Die Schlagzeilen über gravierende Hacks, schmerzhafte Ransomware oder massive Datenlecks wollen nicht abbrechen. Im Gegenteil: Es scheint, als würde mit jedem neuen gewichtigen Cybervorfall die Dramatik noch zunehmen. Der jüngste
Leak bei der IT-Firma Xplain wird die Behörden noch Monate beschäftigen. Es ist zu befürchten, dass nach den bereits bekanntgemachten beängstigenden Einzelheiten weitere folgen werden.
Ob der Weckruf dieses Mal verstanden wird? Die Aufarbeitung des Falls wird auch politische Konsequenzen nach sich ziehen. Das ist auch richtig, denn das Ausmass der Schäden aus der Cyberkriminalität schiesst durch die Decke: Cyberkriminalität kostet weltweit jährlich hunderte Milliarden Dollar, Tendenz stark steigend. Kluge Politik für mehr Cybersicherheit ist gefragt. Ein paar Beispiele:
Widerstandsfähigere Architekturen
Die löchrigen Digitalinfrastrukturen und inkontinenten Datenbanken sind auch technischen Architekturen geschuldet, welche Jahrzehnte alt sind und über die Zeit nur behelfsmässig verpflastert wurden. Es braucht ein Upgrade der Protokolle und der Architekturen. Routingsicherheit liesse sich mit dem offenen Protokoll Scion der ETH Zürich realisieren. Das erlaubt, Datenpakete auf dem Weg im Internet gewissermassen zu begleiten. Als stünde man selber an jeder Abzweigung, kann bestimmt werden, wohin das Paket als Nächstes reist. Ganz im Gegenteil zum heutigen Routing, das das Pfadfinden dem Internet überlässt, mit der Gefahr, dass ein Paket auch mal einen Umweg in ein Land macht, welches man unbedingt meiden möchte. Der Finanzplatz hat unter Anleitung der Nationalbank bereits auf das Protokoll gewechselt. Die sicherheitspolitische Kommission des Nationalrates
hat ein Postulat überwiesen, das die bundesweite Einführung eines solchen Protokolls abklären soll.
Open Source statt "Security by Obscurity"
Open Source Software ist in der Bundesverwaltung definitiv angekommen. Mit der Verabschiedung des Bundesgesetzes über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben (Embag) gilt
Open Source neu als Standardvorgabe, wenn es um behördliche Softwareentwicklung geht. Das ist nicht nur für die Nutzenmaximierung öffentlicher Gelder von Vorteil (Public Money, Public Code), sondern auch sicherheitsrelevant: Das Schweizer Covid-Zertifikat war wegen der Code-Transparenz vertrauenswürdig und durch den Einbezug der Community sicher.
Digitale Fitness für den Bund
Der Bund muss zwangsläufig mehr interne digitale Kompetenz aufbauen. Es reicht nicht, sich mit IT-Einkaufs-Know-how zu begnügen. Vieles lässt sich tatsächlich am Markt beschaffen. Das entbindet die Verwaltung aber nicht von der Pflicht, Herr gerade über die für sie kritische Software zu werden. Da gehört auch mehr interne Entwicklungspower dazu. Seit dem E-ID-Referendum und den Pandemie-Tools wie dem Covid-Zertifikat hat die Bundesverwaltung zumindest an Selbstbewusstsein gewonnen.
Mehr Verbindlichkeit bitte!
Das Parlament berät derzeit eine Meldepflicht von schweren Cyberangriffen auf Betreiber kritischer Infrastrukturen. Nach 20 Jahren der freiwilligen Massnahmen, ist diese Verbindlichkeit sehr zu begrüssen. Es bietet sich an, im gleichen Anlauf auch eine Pflicht zur
Meldung von schwerwiegenden noch unbekannten Schwachstellen einzuführen, sollten solche zufällig aufgedeckt werden. Auch wenn Betreiber eher selten in Audits oder per Zufall über solche Schwachstellen stolpern werden, das Wissen über gefährliche Lücken wie
Log4j oder Heartbleed gilt es so schnell wie möglich mit anderen kritischen Infrastrukturen zu teilen.
Cyber ist in Bern angekommen
Bei all den Sorgenfalten, die einem im Zusammenhang mit Cyberthemen rascher wachsen als auch schon, gibt es auch gute Nachrichten: in Bern ist das Thema auf dem Radar. Das Parlament und die Verwaltung scheinen Willen zu zeigen, die Situation verbessern zu wollen. So wurde eine
parlamentarische Gruppe Cyber von Mitgliedern aller Fraktionen gegründet. Und die ämterübergreifende Zusammenarbeit in diesem wichtigen Thema scheint besser als auch schon, mit Luft nach oben. Auch wenn damit noch keine Berge versetzt werden, stimmt das mich – als unverbesserlichen Optimisten sowieso – zuversichtlich.
Über die Kolumne
Jeden Monat äussern sich Politikerinnen und Politiker sowie digital-politisch Engagierte aus allen Lagern zum Geschehen in Bern und in den Kantonen in der
"Parldigi direkt"-Kolumne.