Cyber-Strategie: VBS wird Wildwuchs und Aktionismus vorgeworfen

29. Mai 2017, 15:40
  • e-government
  • schweiz
  • bundesrat
  • vbs
  • strategie
image

Braucht die Armee Nachhilfe-Unterricht in Sachen strukturiertes Vorgehen? Ja, sagen die eigenen Revisoren.

Braucht die Armee Nachhilfe-Unterricht in Sachen strukturiertes Vorgehen? Ja, sagen die eigenen Revisoren.
"Die Prüfung ergab einen gewissen Optimierungsbedarf" meint das VBS zum Bericht der Internen Revisionsstelle VBS über die Nationale Cyber-Strategie der Armee (NCS). Sehr viel deutlicher klingt es im Bericht selbst. Die "Durchhaltefähigkeit des VBS" müsse "bei längeren, grösseren oder parallelen Cyber-Angriffen" gegen die Schweiz "als gering" erachtet werden. Zu diesem Schluss kommt ein interner VBS-Bericht. Einer von mehreren Gründen für die harsche Kritik: Im VBS herrscht bezüglich Cyber-Gremien Wildwuchs.
Der Bericht der Internen Revisionsstelle VBS datiert vom September 2016, aber wurde vor wenigen Tagen im Internet veröffentlicht, wie die 'Zentralschweiz am Sonntag' und die 'Südostschweiz am Sonntag' berichteten.
Teil-Strategien und Doppelspurigkeiten
Die Revisoren stellten fest, "dass im VBS in den letzten Jahren auf strategischer Ebene verschiedene Cyber-Gremien geschaffen wurden, wobei sich bis heute keines nachhaltig etabliert hat". Sie empfahlen, im VBS-Generalsekretariat eine Koordinationsstelle Cyber-Sicherheit zu schaffen. So könnten "Synergien besser genutzt, Doppelspurigkeiten vermieden und die verschiedenen VBS-Teilstrategien besser abgeglichen werden".
Im VBS hat man diese Empfehlung teilweise umgesetzt. Eine von Bundesrat Guy Parmelin im April 2016 eingesetzte Arbeitsgruppe, die einen "Aktionsplan Cyber" erarbeite, sei zum Schluss gekommen, dass ein Koordinationsorgan "zwingend notwendig" sei, schrieb VBS-Sprecherin Karin Suini in einer Stellungnahme.
"Das Koordinationsorgan besteht seit Ende Februar 2016, wurde für die Aufarbeitung des RUAG-Vorfalles geschaffen und wird bald definitiv in den VBS-Strukturen verankert." Ob die Stelle beim Generalsekretariat angesiedelt wird, ist der Antwort Suinis nicht zu entnehmen.
Der bundeseigene Rüstungskonzern Ruag war zwischen Ende 2014 und etwa Anfang 2016 Ziel eines Cyber-Spionage-Angriffs geworden. Rund 23 Gigabyte Daten wurden entwendet. Laut dem Bund deuteten die Indizien auf Wirtschaftsspionage hin. Aber was genau von wem geklaut wurde, weiss bis heute niemand, so Melani.
Aktionsplan soll Aktionismus ablösen
Die Arbeitsgruppe Cyber hatte im Mai 2016 ihre Arbeit aufgenommen, allerdings war diese von den Mitgliedern eher dem Aktionismus verpflichtet oder als Debattierklub interpretiert worden. Zumindest lässt sich dies daraus schliessen, was die Revisoren ihr empfehlen. Die Ratschläge sind eigentlich ein Basiskurs in strukturiertem Vorgehen: Zunächst solle die Arbeitsgruppe "messbare strategischen Ziele" für die Cyber-Sicherheit, "als Konkretisierung der Cyber-Vision des Chefs VBS", verbindlich festlegen.
Schritt zwei sei die Analyse der inneren und äusseren Einflüsse. Stichwort "SWOT"-Analyse.
Als Drittes seien strategische Szenarien zu entwickeln. "Aufgrund dieser Szenarien kann der Chef VBS einen fundierten strategischen Entscheid treffen", heisst es im Bericht. Erst wenn Parmelin diesen Entscheid gefällt habe, "darf die Forderung nach mehr finanziellen und personellen Ressourcen" gestellt werden.
Fast schon paternalistisch mutet die Empfehlung vier an: Nach dem Strategieentscheid komme nämlich der "anspruchsvollste" Schritt vier … die Umsetzung. Hier gelte es "Prioritäten und Verantwortlichkeiten zu hinterlegen".
Schritt fünf sei dann, im Rahmen einer Strategiekontrolle einen "permanenten Überwachungs- und Lenkungsprozess" einzuführen.
In der Öffentlichkeit unklar ist, ob Planung, SWOT-Analysen, Priorisierung sowie Erfolgskontrollen beim VBS unüblich sind, oder nur im Cyber-Bereich dergestalt nachgebessert werden muss. Im Bericht erwidert der Nachrichtendienst des Bundes (NDB) nur, dies sei "methodisch eigentlich eine Selbstverständlichkeit und kann entsprechend kaum in Frage gestellt werden."
Die Revisoren warnten das VBS auch vor Alleingängen. Die Strategie des VBS sei nur ein Teilbereich der gesamten Cyber-Strategie des Bundes.
Zwei Budgetprozente für Abwehr von Cyber-Angriffen
Laut VBS-Sprecherin Suini werde der "Aktionsplan Cyber" voraussichtlich bis 2020 umgesetzt sein. "Die benötigen Stellen werden durch internes Personal besetzt."
Für die Abwehr von Cyberangriffen seien rund zwei Prozent des Budgets eingeplant. Bei fünf Milliarden Franken Aufwand beim VBS wären dies 100 Millionen Franken. Der Luzerner FDP-Sicherheitspolitiker Damian Müller begrüsst laut 'Zentralschweiz am Sonntag' grundsätzlich, dass die Landesregierung bei der Cyberabwehr vorwärts macht. "Allerdings reichen 100 Millionen Franken bei weitem nicht aus", sagt er.
Im Vorwort zur neuen VBS-Publikation "Military Power Revue 2017/1" schreibt Bundesrat Parmelin zum Thema Cyberattacken: "Das Departement führt mit modernen Mitteln einen harten Kampf gegen dieses Phänomen, das in den Bereichen Wirtschaft und Sicherheit einen Schaden in Milliardenhöhe verursacht."
Die Nationale Cyber-Strategie ist auf Friedenszeiten ausgelegt und schliesst den Kriegs- und Konfliktfall explizit aus. Sie soll drei Hauptziele erreichen: "Frühwarnung vor Cyber-Bedrohungen, Stärkung der Widerstandsfähigkeit der kritischen Infrastrukturen und Reduktion von Cyber-Gefahren (z.B. Cyber-Spionage und -Sabotage)."
Das Departement betont, die Armee sei weder vom Gesetzgeber beauftragt noch in der Lage, die ganze Infrastruktur der Schweiz vor Cyberangriffen zu schützen. Das VBS könne zivilen Behörden im Falle eines Angriffes gegen kritische Infrastrukturen nur Hilfe leisten. Es sei aber nicht Aufgabe des VBS, Spitäler oder Elektrizitätswerke vor Cyberangriffen zu schützen. "Der Besitzer eines Autos muss seine Bremsen und Pneus auch selbst warten", so die VBS-Sprecherin.

Loading

Mehr zum Thema

image

Kantonales Wahl-Auszählungssystem im Bug-Bounty-Test

Die Kantone Thurgau und St. Gallen lösen ihr 20 Jahre altes Wahl-Aus­zählungs­system ab. Das neue kommt ebenfalls von Abraxas und wird nun von Hackern geprüft.

publiziert am 16.5.2022
image

Cyberangriff auf Luzerner ÖV bleibt ohne grössere Folgen

Die Verkehrsbetriebe sprechen von einem "gezielten Angriff". Der Busverkehr war nicht betroffen, einzig Anzeigetafeln funktionierten nicht wie gewohnt.

publiziert am 16.5.2022
image

EU verschärft Security-Vorschriften in Schlüssel-Sektoren

Die Mitgliederstaaten und das EU-Parlament haben sich über neue Security-Vorschriften, die NIS-2 geeinigt.

publiziert am 13.5.2022
image

St. Gallen: Zu wenig Personal für effektiven Datenschutz

Die kantonale Fachstelle für Datenschutz hat viel zu tun und wird je länger je mehr auch mit "anspruchsvollen und komplexen Frage­stellungen konfrontiert".

publiziert am 12.5.2022