodell. Das ist nun im NCSC zu 100% aufgegangen. Der Grundgedanke, auf dem Melani beruht hat, existiert seit der Gründung des Bundesamtes für Cybersicherheit am 1. Januar 2024 eigentlich nicht mehr. Heute fragen Menschen eher, was ist der Unterschied zwischen dem Bacs und dem NCSC? Aber von Melani redet jetzt keiner mehr.

Ruedi Rytz: Wir haben damals Meldungen aus dem geschlossenen Kundenkreis gesammelt und die operativen Tätigkeiten aufgenommen. Im Kundenkreis ging am Anfang noch nicht sehr viel, weil sich die Meldestelle zuerst beweisen musste. Wir haben Produkte für Unternehmen und die Bevölkerung konzipiert und angeboten, Meldungen über Malware und so weiter verbreitet und unsere Homepage bewirtschaftet. Bis dann 2005 der erste grosse Melani-Fall passiert ist. Es waren Phishing-Angriffe auf Streichlisten für das E-Banking.

Stephan Glaus: Das war im Mai. Ich erinnere mich gut daran, weil ich damals Pikett-Dienst hatte. Es war noch interessant, den Pikett-Dienst gab es erst ab dem 1. April 2005. Von da an ging es doch etwa eineinhalb Monate, bis das Telefon zum ersten Mal geklingelt hat. Und dann noch an einem Sonntagmorgen. Ich hatte eine aufgeregte Person von einer kritischen Infrastruktur am Telefon, die einen Phishing-Versuch meldete. Man versuchte natürlich zu helfen, wusste aber gar nicht so genau, was zu tun ist.

Heute ist alles anders und geht automatisiert und schnell vonstatten. Damals fragte man sich noch, was soll man jetzt genau machen? Wie können wir die Phishing-Seiten entfernen? Das haben wir zusammen mit Switch angeschaut und versucht, die Phishing-Seiten wegzubringen. Zusätzlich haben wir eine Warnung ausgesprochen. Diese hat ein grosses mediales Interesse ausgelöst. Da waren wir auch in der 'Tagesschau' präsent. Ein Kollege musste erklären, was jetzt genau passiert ist.

Man musste auch gegenüber der Bevölkerung erklären, was Phishing überhaupt ist. Als Bundesstelle lieferten wir eine neutrale Sicht, die das Phänomen erklären und der Bevölkerung aufzeigen konnte, wie sie sich verhalten muss. Mir war zudem wichtig, zu zeigen, dass nicht eine einzelne Bank betroffen war, sondern viele verschiedene.

Wir haben auch versucht, die Informationen, die zu uns gekommen sind, zu analysieren und diese dem geschlossenen Kundenkreis weiterzugeben. Wir haben damit Präventionsarbeit für jene Banken geleistet, die noch nicht betroffen waren. Das hat sehr viel dazu beigetragen, das Vertrauensverhältnis auf- und auszubauen. Die ganzen Meldungen waren damals absolut freiwillig. Es musste niemand etwas melden. Aber die Banken haben uns informiert, so dass wir bei der Analyse helfen und uns überlegen konnten, wie wir das Problem gemeinsam bekämpfen können.

Marc Henauer: Das war wahrscheinlich einer der Fälle, bei dem auf der Finanzseite der Mehrwert erkannt wurde. Da gibt es eine Bundesbehörde, die solche Vorfälle erklären und in einen Gesamtkontext stellen kann. Es gab dann relativ schnell auch einen zweiten Phishing-Fall bei einer anderen Bank. Dabei wurden ebenfalls Streichlisten abgefischt. Heute macht man das nicht mehr, aber damals habe ich mir das Problem direkt vor Ort angeschaut und mir zusammen mit der Bank überlegt, was man machen kann.

Der damalige Verantwortliche für die Informationssicherheit der Bank sah das grösste Problem darin, dass die Support-Hotline heiss laufe. Dabei beschwerten sich gefühlt 50% der Personen darüber, dass die Bank sich erlaube bei ihnen die ganze Strichliste per E-Mail anzufragen. Es wurde deutlich, dass das Problem breiter erklärt werden muss, um langsam einen präventiven Effekt zu erzielen.

Für den Austausch mit den kritischen Infrastrukturen auf der nationalen Ebene hat man sich auch Versuche aus anderen Ländern angeschaut. Das war damals aber nur eine Hand voll. Grossbritannien ist zum Beispiel fast gleichzeitig wie die Schweiz gestartet. Dabei war ihr Ansatz praktisch der gleiche wie unserer. Wichtig waren Informationsaustausch, Freiwilligkeit und so weiter.

Ruedi Rytz: Für Melani war der erste Fall sehr entscheidend. Man hat sofort gemerkt, dass es ein Erfolg ist. Die Leute haben anschliessend begonnen, mehr Vorfälle zu melden und ich konnte die Zahlen auch in meine Präsentationen integrieren, wenn ich zu der nächsten Bank oder kritischen Infrastruktur bin. So konnte ich aufzeigen, dass die Meldestelle funktioniert und dass wir helfen können. So ist die Skepsis dann relativ schnell verschwunden.

Am Anfang war der geschlossene Kundenkreis noch eher positiv abwartend. Man hat geschaut, was Melani anbieten kann, aber man war nicht sicher, ob das wirklich etwas wird. Gerade in der Bankenwelt standen wir schnell Abteilungen von mehr als 50 IT-Sicherheitsspezialisten gegenüber. Die haben uns dann auch gefragt, wie viele seid ihr denn? Da sind wir uns mit total 6 Mitarbeitenden manchmal schon etwas klein vorgekommen. Aber Melani hat ziemlich schnell eingeschlagen und ist von da aus losmarschiert.

Ruedi Rytz: Am Anfang war alles sehr agil und flexibel. Es herrschte fast eine Art Goldgräberstimmung, die Leute waren unglaublich motiviert und es war eine wirklich coole Sache. Auf der anderen Seite vermisse ich den Verkauf von Konzepten nicht unbedingt. Das ist immer schwierig. Heute ist die ganze Sache viel, viel reifer geworden.

Marc Henauer: Wenn man 2004 das Informationsaufkommen analysieren musste, hatte man irgendwelche E-Mails, Excel-Listen mit IP-Adressen oder eingescannte PDF-Files zur Verfügung, die von irgendeinem Partner geschickt wurden. Dass ich dort jeweils IP-Adressen abtippen musste, vermisse ich überhaupt nicht. Was sich ebenfalls geändert hat, ist, dass wir uns heute bei auch auf Geschäftsleitungsebende erklären müssen. Damals hat es niemanden stark interessiert, was wir hier machen, so lange es funktionierte.

Marc Henauer: Wahrscheinlich von beidem. Solange es lief, hatten wir eine gewisse Narrenfreiheit. Jetzt als Bundesamt stehen wir korrekterweise unter genauerer Aufsicht und der Führung von Florian Schütz, der mit seinem Hintergrund sehr genau weiss und versteht, was wir machen.

Stephan Glaus: Die Anfangszeit war eigentlich Fluch und Segen zugleich. Auf der einen Seite war es sehr spannend, um neue Sachen zu sehen und zu reagieren. Natürlich war das gleichzeitig aber auch mühsam, weil man immer die Vorgehensweisen auch testen musste. Man wusste nicht genau, was richtig oder falsch ist. In der Anfangszeit gab es beispielsweise praktisch jeden Monat eine neue Microsoft-Office-Lücke. Wir diskutierten jeweils intensiv, ob wir jetzt dazu erneut eine Warnung machen oder nicht. Automatische Updates gab es damals noch nicht, die Updates mussten manuell eingespielt werden, die Unternehmen konnten dann auf unsere Webseite gehen und sehen, wo sie den Patch herunterladen können. Das war alles kompliziert. Heute ist alles automatisiert und dadurch effizient.

Ich habe vorhin Phishing erwähnt. Früher musste man praktisch für jede einzelne Phishing-Seite manuell Massnahmen treffen. Heute ist das ein Standardprozess. Das Gleiche gilt bei den Meldungen, die wir erhalten. 2004 mussten wir zuerst verstehen, was überhaupt passiert ist, und dann überlegen, wie wir reagieren sollen. Heute gibt es sehr viele Fälle, bei denen der Prozess bereits definiert ist.

Pascal Lamia: Ich denke die Akzeptanz in der Privatwirtschaft und der Bevölkerung ist einer der grössten Erfolge. Wir konnten unsere Fähigkeiten beweisen und Erwartungen erfüllen, sei es technisch oder im Bereich der Analyse. Zudem konnten wir Informationen mit einfachen Worten gegen aussen tragen, so dass diese auch von der Bevölkerung verstanden wurden. Ich denke, das haben wir bei Melani sehr gut gemacht und schlussendlich hat es auch zu einer grossen Akzeptanz der Behörde geführt.

Stephan Glaus: Für mich ist vor allem die Zusammenarbeit mit den kritischen Infrastrukturen ein Erfolg. Durch die verschiedenen Fälle konnten wir viel Vertrauen aufbauen. Dadurch hat man die beteiligten Personen auch gekannt. So ist ein reger Austausch entstanden, ohne Barriere zwischen Bund und Privatwirtschaft. So gab es beispielsweise Roundtables, an denen sektorspezifisch Informationen ausgetauscht wurden. Ich sah es immer als Erfolg, wenn man zusammenkommt, wenn man über Probleme spricht und das über alle Firmen hinweg, ohne Konkurrenzdenken. So wurde offen über die Fälle gesprochen, man konnte voneinander lernen und Erfahrungen austauschen. Dass wir dazu beitragen haben, sehe ich als einer der grössten Erfolge von Melani.

Ruedi Rytz: Ich kann mich meinen Vorrednern nur anschliessen. Das Vertrauen, das wir uns erarbeitet haben, macht mich heute noch stolz. Einen weiteren Erfolg sehe ich in der Entwicklung von der Theorie zur Praxis. Melani war zuerst nur ein theoretisches Konstrukt, das später dann funktioniert hat. Die Stelle ist gewachsen und wird heute von der Wirtschaft akzeptiert.

Marc Henauer: Ich wurde an Vorträgen schon ein paar Mal gefragt, ob Melani erfolgreich ist. Ich antwortete darauf jeweils, dass diese Frage unserem Kundenkreis gestellt werden muss. Die einzige quantitative Grösse, die ich nennen kann, ist die Anzahl unserer Kunden. 2004 sind wir mit 24 Kunden aus verschiedenen Sektoren gestartet. Dabei waren der Informationsaustausch und das Mitmachen immer freiwillig. Heute sind wir im hohen dreistelligen Bereich. Und der einzige Kunde, der ausgestiegen war, ist heute auch wieder mit dabei.

Melani war von Anfang an dazu verdammt, einen Mehrwert zu liefern. Wenn man dann 50 Security-Spezialisten gegenüber stand, musste man klar aufzeigen können, was man bieten und wie man helfen konnte. Ich glaube, das gehört zum Erfolgsmodell von Melani.

Was ich ebenfalls als Erfolg werte, ist die 2012 verfasste Strategie zum Schutz der Schweiz vor Cyber-Risiken, die de facto acht Jahre nach Beginn von Melani den Ansatz der Zusammenarbeit Behörden und Wirtschaft, sowie das Prinzip der Selbstverantwortung im Bereich Cybersicherheit später auf nationaler Ebene nachvollzog. Damit hat man einen Ansatz etabliert, der offentsichtlich in der Vergangenheit gar nicht mal so schlecht funktioniert hat.