Gastkommentar: Die Security-Szene fremdelt mit dem Militär

6. Dezember 2022 um 08:46
image
Christian Folini, Security Engineer und Leiter des OWASP CRS-Projekts.

Sind schonungslos transparente Berichte wie der Ruag-Report noch möglich, wenn das NCSC ins VBS wechselt? Das fragt sich unser Gastautor Christian Folini.

Im Jahr 2016 veröffentliche die Melde- und Analysestelle Informationssicherung des Bundes (kurz: Melani), die Vorgängerorganisation des Nationalen Cyber Security Centers (NCSC), einen technischen Bericht über den "Ruag-Hack".
Der Report war für den Bund schmerzhaft und schonungslos transparent. Er unterstrich auch die Tatsache, dass der innere Kern von Melani, das GovCert.ch, in technischer und qualitativer Hinsicht in einer Liga oberhalb seiner Ressourcen spielte.

Die Verschiebung ins VBS zeichnete sich ab

Melani ging später im NCSC auf und sein Leiter Florian Schütz verstand es, diese Qualitäten durch den Aufbau der grösseren Strukturen hindurch zu erhalten. Nun hat der Bundesrat vergangene Woche beschlossen, dass aus dem NCSC ein ziviles Bundesamt unter dem Dach des VBS werden soll.
Dieser Entscheid kommt für viele überraschend. Dennoch zeichnete er sich schon länger ab: Zum ersten Mal deutlich sichtbar wurden die Ambitionen des VBS im Jahr 2018. In der zweiten Nationalen Cyber-Strategie (NCS2) sollte das VBS befähigt werden, Angriffe auf kritische Infrastrukturen zu verhindern; unterstützend zwar, aber als Key Player.

Zentralistische Strukturen des Militärs sind ein Problem

Die zivile Security-Industrie und die an Cyber-Themen interessierte Öffentlichkeit fremdeln mit dem Militär. Neben Versäumnissen im Ruag-Fall wirft man dem VBS auch verschiedene Incidents sowie kolportierte Reibereien und Kompetenzstreitigkeiten mit dem NCSC vor.
Es ist sicher eine Kulturfrage. Es könnte aber auch an den zentralistischen Strukturen des Militärs liegen. Tatsächlich sprach die NCS2 sich stark für Subsidiarität und die Lösung von Sicherheitsproblemen in dezentralen Strukturen aus. Bei der Bekanntgabe des Bundesrats-Entscheids durch Viola Amherd fiel deshalb auf, wie stark sie die Vorteile einer zentralen Bündelung der Cyber-Fähigkeiten des Bundes betonte. Da das NCSC auch Funktionen für Kantone und Gemeinden erfüllt, sowie auf Wunsch des Parlaments vermehrt als Anlaufstelle für Cyber-Probleme der Bevölkerung und der Wirtschaft fungiert, sorgt die gewünschte Zentralisierung für Fragen.
Das NCSC hat etwa einen Expertenpool aufgebaut, der anderen Teilen der Verwaltung für ihre Projekte zur Verfügung gestellt wurde. Ob und wie das weitergeführt werden soll, dürfte Teil des Berichts werden, den der Bundesrat vom VBS bis Ende März 2023 verlangt. Dazu kommt die neue Meldepflicht für Cyber Incidents im Betrieb von kritischen Infrastrukturen. Diese Vorkommnisse müssen also relativ bald an das VBS gemeldet werden, was der Akzeptanz und der Erfüllung neuen Auflage angesichts der Berührungsängste der Techies abträglich sein könnte.

Weniger Respekt für das neue Bundesamt

Trotz des Fehlens einer Meldepflicht gab es bis dato einen konstruktiven Austausch zwischen den Betreibern dieser Infrastrukturen und dem Bund. Wenn die neue Meldepflicht aber mit einem Rückzug auf das zwingend geforderte gesetzliche Minimum einherginge, dann wäre der geplante Ausbau des Lagebildes in Wahrheit eine Selbstbeschränkung.
Möglicherweise waren es diese Überlegungen, welche die Departementsvorsteher und Departementsvorsteherinnen dazu bewog, das neue Bundesamt als zivile Institution ins VBS zu platzieren. Das Bundesamt für Bevölkerungsschutz (Babs) belegt, dass man mit so einem Konstrukt qualitativ hochstehende Arbeit leisten kann. Aber funktioniert das auch in einem anderen, stärker mit zivilen Strukturen verzahnten Bereich?
Ferner frage ich mich, ob ein so starker und schmerzhafter Bericht wie der Ruag-Report von 2016 unter dem Dach des VBS noch erscheinen würde. Sollte das nicht mehr möglich sein, dann bedeutet dies, dass das neue Bundesamt für die brillantesten Analysten weniger attraktiv sein wird als Melani und das NCSC vor ihm. Und ferner heisst es, dass das neue Bundesamt trotz erhöhtem Etat in der Security-Szene nicht mehr den denselben Respekt geniesst. Und dieser Gedanke beunruhigt mich.

Zur Person

Christian Folini arbeitet als Security Engineer und leitet das OWASP CRS-Projekt. Er verantwortet das Programm der Swiss Cyber Storm-Konferenz und beschäftigt sich unter anderem mit der Sicherheit von Wahlen und Abstimmungen. Am kommenden Freitag ist er Gast in unserem Podcast "Die IT-Woche".

Loading

Mehr erfahren

Mehr zum Thema

image

GPK: Berner Regierung soll Verantwortung für Rialto nicht abgeben

Die Regierung findet, dass das Projekt abgeschlossen sei. Diese Haltung teilt die Geschäftsprüfungskommission nicht.

publiziert am 21.8.2024
image

Braucht es mehr Flexibilität im Homeoffice?

Eine Kommission des Nationalrats findet ja. Die Gewerkschaft Syndicom dagegen ist der Meinung, dass damit das Arbeitsrecht aufgeweicht wird.

publiziert am 21.8.2024
image

Centerboard liefert neue Admin-Software für Berufsschulen

Die für die Softwareentwicklung für Berufsbildende Schulen zuständige Genossenschaft SEBBS hat eine Nachfolgelösung für ihre veraltete Lösung gesucht.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024