Parldigi direkt: Cybersicherheit, wo bist du?

19. Juli 2023 um 07:44
image

Es wurden Fehler gemacht. Doch nun geht beim Bund punkto Cybersecurity einiges in die richtige Richtung, schreibt Optimist und Grünen-Nationalrat Gerhard Andrey in seiner Parldigi-Direkt-Kolumne.

Die Schlagzeilen über gravierende Hacks, schmerzhafte Ransomware oder massive Datenlecks wollen nicht abbrechen. Im Gegenteil: Es scheint, als würde mit jedem neuen gewichtigen Cybervorfall die Dramatik noch zunehmen. Der jüngste Leak bei der IT-Firma Xplain wird die Behörden noch Monate beschäftigen. Es ist zu befürchten, dass nach den bereits bekanntgemachten beängstigenden Einzelheiten weitere folgen werden.
Ob der Weckruf dieses Mal verstanden wird? Die Aufarbeitung des Falls wird auch politische Konsequenzen nach sich ziehen. Das ist auch richtig, denn das Ausmass der Schäden aus der Cyberkriminalität schiesst durch die Decke: Cyberkriminalität kostet weltweit jährlich hunderte Milliarden Dollar, Tendenz stark steigend. Kluge Politik für mehr Cybersicherheit ist gefragt. Ein paar Beispiele:

Widerstandsfähigere Architekturen

Die löchrigen Digitalinfrastrukturen und inkontinenten Datenbanken sind auch technischen Architekturen geschuldet, welche Jahrzehnte alt sind und über die Zeit nur behelfsmässig verpflastert wurden. Es braucht ein Upgrade der Protokolle und der Architekturen. Routingsicherheit liesse sich mit dem offenen Protokoll Scion der ETH Zürich realisieren. Das erlaubt, Datenpakete auf dem Weg im Internet gewissermassen zu begleiten. Als stünde man selber an jeder Abzweigung, kann bestimmt werden, wohin das Paket als Nächstes reist. Ganz im Gegenteil zum heutigen Routing, das das Pfadfinden dem Internet überlässt, mit der Gefahr, dass ein Paket auch mal einen Umweg in ein Land macht, welches man unbedingt meiden möchte. Der Finanzplatz hat unter Anleitung der Nationalbank bereits auf das Protokoll gewechselt. Die sicherheitspolitische Kommission des Nationalrates hat ein Postulat überwiesen, das die bundesweite Einführung eines solchen Protokolls abklären soll.
Dezentrale, datensparsame und kryptografisch wasserdichte Open-Source-Lösungen sind ein weiteres wichtiges Mittel, um Cybersicherheit zu erhöhen. Die staatliche E-ID mit dem "Self Sovereign Idenditiy (SSI)"-Ansatz, an welcher der Bund baut, zeigt exemplarisch auf, wie zeitgemässe Systeme aussehen müssen.

Open Source statt "Security by Obscurity"

Open Source Software ist in der Bundesverwaltung definitiv angekommen. Mit der Verabschiedung des Bundesgesetzes über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben (Embag) gilt Open Source neu als Standardvorgabe, wenn es um behördliche Softwareentwicklung geht. Das ist nicht nur für die Nutzenmaximierung öffentlicher Gelder von Vorteil (Public Money, Public Code), sondern auch sicherheitsrelevant: Das Schweizer Covid-Zertifikat war wegen der Code-Transparenz vertrauenswürdig und durch den Einbezug der Community sicher.

Digitale Fitness für den Bund

Der Bund muss zwangsläufig mehr interne digitale Kompetenz aufbauen. Es reicht nicht, sich mit IT-Einkaufs-Know-how zu begnügen. Vieles lässt sich tatsächlich am Markt beschaffen. Das entbindet die Verwaltung aber nicht von der Pflicht, Herr gerade über die für sie kritische Software zu werden. Da gehört auch mehr interne Entwicklungspower dazu. Seit dem E-ID-Referendum und den Pandemie-Tools wie dem Covid-Zertifikat hat die Bundesverwaltung zumindest an Selbstbewusstsein gewonnen.

Mehr Verbindlichkeit bitte!

Das Parlament berät derzeit eine Meldepflicht von schweren Cyberangriffen auf Betreiber kritischer Infrastrukturen. Nach 20 Jahren der freiwilligen Massnahmen, ist diese Verbindlichkeit sehr zu begrüssen. Es bietet sich an, im gleichen Anlauf auch eine Pflicht zur Meldung von schwerwiegenden noch unbekannten Schwachstellen einzuführen, sollten solche zufällig aufgedeckt werden. Auch wenn Betreiber eher selten in Audits oder per Zufall über solche Schwachstellen stolpern werden, das Wissen über gefährliche Lücken wie Log4j oder Heartbleed gilt es so schnell wie möglich mit anderen kritischen Infrastrukturen zu teilen.
Das NCSC als Empfänger solcher Informationen wird dabei eine noch wichtigere Rolle in der Begleitung und Sensibilisierung von Cyberrisiken einnehmen. Es ist auch deshalb zu begrüssen, dass der Bundesrat die Überführung des Nationale Zentrums für Cybersicherheit (NCSC) in ein vollwertiges Bundesamt beschlossen hat.

Cyber ist in Bern angekommen

Bei all den Sorgenfalten, die einem im Zusammenhang mit Cyberthemen rascher wachsen als auch schon, gibt es auch gute Nachrichten: in Bern ist das Thema auf dem Radar. Das Parlament und die Verwaltung scheinen Willen zu zeigen, die Situation verbessern zu wollen. So wurde eine parlamentarische Gruppe Cyber von Mitgliedern aller Fraktionen gegründet. Und die ämterübergreifende Zusammenarbeit in diesem wichtigen Thema scheint besser als auch schon, mit Luft nach oben. Auch wenn damit noch keine Berge versetzt werden, stimmt das mich – als unverbesserlichen Optimisten sowieso – zuversichtlich.

Über die Kolumne

Jeden Monat äussern sich Politikerinnen und Politiker sowie digital-politisch Engagierte aus allen Lagern zum Geschehen in Bern und in den Kantonen in der "Parldigi direkt"-Kolumne.

Loading

Mehr erfahren

Mehr zum Thema

image

Parldigi direkt: Wo findet künftig die politische Auseinandersetzung statt?

Demokratie braucht einen Raum, in dem der politische Diskurs stattfinden kann. Damit das funktioniert, müssen sich Medien und Politik neu orientieren, schreibt SP-Nationalrätin Min Li Marti in ihrer Parldigi-Direkt-Kolumne.

publiziert am 17.4.2024 2
image

Vogt am Freitag: Super Mario, nicht

Die Sicherheitsdirektion des Kantons Zürich ignoriert unsere kritischen Fragen. Das scheint Methode zu haben.

publiziert am 12.4.2024
image

Vor 59 Jahren: Moore's Law wird begründet

Moore's Law oder zu Deutsch das Mooresche Gesetz besagt einfach gesagt, dass sich die Zahl der Transistoren auf Computerchips alle zwei Jahre verdoppelt.

Von publiziert am 12.4.2024
image

Von Hensch zu Mensch: Käi Luscht!

Ein neues Phänomen? Wenn IT-Lieferanten zur Arbeitsverweigerung greifen, kommt der Kunde ganz schön ins Rotieren.

publiziert am 9.4.2024 4