Cyber-Strategie: VBS wird Wildwuchs und Aktionismus vorgeworfen

29. Mai 2017, 15:40
  • e-government
  • schweiz
  • bundesrat
  • vbs
  • strategie
image

Braucht die Armee Nachhilfe-Unterricht in Sachen strukturiertes Vorgehen? Ja, sagen die eigenen Revisoren.

Braucht die Armee Nachhilfe-Unterricht in Sachen strukturiertes Vorgehen? Ja, sagen die eigenen Revisoren.
"Die Prüfung ergab einen gewissen Optimierungsbedarf" meint das VBS zum Bericht der Internen Revisionsstelle VBS über die Nationale Cyber-Strategie der Armee (NCS). Sehr viel deutlicher klingt es im Bericht selbst. Die "Durchhaltefähigkeit des VBS" müsse "bei längeren, grösseren oder parallelen Cyber-Angriffen" gegen die Schweiz "als gering" erachtet werden. Zu diesem Schluss kommt ein interner VBS-Bericht. Einer von mehreren Gründen für die harsche Kritik: Im VBS herrscht bezüglich Cyber-Gremien Wildwuchs.
Der Bericht der Internen Revisionsstelle VBS datiert vom September 2016, aber wurde vor wenigen Tagen im Internet veröffentlicht, wie die 'Zentralschweiz am Sonntag' und die 'Südostschweiz am Sonntag' berichteten.
Teil-Strategien und Doppelspurigkeiten
Die Revisoren stellten fest, "dass im VBS in den letzten Jahren auf strategischer Ebene verschiedene Cyber-Gremien geschaffen wurden, wobei sich bis heute keines nachhaltig etabliert hat". Sie empfahlen, im VBS-Generalsekretariat eine Koordinationsstelle Cyber-Sicherheit zu schaffen. So könnten "Synergien besser genutzt, Doppelspurigkeiten vermieden und die verschiedenen VBS-Teilstrategien besser abgeglichen werden".
Im VBS hat man diese Empfehlung teilweise umgesetzt. Eine von Bundesrat Guy Parmelin im April 2016 eingesetzte Arbeitsgruppe, die einen "Aktionsplan Cyber" erarbeite, sei zum Schluss gekommen, dass ein Koordinationsorgan "zwingend notwendig" sei, schrieb VBS-Sprecherin Karin Suini in einer Stellungnahme.
"Das Koordinationsorgan besteht seit Ende Februar 2016, wurde für die Aufarbeitung des RUAG-Vorfalles geschaffen und wird bald definitiv in den VBS-Strukturen verankert." Ob die Stelle beim Generalsekretariat angesiedelt wird, ist der Antwort Suinis nicht zu entnehmen.
Der bundeseigene Rüstungskonzern Ruag war zwischen Ende 2014 und etwa Anfang 2016 Ziel eines Cyber-Spionage-Angriffs geworden. Rund 23 Gigabyte Daten wurden entwendet. Laut dem Bund deuteten die Indizien auf Wirtschaftsspionage hin. Aber was genau von wem geklaut wurde, weiss bis heute niemand, so Melani.
Aktionsplan soll Aktionismus ablösen
Die Arbeitsgruppe Cyber hatte im Mai 2016 ihre Arbeit aufgenommen, allerdings war diese von den Mitgliedern eher dem Aktionismus verpflichtet oder als Debattierklub interpretiert worden. Zumindest lässt sich dies daraus schliessen, was die Revisoren ihr empfehlen. Die Ratschläge sind eigentlich ein Basiskurs in strukturiertem Vorgehen: Zunächst solle die Arbeitsgruppe "messbare strategischen Ziele" für die Cyber-Sicherheit, "als Konkretisierung der Cyber-Vision des Chefs VBS", verbindlich festlegen.
Schritt zwei sei die Analyse der inneren und äusseren Einflüsse. Stichwort "SWOT"-Analyse.
Als Drittes seien strategische Szenarien zu entwickeln. "Aufgrund dieser Szenarien kann der Chef VBS einen fundierten strategischen Entscheid treffen", heisst es im Bericht. Erst wenn Parmelin diesen Entscheid gefällt habe, "darf die Forderung nach mehr finanziellen und personellen Ressourcen" gestellt werden.
Fast schon paternalistisch mutet die Empfehlung vier an: Nach dem Strategieentscheid komme nämlich der "anspruchsvollste" Schritt vier … die Umsetzung. Hier gelte es "Prioritäten und Verantwortlichkeiten zu hinterlegen".
Schritt fünf sei dann, im Rahmen einer Strategiekontrolle einen "permanenten Überwachungs- und Lenkungsprozess" einzuführen.
In der Öffentlichkeit unklar ist, ob Planung, SWOT-Analysen, Priorisierung sowie Erfolgskontrollen beim VBS unüblich sind, oder nur im Cyber-Bereich dergestalt nachgebessert werden muss. Im Bericht erwidert der Nachrichtendienst des Bundes (NDB) nur, dies sei "methodisch eigentlich eine Selbstverständlichkeit und kann entsprechend kaum in Frage gestellt werden."
Die Revisoren warnten das VBS auch vor Alleingängen. Die Strategie des VBS sei nur ein Teilbereich der gesamten Cyber-Strategie des Bundes.
Zwei Budgetprozente für Abwehr von Cyber-Angriffen
Laut VBS-Sprecherin Suini werde der "Aktionsplan Cyber" voraussichtlich bis 2020 umgesetzt sein. "Die benötigen Stellen werden durch internes Personal besetzt."
Für die Abwehr von Cyberangriffen seien rund zwei Prozent des Budgets eingeplant. Bei fünf Milliarden Franken Aufwand beim VBS wären dies 100 Millionen Franken. Der Luzerner FDP-Sicherheitspolitiker Damian Müller begrüsst laut 'Zentralschweiz am Sonntag' grundsätzlich, dass die Landesregierung bei der Cyberabwehr vorwärts macht. "Allerdings reichen 100 Millionen Franken bei weitem nicht aus", sagt er.
Im Vorwort zur neuen VBS-Publikation "Military Power Revue 2017/1" schreibt Bundesrat Parmelin zum Thema Cyberattacken: "Das Departement führt mit modernen Mitteln einen harten Kampf gegen dieses Phänomen, das in den Bereichen Wirtschaft und Sicherheit einen Schaden in Milliardenhöhe verursacht."
Die Nationale Cyber-Strategie ist auf Friedenszeiten ausgelegt und schliesst den Kriegs- und Konfliktfall explizit aus. Sie soll drei Hauptziele erreichen: "Frühwarnung vor Cyber-Bedrohungen, Stärkung der Widerstandsfähigkeit der kritischen Infrastrukturen und Reduktion von Cyber-Gefahren (z.B. Cyber-Spionage und -Sabotage)."
Das Departement betont, die Armee sei weder vom Gesetzgeber beauftragt noch in der Lage, die ganze Infrastruktur der Schweiz vor Cyberangriffen zu schützen. Das VBS könne zivilen Behörden im Falle eines Angriffes gegen kritische Infrastrukturen nur Hilfe leisten. Es sei aber nicht Aufgabe des VBS, Spitäler oder Elektrizitätswerke vor Cyberangriffen zu schützen. "Der Besitzer eines Autos muss seine Bremsen und Pneus auch selbst warten", so die VBS-Sprecherin.

Loading

Mehr zum Thema

image

Datenschutzbedenken wegen M365: Microsoft wehrt sich heftig

In Deutschland, Frankreich und der Schweiz stehen M365-Anwendungen in der Kritik der Datenschützer. Microsoft erklärt, die Bedenken seien "dogmatischer Selbstzweck".

publiziert am 30.11.2022
image

Neuer Huawei-Chef für die Schweiz

Michael Yang folgt auf den ehemaligen Schweiz-Chef Haitao Wang im Rahmen einer normalen Rotation. Ausserdem hat die Reorganisation in Europa keine Auswirkungen auf die Schweiz

publiziert am 30.11.2022
image

E-Mails, SMS & Co.: EU will einfacher an digitale Daten kommen

Ermittler in der EU sollen zur Verfolgung schwerer Straftaten einfacher und schneller Zugang zu elektronischen Beweismitteln bekommen – unabhängig davon, ob sie verschlüsselt sind.

publiziert am 30.11.2022 2
image

Über 10% mehr IT-Support-Stellen ausgeschrieben

IT-Stellen lassen sich derzeit nur schwer besetzen. Schweizer Firmen ohne hybride Arbeitsformen oder Homeoffice-Möglichkeit haben noch mehr Mühe, Personal zu finden.

publiziert am 30.11.2022