Am 7. Oktober 2004 ging die Melde- und Analysestelle Informationssicherung (Melani) des Bundes operativ, am 1. Dezember folgte dann auch der erste Online-Auftritt. "Zu finden sind Informationen zum Schutz vor den Gefahren und Risiken im Umgang mit Computer und Internet. Neben Hinweisen zum sicheren Umgang mit den modernen Informations- und Kommunikationstechnologien können Melani auch Vorfälle gemeldet werden", kündigte die neue Stelle in einer Mitteilung an. Damit verfügte der Bund erstmals über eine solche Einrichtung.
Serge Droz und Thomas Holderegger gehörten zu den Mitarbeitenden der ersten Stunde. "Die Männer von Melani" nannte diese der 'Sonntagsblick' in einem Artikel und stellte fest: "Nicht mehr fremde Armeen, sondern Virenprogrammierer und Cracker, Phisher und Spammer bedrohen unsere Infrastruktur. Eine kleine Dienststelle in Bern stellt sich der Gefahr."
In Europa ganz vorne mit dabei
"Die Männer von Melani… das war ein super Titel", erinnert sich Serge Droz im Gespräch. Tatsächlich gab es am Anfang in Bern nur männliche Security-Spezialisten, und deren Anzahl war mit insgesamt sechs nicht sehr gross. "Aber wir waren total enthusiastisch. Wir hatten das Gefühl, es ist etwas Neues, was wir machen. Wir waren auch im europäischen Kontext ganz vorne mit dabei. Es gab damals nur wenige Länder, die eine solche Stelle hatten." Auch für Thomas Holderegger war die Anfangszeit aufregend: "Ich kam direkt von der Universität, das war mein erster richtiger Vollzeit-Job."
Spannend sei auch der Public-Private-Partnership-Ansatz mit den beteiligten Unternehmen gewesen. "Ich hatte das Gefühl, die waren genauso begeistert wie wir: Da gibt es jetzt diese schwarze Melani-Linie, wo man anrufen kann, wenn etwas passiert ist", so Holderegger. "Die haben uns nicht nur wegen handfesten Phishing-Kampagnen oder anderen ernsten Bedrohungen angerufen. Manchmal waren auch wirklich amüsante Anfragen dabei, so dass man zuerst herausfinden musste, worum es überhaupt genau ging."
Krisenberatung übers Handy
Es gab damals vier Klassifikationsstufen bei Vorfällen mit entsprechenden Farben. "Schwarz" stand für höchste Vertraulichkeit und war die dringlichste Stufe. "Man war auf Pikett, irgendwo am Wochenende unterwegs und hatte ein Nokia 6150 dabei, natürlich in schwarz", erinnert sich Holderegger. "Plötzlich klingelte es, und am anderen Ende war ein CISO von einer Bank. Sie hätten Phishing-Mails bekommen. Dann merkte man anhand der Hintergrundgeräusche, dass der Security-Verantwortliche auch gerade irgendwo unterwegs war. Man hat sich dann übers Handy ausgetauscht, was man jetzt am besten für Massnahmen ergreifen sollte." Das sei ziemlich hemdsärmelig gestrickt gewesen. "Aber es hat funktioniert."
Thomas Holderegger
Holderegger kam beim Start im Oktober 2004 als Analytiker zu Melani. Er blieb bis 2007. Dann wechselte er zur UBS, wo er zuletzt Head of Security IT war. Seit 2022 arbeitet er für Accenture DACH in Zürich. Aktuell ist er Managing Director Security und Security Lead für die Schweiz und für ASG Financial Services.
Nicht alle waren aber anfänglich offen für die neue Behörde. "Zum Teil war es schon harzig. Der Energiebereich zum Beispiel war sehr zurückhaltend. Die wollten – wenn möglich – nichts mit dem Bund zu tun haben", sagt Droz. Schneller sei die Finanzbranche an Bord gekommen. "Spätestens ab 2007, als Bankentrojaner en masse auftauchten, merkten die Banken, es bringt einen Mehrwert, eine Zusammenarbeit und ein Security-Austausch machen Sinn."
"Auch intern interessante Reibereien"
"Rückblickend kann man es mit einem Schmunzeln erzählen, aber es gab natürlich auch intern interessante Diskussionen und Reibereien", erklärt Holderegger. "Heute ist das in der Cybersecurity selbstverständlich, aber damals war es neu, zwei Seiten zu kombinieren, die sich vielleicht nicht immer verstanden haben. Threat Intelligence in Form von Recherchen mit dem, was wir technisch wussten und bei Angriffen feststellten. Und dann daraus ein Lagebild zu erstellen." Man habe aus den Silos raus gemusst, ergänzt Droz. "Das war eine Zeit, in der die technische Community zu realisieren begann, dass Cybersicherheit ein Thema ist."
Serge Droz
Droz arbeitete ab 2004 als Teamleader Switch-Cert für Melani und blieb bis 2016 bei Switch. Nach einem Abstecher in die Privatwirtschaft zu Open Systems und zu Protonmail arbeitet er seit 2022 wieder beim Bund. Er ist dort Senior Technical Advisor beim EDA.
Ihm ist vor allem ein Fall aus den Anfängen in Erinnerung geblieben. "Es gab diese notorische und erfolgreiche Phishing-Gang Rock Fish. Die begann ab 2004 auch den Schweizer Markt über .ch-Domains zu beackern." Aus diesen Angriffen sei dann die Regelung entstanden, dass in der Schweiz Domain-Namen abgeschaltet werden können, wenn sie missbraucht werden, um Phishing oder Malware zu verteilen. "Switch hat dann angefangen, die Rootkits dieser gehackten Websites zu untersuchen. Am Anfang waren es rund 10'000 gehackte Websites, nach einem Jahr noch 600." Das sei eines der wichtigen frühen Erfolgserlebnisse gewesen.
Entschlüssler selber entwickelt
Ein anderes Mal sei ein Bankentrojaner aufgetaucht, dessen Verschlüsselung die Amerikaner bereits lesen konnten, erzählt Droz. Aus den USA sei von den Behörden das Angebot gekommen, alles zu entschlüsseln. "Aber wir können euch die ganzen Sachen nicht übergeben, dürfen wir den Entschlüssler haben?", hiess es von Melani. "No way, den geben wir nicht aus der Hand", war die US-Antwort. Also setzte sich ein Melani-Mitarbeiter zwei Wochen lang hin und entwickelte selber einen Entschlüssler.
"Was geklappt hat bei Melani und dann auch auf dem weiteren Weg zum NCSC, war, Vertrauen aufzubauen", sagt Thomas Holderegger. "Ich habe das Gefühl, dass die Schweiz auch im internationalen Vergleich heute recht weit ist in der Zusammenarbeit zwischen Wirtschaft, Infrastrukturbetreibern und dem Bund in Themen der Cybersicherheit." Dies trotz "unserer anfänglichen Amateur-Show", wie er es nennt. "Nicht weil wir vom Know-how her Amateure waren, sondern weil zu Beginn sehr vieles handgestrickt war. In meinem Bereich für Analysen zum Beispiel mit Word und Excel als hauptsächliche Tools sowie Microsoft Access als Datenbank." Auch Serge Droz sagt: "Wir haben wirklich sehr viel selber gemacht."
20 Jahre Melani
In einer Artikelserie blickt inside-it.ch auf die Anfänge der Melde- und Analysestelle Informationssicherung (Melani) beim Bund und den Weg zum heutigen Bundesamt für Cybersicherheit (Bacs) zurück.
Teil 1: Wie alles anfing – Erinnerungen von zwei ehemaligen Mitarbeitenden an die Geburtsstunden