Gastkommentar: Die Security-Szene fremdelt mit dem Militär

6. Dezember 2022, 08:46
image
Christian Folini, Security Engineer und Leiter des OWASP CRS-Projekts.

Sind schonungslos transparente Berichte wie der Ruag-Report noch möglich, wenn das NCSC ins VBS wechselt? Das fragt sich unser Gastautor Christian Folini.

Im Jahr 2016 veröffentliche die Melde- und Analysestelle Informationssicherung des Bundes (kurz: Melani), die Vorgängerorganisation des Nationalen Cyber Security Centers (NCSC), einen technischen Bericht über den "Ruag-Hack".
Der Report war für den Bund schmerzhaft und schonungslos transparent. Er unterstrich auch die Tatsache, dass der innere Kern von Melani, das GovCert.ch, in technischer und qualitativer Hinsicht in einer Liga oberhalb seiner Ressourcen spielte.

Die Verschiebung ins VBS zeichnete sich ab

Melani ging später im NCSC auf und sein Leiter Florian Schütz verstand es, diese Qualitäten durch den Aufbau der grösseren Strukturen hindurch zu erhalten. Nun hat der Bundesrat vergangene Woche beschlossen, dass aus dem NCSC ein ziviles Bundesamt unter dem Dach des VBS werden soll.
Dieser Entscheid kommt für viele überraschend. Dennoch zeichnete er sich schon länger ab: Zum ersten Mal deutlich sichtbar wurden die Ambitionen des VBS im Jahr 2018. In der zweiten Nationalen Cyber-Strategie (NCS2) sollte das VBS befähigt werden, Angriffe auf kritische Infrastrukturen zu verhindern; unterstützend zwar, aber als Key Player.

Zentralistische Strukturen des Militärs sind ein Problem

Die zivile Security-Industrie und die an Cyber-Themen interessierte Öffentlichkeit fremdeln mit dem Militär. Neben Versäumnissen im Ruag-Fall wirft man dem VBS auch verschiedene Incidents sowie kolportierte Reibereien und Kompetenzstreitigkeiten mit dem NCSC vor.
Es ist sicher eine Kulturfrage. Es könnte aber auch an den zentralistischen Strukturen des Militärs liegen. Tatsächlich sprach die NCS2 sich stark für Subsidiarität und die Lösung von Sicherheitsproblemen in dezentralen Strukturen aus. Bei der Bekanntgabe des Bundesrats-Entscheids durch Viola Amherd fiel deshalb auf, wie stark sie die Vorteile einer zentralen Bündelung der Cyber-Fähigkeiten des Bundes betonte. Da das NCSC auch Funktionen für Kantone und Gemeinden erfüllt, sowie auf Wunsch des Parlaments vermehrt als Anlaufstelle für Cyber-Probleme der Bevölkerung und der Wirtschaft fungiert, sorgt die gewünschte Zentralisierung für Fragen.
Das NCSC hat etwa einen Expertenpool aufgebaut, der anderen Teilen der Verwaltung für ihre Projekte zur Verfügung gestellt wurde. Ob und wie das weitergeführt werden soll, dürfte Teil des Berichts werden, den der Bundesrat vom VBS bis Ende März 2023 verlangt. Dazu kommt die neue Meldepflicht für Cyber Incidents im Betrieb von kritischen Infrastrukturen. Diese Vorkommnisse müssen also relativ bald an das VBS gemeldet werden, was der Akzeptanz und der Erfüllung neuen Auflage angesichts der Berührungsängste der Techies abträglich sein könnte.

Weniger Respekt für das neue Bundesamt

Trotz des Fehlens einer Meldepflicht gab es bis dato einen konstruktiven Austausch zwischen den Betreibern dieser Infrastrukturen und dem Bund. Wenn die neue Meldepflicht aber mit einem Rückzug auf das zwingend geforderte gesetzliche Minimum einherginge, dann wäre der geplante Ausbau des Lagebildes in Wahrheit eine Selbstbeschränkung.
Möglicherweise waren es diese Überlegungen, welche die Departementsvorsteher und Departementsvorsteherinnen dazu bewog, das neue Bundesamt als zivile Institution ins VBS zu platzieren. Das Bundesamt für Bevölkerungsschutz (Babs) belegt, dass man mit so einem Konstrukt qualitativ hochstehende Arbeit leisten kann. Aber funktioniert das auch in einem anderen, stärker mit zivilen Strukturen verzahnten Bereich?
Ferner frage ich mich, ob ein so starker und schmerzhafter Bericht wie der Ruag-Report von 2016 unter dem Dach des VBS noch erscheinen würde. Sollte das nicht mehr möglich sein, dann bedeutet dies, dass das neue Bundesamt für die brillantesten Analysten weniger attraktiv sein wird als Melani und das NCSC vor ihm. Und ferner heisst es, dass das neue Bundesamt trotz erhöhtem Etat in der Security-Szene nicht mehr den denselben Respekt geniesst. Und dieser Gedanke beunruhigt mich.

Zur Person

Christian Folini arbeitet als Security Engineer und leitet das OWASP CRS-Projekt. Er verantwortet das Programm der Swiss Cyber Storm-Konferenz und beschäftigt sich unter anderem mit der Sicherheit von Wahlen und Abstimmungen. Am kommenden Freitag ist er Gast in unserem Podcast "Die IT-Woche".

Loading

Mehr zum Thema

image

Wegen Whatsapp: Bank wälzt Millionen-Busse auf Angestellte ab

Finanzregulatoren hatten mehreren Banken wegen der Nutzung von Whatsapp hohe Bussen auferlegt. Morgan Stanley reicht diese nun an Mitarbeitende weiter.

publiziert am 27.1.2023
image

Schwyz erhält einen neuen CIO

Im Sommer wird Marcel Schönbächler die Leitung des Amts für Informatik im Kanton übernehmen.

publiziert am 27.1.2023
image

Crypto Valley: Sehr gute Miene zum sehr bösen Spiel

Die Investoren-Vereinigung CV VC befindet im neusten "Top 50"-Report: Der Laden brummt, die Zukunft strahlt. Sie hat dafür einige Fantasie walten lassen.

publiziert am 27.1.2023
image

Podcast: Wie fair und objektiv ist künstliche Intelligenz?

Der Bundesrat will, dass KI Behörden effizienter macht. Warum das zu einem Problem werden kann, diskutieren wir in dieser Podcast-Folge.

publiziert am 27.1.2023