Am 7. Dezember 2022 sind Bundesratswahlen. Es werden nicht nur 2 neue Mitglieder der Landesregierung gewählt, es könnte auch zur grossen Departementsrochade kommen. Oder nun doch nicht?

Heute wurde entschieden, dass das Nationale Zentrum für Cybersicherheit (NCSC) vom Finanzdepartement ins VBS transferiert wird.

Hat Viola Amherd womöglich zur Bedingung gemacht, dass das NCSC in ihr Departement, das notorisch unbeliebte VBS, kommt, damit sie keinen Wechsel anstrebt? An der heutigen Medienkonferenz äusserte sie sich nicht dazu und sagte, das werde nächste Woche entschieden.

Möglich ist das aber durchaus. Und es gibt auch Gründe, das NCSC im Militärdepartement unterzubringen und dort eine Art zentrale Stelle für Cybersicherheit zu schaffen. Zumal der Bundesrat gleichzeitig beschlossen hat, die Koordination zwischen den Departementen bei sicherheitspolitisch relevanten Geschäften sowie bei Geschäften der Cyberrisiken zu stärken.

Das ist wichtig, denn auch im EJPD (Justizvollzug) und im EDA (Cyberdiplomatie) gibts durchaus Anknüpfungspunkte. Somit ist es sinnvoll, dass im Sicherheitsausschuss, in dem Fragen der Cybersicherheit behandelt werden, das VBS, das EJPD wie auch das EDA vertreten sind.

Aber nichtsdestotrotz ist der Entscheid, das NCSC im VBS unterzubringen, auch hochproblematisch. Auch wenn Viola Amherd betont, dass die Trennung zwischen zivilen und militärischen Aufgaben gewahrt bleibe, ist und bleibt das VBS das Militärdepartement. Und das Militär ist definitiv nicht die richtige Organisation, um zivile Infrastrukturen im Cyberspace zu verteidigen.

Die Verteidigung gegen Cyberangriffe ist eine zivile Aufgabe, die ins Finanz- oder Justizdepartement gehört hätte.

Durch den Wechsel der Cyberverteidigung ins VBS ergeben sich automatisch Interessenskonflikte. Zum Beispiel könnten Zero-Day-Lücken, die dem neuen NCSC zugespielt werden, offen bleiben und an den Nachrichtendienst des Bundes weitergereicht werden. Dass dort offensive Aktionen gefragt sind, die im Zentrum Elektronische Operationen (ZEO) innerhalb des militärischen Kommando Cyber ausgeführt werden, ist bekannt.

Politische Interessen decken sich zudem nicht immer mit jenen der Cybersicherheit. Beispielhaft dafür steht eine Warnung des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI), Unternehmen sollten keine Software des Herstellers Kaspersky mehr einsetzen. Aber die BSI-Warnung ist rechtlich und fachlich umstritten und könnte politisch motiviert sein. Das BSI gehört wie auch der Geheimdienst Deutschlands dem Innenministerium des Landes an. Also genau eine Situation, in die sich jetzt auch der Bund hineinmanövriert.

Ein Vorteil des VBS ist einzig das grosszügige Budget, das dem Militär zur Verfügung steht und von dem nun auch das neue Bundesamt für Cybersicherheit profitieren könnte.

Trotzdem: Die Verteidigung möglicher physischer Angriffe ist auch organisatorisch von jenen im Cyberspace zu trennen – denn die Motive auf Seiten der Angreifer sind komplett andere. Und deshalb ist das auch aufseiten der Verteidigung zu trennen.