Switch: Bundesrat muss Cybersecurity ernst nehmen

Im "digital.swiss Index" erzielt die Schweiz nur 27 Prozent in Cyber-Security (Grafik: Switch)
Switch fürchtet, die Nationale Cyber-Security-Strategie bleibe nichts als ein Papiertiger.

Die Stiftung Switch sieht die Schweiz bei der Cyber-Security nicht an vorderster Front. Die Betreiberin des Schweizer Hochschulnetzwerkes ist nationales CERT, arbeitet im E-Banking-Security-Bereich, im Domain Abuse-Handling und seit kurzem im IoT-Security-Bereich.
 
In Sachen Cyber-Security habe die Schweiz Nachholbedarf, sagte Martin Leuthold, Leiter des Bereichs "Security & Network" bei Switch, heute vor den Medien zum Thema Sicherheit und Digitalisierung. "Das Bild der Schweiz ist nicht glorios," kommentiert er den "digital.swiss Index".
 
Der Index von ICTswitzerland und Economiesuisse beurteilt die Resilienz eines Landes im internationalen Vergleich von Top-Domains anhand der Kombination von Strategie, Organisation und den zugehörigen Massnahmen. Er diente den Experten als Ist-Analyse im übergeordneten Sinn.
 
Ein differenziertes Lob gab es für die Schweiz im Teilbereich "Resilienz von Schweizer Domain-Namen", einer Kernkompetenz von Switch: Die Schweizer Behörden sind laut Switch-Experten im internationalen Vergleich relativ gut gewappnet, wenn es um Web- und E-Mail-Security geht. Gemeint sind hierbei die Resilienz von admin.ch oder der Finma gegen Domain-Hijacking oder die Aktualität der Verschlüsselung von E-Mail-Servern. Elaborierte Security-Massnahmen wie HSTS oder HSTS-Preload werden hierzulande zwar nicht überall eingesetzt, aber HTTPS und HTTPS-Redirection sind üblich.
 
Die Behörden sind in diesem Security-Bereich dem E-Banking hiesiger Banken überlegen. Bei den Finanzinstituten stellt der Switch-Experte für Domain-Abuse, Malware und Phishing, Michael Hausding, fest, dass oft alte Verschlüsselung eingesetzt wird. Warum dies der Fall sei, konnte Hausding nicht detaillieren. Ein Grund könnte sein, dass Banken auch "ihre Windows-XP-Kunden zum Online-Banking zulassen wollen".
 
"Langsamkeit können wir uns nicht leisten"
Härter fiel das Urteil der Experten bei der übergreifenden nationalen Schweizer Cyber-Strategie und deren Umsetzung aus. Die Schweiz sei mit der ersten Nationalen Cyber-Strategie "NCS (2012-2017)" im internationalen Vergleich gut gestartet. Aber die Strategie ist im Wesentlichen ein Papiertiger geblieben. Der Grund sei, dass die Koordinationsstelle des Bundes keine Führungs- und Weisungskompetenz gehabt habe und die Resultate nicht vernetzt wurden, so Leuthold. Dies obwohl Melani bei der Koordination gute Arbeit geleistet habe. "Wir haben in der föderalistischen Schweiz eine hohe Komplexität und wahnsinnig viele Akteure. Das macht alles sehr langsam", so Leuthold. "Langsamkeit können wir uns heute nicht mehr leisten!"
 
Die zweite, neue Strategie "NCS 2018-2022" wäre aus seiner Sicht ein wesentlicher Fortschritt und biete einen sinnvollen Rahmen. Begrüssenswert sei speziell, dass im Unterschied zur ersten Strategie die Schweizer Zielgruppen auf Privatpersonen und KMU erweitert wurden.
 
Ebenso ist das Security-Konzept samt Massnahmenvorschlägen für KMU aus der Sicht von Switch erfolgsversprechend. Der strenge IT-Grundschutz für KMU des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) hingegen sei nicht praktikabel, ja "ein Horror", der auf absolute Sicherheit abziele. Dies antwortete Leuthold auf die Nachfrage von inside-it.ch. "Das kann man den normalen KMU nicht zumuten."
 
Bundesrat ist in der Pflicht
Switch sieht nun den Bundesrat in der Pflicht, dass die neue Strategie nicht nur Papier bleibt: "Um den Anschluss nicht zu verlieren, braucht es nun die Umsetzung der vom Bundesrat beschlossenen Massnahmen", sagte Leuthold. Die seit 2018 gültige Strategie sei zuerst von Kantonen verzögert worden, dann ging es mit dem Kompetenzzentrum für Cybersecurity nicht vorwärts und schliesslich ist auch für 2019 kein Umsetzungsbudget vorhanden. So dass zwei Jahre tatenlos ablaufen.
 
Der Bundesrat müsse den Tatbeweis erbringen, dass er die Gefahren ernst nehme. Der Beweis werde im Budget 2020 erbracht, wenn entsprechende Mittel gesprochen werden (oder nicht). "Ist dies der Fall, so bin ich überzeugt, dass wir das Thema Internetsicherheit in der Schweiz auch zum Standortfaktor machen können", so Leuthold optimistisch.
 
Der Ausgang der Budgetdebatte ist noch offen. Ebenso, dies wurde am Rande des Medienevents klar, wer "Mister" oder "Mrs. "Cyber" werden wird und die Umsetzung der NCS vorantreiben soll. Diese Funktion dürfte nicht leicht zu besetzen sein, wenn wie bei der ersten Strategie, so Leuthold, in Politik, Staat und Wirtschaft Desinteresse an einer Führung vorherrscht. (Marcel Gamma)