Das NCSC als Dreh- und Angelpunkt

9. Oktober 2023 um 07:04
  • security
  • cyberangriff
  • NCSC
  • bfh
  • uzh
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Der Wechsel des NCSC ins VBS hat messbare Auswirkungen auf seine Wahrnehmung. Abschluss einer 3-teiligen Serie von Forschenden der Universität Zürich und der Berner Fachhochschule.

Das Nationale Zentrum für Cybersicherheit soll eine zentrale Schnittstelle bei fast allen Cybersicherheits-Aktivitäten sein – so die Ansicht von Cyberexperten kritischer Infrastrukturen gemäss einer Umfrage. Der Wechsel des Nationalen Zentrums für Cybersicherheit (NCSC) ins Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) hat dabei messbare Auswirkungen auf die Einschätzung der Rolle des NCSC.
Das ist Teil 3 einer 3-teiligen Serie zum Thema Prävention und Abwehr von Cyberangriffen. Teil 1 und Teil 2 sind bereits erschienen.
Eine wichtige Frage in der Umfrage unter Cyber-Experten kritischer Infrastrukturen in der Schweiz betritt die Einbindung konkreter staatlicher Akteure in den verschiedenen Massnahmen (siehe Abbildung unten). Dabei wird dem NCSC in nahezu allen Massnahmen eine bedeutende Rolle zugeschrieben. Andere Akteure hingegen werden eher in rollenspezifischen Positionen gesehen. Beispielsweise wird privaten Dienstleistern eine Schlüsselrolle bei Beratung und Audits eingeräumt, Internet-Dienstanbieter bei technischen Massnahmen und der Polizei bei Ermittlungen nach Vorfällen. Die Armee wiederum soll lediglich bei aktiven Gegenmassnahmen eine bedeutsame Funktion übernehmen.
image
Einbindung von Akteuren in Cybersicherheits-Massnahmen
Gefragt wurde schliesslich auch nach der konkreten Rolle des NCSC bei bestimmten Massnahmen (siehe Abbildung unten). Die Rolle des NCSC als spezifischer staatlicher Akteur wird in den meisten Bereichen als akzeptabel oder sogar als erwünscht und notwendig angesehen, mit Ausnahme eines bestimmten Aspekts. Besonders gering war die Akzeptanz von Massnahmen, die dem NCSC Einblicke in die Aktivitäten in den Netzen der Befragten gewähren würden, wie z. B. die Platzierung eines vom NCSC betriebenen Sensors in Ihrem Netz, um bösartige Aktivitäten zu überwachen.
Zufälligerweise fand unsere Umfrage im Zeitraum statt, als bekannt wurde, dass das Nationale Zentrum für Cybersicherheit (NCSC) neu dem Departement für Verteidigung, Bevölkerungsschutz und Sport VBS unterstellt werden sollte, so dass Daten vor und nach dieser Entscheidung vorliegen. Daraus ergeben sich auch Hinweise darauf, wie diese Neuorientierung von wichtigen Akteuren der Schweizer Cybersicherheit wahrgenommen wird. So ist erwähnenswert, dass die Akzeptanz für diese Massnahme (Platzierung eines vom NCSC betriebenen Sensors) nach der Entscheidung, den NCSC in das VBS zu überführen, deutlich zurückgegangen ist. Eine mögliche Interpretation besteht darin, dass eine solche Massnahme als Verletzung einer klaren Unterscheidung der drei Säulen der NCS – Cybersicherheit, Cyber Strafverfolgung und Cyberdefense – verstanden werden könnte. Es bedarf klarer Vorschriften für den Austausch von Daten zwischen den verschiedenen Organisationen, um das Gleichgewicht zwischen diesen Säulen und damit das Vertrauen in die staatlichen Einrichtungen zu stärken.
image
Rolle des NCSC bei Cybersicherheits-Massnahmen
Nach der Entscheidung, das NCSC dem VBS zu unterstellen, konnten weitere messbare Veränderungen verzeichnet werden, welche sich teilweise in neuen Rollenpräferenzen wiederspiegelten. Zum Beispiel gab es nach dem Wechsel eine deutlich stärkere Präferenz für die Involvierung von Internet-Dienstanbietern bei Ermittlungen nach Cybervorfällen, während die Polizei nunmehr weniger in dieser Rolle gesehen wurde. Zudem stieg die Akzeptanz für die Beteiligung des Staates an der Incident Response. Ob diese Veränderungen auf eine positivere Wahrnehmung der Fähigkeiten des NCSC im Bereich Cybersicherheit zurückgeführt werden kann, wie von den Befürwortern des Wechsels argumentiert, oder auf eine negativere Wahrnehmung seiner Vertrauenswürdigkeit, wie von dessen Kritikern befürchtet, kann durch unsere Umfrage nicht eindeutig beantwortet werden. Dennoch lässt sich aus der Umfrage ableiten, dass beide Faktoren mit hoher Wahrscheinlichkeit eine Rolle spielen, was bei der Integration des NCSC als Bundesamt in den VBS berücksichtigt werden sollte, um das bisherige Vertrauen in das Zentrum nicht aufs Spiel zu setzen.

Fazit

Unsere Umfrage hat interessante Erkenntnisse zum Verhältnis zwischen Staat und Cybersicherheitsfachleuten kritischer Infrastrukturen in der Schweiz zutage gebracht. Diese Ergebnisse können aktuelle und zukünftige Governance-Diskussionen einfliessen, um die etablierte Zusammenarbeit zwischen den involvierten Parteien nicht zu gefährden.
Die befragten Fachleute äusserten den Wunsch, dass der Staat eine aktivere Rolle bei der Entwicklung von Cyberkapazitäten übernimmt. Dies impliziert jedoch keineswegs, dass nicht-staatliche Organisationen ausgeschlossen werden sollen. Vielmehr scheinen die Umfrageteilnehmer sowohl private als auch öffentliche Akteure in der Verantwortung zu sehen. Eine Erweiterung der sogenannten Public-Private Partnerships (PPP) im Bereich Cybersicherheit würde dieser Forderung nachkommen.
Obwohl die Befragten grundsätzlich eine verstärkte Einbindung des Staates im Bereich Cybersicherheit befürworteten, zeigte sich auch ein Spannungsfeld. Während eine angemessene Einbeziehung des Staates zur Förderung eigener Cyberkapazitäten begrüsst wurde, stiess eine übermässige Verletzung der organisatorischen Souveränität auf Ablehnung. So ist zwar eine striktere Regulierung im Bereich Prävention gewünscht, jedoch nicht im Nachgang von Vorfällen, in welchem eine grösserer Handlungsspielraum bevorzugt wurde. Die Cybersicherheit kann also als eine sensible Gratwanderung zwischen dem Bedürfnis nach mehr Schutz einerseits und Wahrung der eigenen Unabhängigkeit andererseits verstanden werden.
Bei der Umsetzung des neuen Bundesamtes für Cybersicherheit wird demnach eine behutsame Balance zwischen Massnahmen zur Kompetenzförderung und der Wahrung organisatorischer Unabhängigkeit von entscheidender Bedeutung sein. Die Vor- und Nachteile verschiedener Massnahmen müssen sorgfältig abgewägt werden. Auch dritte Partner wie Hochschulen oder NGOs können hierbei mehr eingespannt werden. Das künftige Vertrauensverhältnis und somit die Kooperationsbereitschaft zwischen dem NCSC und seinen Partnern wird massgeblich von diesen Entscheidungen abhängen.

Über die Autoren

image
Melanie Knieps, CYRENZH, Universität Zürich (links), Markus Christen, Digital Society Initiative, Universität Zürich (rechts) und Reto Inversini, Technik und Informatik, Berner Fachhochschule (nicht im Bild).

Loading

Mehr zum Thema

image

Beginnt das WEF, starten die DDoS-Attacken

Prorussische Gruppen melden erste Angriffe in Graubünden. Das Bundesamt für Cybersicherheit sieht kritische Infrastrukturen gewappnet.

publiziert am 20.1.2025
image

Datasport gewinnt den Courage Award

Mit dem Award zeichnen Inside IT und ISSS Unternehmen aus, die nach einem Cyberangriff besonders vorbildlich kommunizierten.

publiziert am 16.1.2025
image

Podcast: Von Melani zum Bacs

Eine gewisse Narrenfreiheit und viel Aufbauarbeit: So verlief die Anfangszeit der Melde- und Analysestelle des Bundes. Im Podcast spricht Inside IT über den Start der Stelle vor 20 Jahren und die Entwicklung zum Bundesamt.

publiziert am 17.1.2025
image

UK-Regierung will Lösegeldverbot und Ransomware-Meldepflicht

Keine Lösegelder mehr von Behörden und allgemeine Meldepflicht auch für Privatunternehmen und -personen, so ein Vorschlag der britischen Regierung.

publiziert am 16.1.2025