#Security: NCSC-Entscheid hat Potenzial für Kollateralschäden

8. Dezember 2022, 08:24
  • kolumne
  • switch
  • #security
  • ncsc
  • vbs
  • cybercrime
image
Martin Leuthold, Geschäftsleitungsmitglied für den Geschäftsbereich Daten, Sicherheit und Netzwerk bei der Stiftung Switch.

Am Freitag hat der Bundesrat entschieden, das aus dem NCSC entstehende Bundesamt für Cybersicherheit im VBS anzusiedeln. Weil der Bund daraus entstehende Interessenkonflikte verschweigt, sind jetzt schnell Tatbeweise des VBS nötig, kommentiert Martin Leuthold von der Stiftung Switch.

Die Schweiz hat bei der Minderung von Cyberrisiken und der Bekämpfung von Cyberkriminalität grosse Fortschritte gemacht. Dazu zählen die Gründung der Melde- und Analysestelle Informationssicherung (Melani), die erste Nationale Cybersecurity Strategie (NCS) von 2012 und vor allem die aktuell auslaufende NCS 2018-22. Wichtige Erfolgsfaktoren waren die Schaffung eines spezifischen Bundesratsausschusses, die Rekrutierung eines Delegierten des Bundesrates für Cybersecurity sowie der Aufbau des NCSC als Kompetenzzentrum. Auf dieser guten Basis könnte sich die Zusammenarbeit im Bund, die vertrauensvolle Kooperation mit der Privatwirtschaft und die systematische Sensibilisierung der Bevölkerung in den kommenden Jahren weiter beschleunigen. In Anbetracht der sich schnell entwickelnden Bedrohungslage und der Digitalisierung in Gesellschaft, Wirtschaft und Verwaltung wäre das auch zwingend notwendig.
SWITCH begrüsst den Ausbau des NCSC zu einem Bundesamt für Cybersicherheit (BACyber), weil damit dem Thema Cybersecurity im Bund grösseres Gewicht beigemessen wird. Gleichzeitig teilen wir aber auch die Meinung von Reto Vogt in seinem Kommentar zum Entscheid vom letzten Freitag: "Der Entscheid für die Überführung des NCSC ins Militärdepartement ist falsch." Wenn negative Folgen für die Weiterentwicklung der Cybersecurity in der Schweiz vermieden werden sollen, dann muss das VBS jetzt in verschiedenen Themenbereichen glaubwürdig und unabhängig von anderen Interessen im Departement agieren.

Bisher erfolgreiche Trennung der Verantwortlichkeiten ignoriert?

Bisher gliedert der Bund die Thematik rund um Cyberrisiken in drei Aufgabenbereiche: in "Cybersicherheit", "Cyberdefence" und "Cyberstrafverfolgung". So trägt er dem breiten Verständnis des komplexen Themas als gesellschafts-, wirtschafts- und sicherheitspolitische Aufgabe Rechnung. Die Gewaltentrennung in 3 verschiedenen Departemente hat sich bewährt. Sie passt zum demokratischen Grundverständnis in der Schweiz und trägt dem in der Cybersecurity zentralen Grundsatz der Segregation of Duties – der Vermeidung von Interessenkonflikten – Rechnung. Die operative Zusammenarbeit innerhalb des Bundes und mit Kompetenzzentren in der Privatwirtschaft hat sich in der Folge stark verbessert.

Betonte Synergien und ausgeblendete Interessenkonflikte

An der Medienkonferenz betonte Bundesrätin Amherd den Abbau von Schnittstellen und die Synergien mit Organisationen und Aufgaben im VBS. Bei genauerer Betrachtung der Tätigkeitsschwerpunkte des NCSC ist die Argumentation im Fall des Nachrichtendienstes des Bundes (NDB), der das Lagebild bereitstellt, noch am ehesten nachvollziehbar. Jene mit dem Bundesamt für Bevölkerungsschutz (Babs, Sektor-Risikoanalysen), der Armasuisse (Beschaffung, CYD-Campus) oder auch der Fachstelle Kryptologie sind zwar sicher vorhanden, aber aus Sicht NCSC wohl von eher untergeordneter Bedeutung.
Gleichzeitig wurde kein Wort über Interessenkonflikte im Themenbereich Cybersecurity und die Wichtigkeit einer relativen Unabhängigkeit des NCSC in solchen Interessenkonflikten verloren. Und solche Interessenkonflikte sind in kritischen Themenbereichen vorhanden. Neben dem in Reto Vogts Kommentar erwähnten Umgang mit neuen, noch unbekannten Schwachstellen in Software und Plattformen (Behebung und verantwortungsvolle Offenlegung versus Nutzung in Aufklärung oder Informationsbeschaffung) wird nicht nur in der Schweiz, sondern auch in Europa hart um den Zugang zu Chat-Informationen gerungen. Hierbei geht es um den Zugang von Strafverfolgung und Nachrichtendiensten zu verschlüsselten Messenger-Informationen. Mit Verweis auf die Bekämpfung von Kinderpornographie wird sogar die flächendeckende Vollüberwachung von Bildern auf allen Mobilgeräten gefordert.
Bei diesen Themen geht es um schwere Eingriffe in die Grundrechte der Bevölkerung und um grundlegende Fragen der IT-Sicherheit und des Datenschutzes der Internetnutzenden. Eine Trageweite, die transparente Interessenabwägungen und ausgewogene Entscheidungen zwingend erforderlich macht. Und es geht um Themen, in denen das BACyber eine grundlegend andere Haltung vertreten können muss, als der NDB oder die Strafverfolgung. Wird das in Zukunft noch möglich sein?
Wieso liegen diese Themen nicht explizit auf dem Tisch? Und weshalb werden sie nicht angesprochen, wenn der Bundesrat den Entscheid fällt, das BACyber im gleichen Departement wie den NDB anzusiedeln? Es geht nicht um die Frage eines zivilen oder militärischen Bundesamtes. Es geht vielmehr darum, dass die Governance vom gleichen Generalsekretariat und den gleichen Köpfen gesteuert wird, die sich bisher – aus nachvollziehbaren Gründen – ausschliesslich für die Interessen des NDB und der Armee eingesetzt haben.
Die ebenfalls am Freitag beschlossene Einordnung von kritischen Themen der Cybersecurity unter den Sicherheitsausschuss (SiA) des Bundesrates ist inhaltlich grundsätzlich nachvollziehbar. Dieser Ausschuss steht aber unter dem Vorsitz der Vorsteherin des VBS und nennt den Direktor des NDB als ständigen Teilnehmer (Lagedarstellung). In der für den SiA relevanten Kerngruppe Sicherheit (sicherheitspolitische Lage) sind die Direktoren von Fedpol und NDB dabei. Das NCSC beziehungsweise das künftige BACyber wird nur punktuell hinzugezogen. Damit dominieren in Fragen der Cybersecurity in Zukunft sehr einseitig die Interessen von NDB und Strafverfolgung. Damit verschärfen sich zusammen mit der Zuordnung des BACyber zum VBS die oben angesprochenen Interessenkonflikte zusätzlich.

Vertrauensvolle Zusammenarbeit als Schlüssel für Cybersecurity

Aus fachlicher Sicht ist aus oben genannten Gründen die Kombination der Entscheide des Bundesrates vom Freitag bedenklich, weil eine von NDB und Strafverfolgung unabhängige Positionierung und Sachlichkeit für die Glaubwürdigkeit des BACyber zentral sind. Auf dem Spiel steht nicht weniger als das über einen Zeitraum von mehr als 10 Jahren von Melani und dem NCSC aufgebaute Vertrauen von Wirtschaft und Bevölkerung und die darauf basierende gute Zusammenarbeit. Ein Vertrauensverlust würde auch die sehr gut etablierte und für die Cybersecurity in der Schweiz unverzichtbare operative Zusammenarbeit mit nationalen und internationalen Kompetenzzentren beeinträchtigen.
Und ohne dieses Vertrauen wird der Mehrwert der Umsetzung der in einem dritten Bundesratsentscheid vom Freitag beschlossenen Meldepflicht für Cybervorfälle durch Organisationen der kritischen Infrastrukturen in Frage gestellt sein. Eine Vorlage, die unter vorbildlichem Einbezug der betroffenen Unternehmen und Organisation erarbeitet wurde. Bei einem Vertrauensverlust in den Umgang mit den gemeldeten Informationen werden betroffene Organisationen die Kooperation auf das gesetzlich minimal notwendige Niveau beschränken.
Ausserdem besteht ein hohes Risiko, dass viele Mitarbeitende aufgrund ihrer Wertehaltung diesen Departementswechsel nicht mitmachen werden. Genau wegen der oben formulierten Fragen zu Interessenkonflikten, Governance und dem absehbaren Impact auf Glaubwürdigkeit und Vertrauen. Sie haben aber das NCSC mit hohem Engagement für die Sache zu dem breit akzeptierten Kompetenzzentrum gemacht, das es heute ist. Diese Mitarbeitenden werden in der aktuellen Lage am Arbeitsmarkt nur schwer oder gar nicht zu ersetzen sein. Sollte dieses Szenario eintreten, wird das Thema Cybersecurity zum Schaden von Bevölkerung und Wirtschaft um Jahre zurückgeworfen.

Jetzt sind Tatbeweise gefordert!

Das VBS muss jetzt alles daran setzen, über den Umgang mit oben erwähnten Risiken Transparenz zu schaffen. Es muss aufzeigen, wie ein BACyber im VBS eigenständig und glaubwürdig aufgestellt wird und auf der bestehenden Vertrauensbasis die Arbeiten zugunsten von mehr Cybersecurity in der Schweiz weiterführen kann. Wichtige Fragen und Anforderungen sind:
  • Welche Massnahmen trifft der Sicherheitsausschuss des Bundesrates, damit Entscheide bezüglich Cybersecurity in Zukunft nicht schwergewichtig von den Interessen des NDB, der Strafverfolgung und der Sicherheitspolitik geprägt werden?
  • Wie löst das VBS die auf Ebene Generalsekretariat und Geschäftsleitung entstehenden Interessenkonflikte? Und wie kann es garantieren, dass das BACyber unabhängig von Interessen des NDB und der Armee wichtige Anliegen und Positionen aus Wirtschaft und Gesellschaft unabhängig und angemessen vertreten kann?
  • Schlüsselpositionen im neuen BACyber müssen zwingend durch Personen aus dem NCSC besetzt werden, die in den vergangenen Jahren mit guter Arbeit, Einbezug und transparenter Kommunikation das Vertrauen der Wirtschaft und von nationalen und internationalen Kompetenzzentren gewonnen haben. Kontinuität muss ein zentrales Kriterium sein. Falsche Entscheide auf Management-Ebene dürften schwere Konsequenzen für die Bindung von Mitarbeitenden und das Vertrauen in die Organisation haben.
  • Wie überzeugt das VBS die Mitarbeitenden des NCSC, dass ein glaubwürdiger weiterer Auf- und Ausbau der Tätigkeiten auch im VBS möglich sein wird und wie hält es diese an Bord? Entsprechende Perspektiven, eng verknüpft mit Antworten auf die hier gestellten Fragen, muss es sehr schnell liefern.
  • Die Weiterentwicklung der Nationalen Cybersecurity Strategie ist unter vorbildlichem Einbezug der Stakeholder praktisch abgeschlossen und gut gelungen. Eine zeitnahe Verabschiedung dieser Strategie durch den Bundesrat ist wichtig, weil die aktuelle Strategie Ende 2022 ausläuft. Wichtig wird sein, die Steuerung wie geplant verwaltungsunabhängiger zu machen, unter Berücksichtigung von Fachexperten aus Wirtschaft und Wissenschaft.
  • Zeitnahe, transparente und offene Kommunikation mit allen involvierten Stakeholdern zu den hier gestellten Fragen ist kritisch.
Expertengremien und Vertretungen der ICT-Wirtschaft, der Wissenschaft und der Zivilgesellschaft werden sehr genau hinsehen, welche Entscheide jetzt im VBS gefällt werden, um die notwendige Weiterentwicklung der Cybersecurity nicht zu gefährden und den negativen Impact der getroffenen Entscheide zu minimieren.

Über den Autor:

Seit Februar 2016 leitet Martin Leuthold als Geschäftsleitungsmitglied den Geschäftsbereich Daten, Sicherheit und Netzwerk bei der Stiftung Switch und ist Mitglied des SATW Advisory Board Cybersecurity. Er twittert als @MLeuthold.

Loading

Mehr zum Thema

image

Die IT-Woche: Gute Zeiten, schlechte Zeiten

Horror, uff, nunja, okay, super… die Tags zu den Cybersecurity-Storys dieser Woche.

publiziert am 27.1.2023
image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Mgmt-Summary: Blockchain

In der Kolumne Mgmt-Summary erklärt Rafael Perez Süess Buzzwords. Heute erklärt er die Blockchain und sagt, dass niemand ein Problem hat, für das diese eine Lösung ist.

publiziert am 26.1.2023
image

Cyberkrimineller erbeutet Meldedaten fast aller Österreicher

Ein Fauxpas bei einem Wiener IT-Unternehmen machte einen grossen Datendiebstahl möglich. Die Spuren führen in die Niederlande.

publiziert am 26.1.2023