Im Jahr 2016 veröffentliche die Melde- und Analysestelle Informationssicherung des Bundes (kurz: Melani), die Vorgängerorganisation des Nationalen Cyber Security Centers (NCSC), einen technischen Bericht über den "Ruag-Hack".
Der Report war für den Bund schmerzhaft und schonungslos transparent. Er unterstrich auch die Tatsache, dass der innere Kern von Melani, das GovCert.ch, in technischer und qualitativer Hinsicht in einer Liga oberhalb seiner Ressourcen spielte.
Die Verschiebung ins VBS zeichnete sich ab
Melani ging später im NCSC auf und sein Leiter Florian Schütz verstand es, diese Qualitäten durch den Aufbau der grösseren Strukturen hindurch zu erhalten. Nun hat der Bundesrat vergangene Woche beschlossen, dass aus dem NCSC ein ziviles Bundesamt
unter dem Dach des VBS werden soll.
Dieser Entscheid kommt für viele überraschend. Dennoch zeichnete er sich schon länger ab: Zum ersten Mal deutlich sichtbar wurden die Ambitionen des VBS im Jahr 2018. In der zweiten Nationalen Cyber-Strategie (NCS2) sollte das VBS befähigt werden, Angriffe auf kritische Infrastrukturen zu verhindern; unterstützend zwar, aber als Key Player.
Zentralistische Strukturen des Militärs sind ein Problem
Die zivile Security-Industrie und die an Cyber-Themen interessierte Öffentlichkeit fremdeln mit dem Militär. Neben Versäumnissen im Ruag-Fall wirft man dem VBS auch verschiedene Incidents sowie kolportierte Reibereien und Kompetenzstreitigkeiten mit dem NCSC vor.
Es ist sicher eine Kulturfrage. Es könnte aber auch an den zentralistischen Strukturen des Militärs liegen. Tatsächlich sprach die NCS2 sich stark für Subsidiarität und die Lösung von Sicherheitsproblemen in dezentralen Strukturen aus. Bei der Bekanntgabe des Bundesrats-Entscheids durch Viola Amherd fiel deshalb auf, wie stark sie die Vorteile einer zentralen Bündelung der Cyber-Fähigkeiten des Bundes betonte. Da das NCSC auch Funktionen für Kantone und Gemeinden erfüllt, sowie auf Wunsch des Parlaments vermehrt als Anlaufstelle für Cyber-Probleme der Bevölkerung und der Wirtschaft fungiert, sorgt die gewünschte Zentralisierung für Fragen.
Das NCSC hat etwa einen Expertenpool aufgebaut, der anderen Teilen der Verwaltung für ihre Projekte zur Verfügung gestellt wurde. Ob und wie das weitergeführt werden soll, dürfte Teil des Berichts werden, den der Bundesrat vom VBS bis Ende März 2023 verlangt. Dazu kommt
die neue Meldepflicht für Cyber Incidents im Betrieb von kritischen Infrastrukturen. Diese Vorkommnisse müssen also relativ bald an das VBS gemeldet werden, was der Akzeptanz und der Erfüllung neuen Auflage angesichts der Berührungsängste der Techies abträglich sein könnte.
Weniger Respekt für das neue Bundesamt
Trotz des Fehlens einer Meldepflicht gab es bis dato einen konstruktiven Austausch zwischen den Betreibern dieser Infrastrukturen und dem Bund. Wenn die neue Meldepflicht aber mit einem Rückzug auf das zwingend geforderte gesetzliche Minimum einherginge, dann wäre der geplante Ausbau des Lagebildes in Wahrheit eine Selbstbeschränkung.
Möglicherweise waren es diese Überlegungen, welche die Departementsvorsteher und Departementsvorsteherinnen dazu bewog, das neue Bundesamt als zivile Institution ins VBS zu platzieren. Das Bundesamt für Bevölkerungsschutz (Babs) belegt, dass man mit so einem Konstrukt qualitativ hochstehende Arbeit leisten kann. Aber funktioniert das auch in einem anderen, stärker mit zivilen Strukturen verzahnten Bereich?
Ferner frage ich mich, ob ein so starker und schmerzhafter Bericht wie der Ruag-Report von 2016 unter dem Dach des VBS noch erscheinen würde. Sollte das nicht mehr möglich sein, dann bedeutet dies, dass das neue Bundesamt für die brillantesten Analysten weniger attraktiv sein wird als Melani und das NCSC vor ihm. Und ferner heisst es, dass das neue Bundesamt trotz erhöhtem Etat in der Security-Szene nicht mehr den denselben Respekt geniesst. Und dieser Gedanke beunruhigt mich.
Zur Person
Christian Folini arbeitet als Security Engineer und leitet das
OWASP CRS-Projekt. Er verantwortet das Programm der
Swiss Cyber Storm-Konferenz und beschäftigt sich unter anderem mit der Sicherheit von Wahlen und Abstimmungen. Am kommenden Freitag ist er Gast in unserem
Podcast "Die IT-Woche".