Ransomware-Attacken, Spionage-Versuche, Cyberangriffe auf kritische Infrastruktur, Warnungen vor IT-Herstellern. Mit den geopolitischen Entwicklungen der letzten Zeit ist auch die Gemengelage im Cyberspace und in der ICT-Security-Industrie nochmals unübersichtlicher und gefährlicher geworden. Die Situation lasse sich längst nicht mehr rein technologisch beurteilen und entschärfen, sagt Raphael Reischuk im Gespräch mit inside-it.ch. Der Mitgründer des Nationalen Testinstituts für Cybersicherheit (NTC) gibt zu bedenken, dass wirtschaftliche und politische Interessen eine grosse Rolle spielen.

Was erst wie eine Binsenweisenheit klingt, hat ernste Konsequenzen, die meist aber nicht gezogen werden. NTC-Vorstandsmitglied Reischuk zufolge ist eine davon, dass eine "Cyber-Empa" zwingend vom Staat mitgetragen werden muss. Denn sobald Hersteller auch Auftraggeber von Prüfungen seien, würden deren Geschäftsinteressen auf die Objektivität der Prüfenden drücken. Aus diesem Grund wurde beim NTC eine Beteiligung von Herstellern oder IT-Dienstleistern ausgeschlossen.

Man kennt den Interessenskonflikt von den grossen Ratingagenturen, die die finanzielle Gesundheit von Firmen, Staaten und Finanzprodukten bewerten. Die Auftraggeber von Moody's und Co. sind die jeweiligen Emittenten von Wertpapieren. Das resultierte in viel zu positiven Ratings und trug wesentlich zum Finanzcrash von 2008 bei – mit dem Wissen führender Beschäftigter bei den Agenturen, wie interne Mailkommunikation im Nachgang zeigte. In der Cybersecurity dürfe es solche Interessenskonflikte nicht geben, sagt Reischuk.

Der Bundesrat sah das noch 2021 anders. Er empfahl damals eine von 46 Nationalräten unterzeichnete Motion für eine finanzielle Beteiligung des Bundes am NTC zur Ablehnung. Die Begründung: Die ICT-Wirtschaft könne das ganz gut selbst organisieren. Cybersicherheit wird in Bundesbern noch viel zu oft als blosser Kostenfaktor betrachtet.

Der Vorstoss steht in einer der nächsten Session zur Abstimmung an. "Die geopolitische Lage hat sich seit der Antwort des Bundesrates stark zugespitzt", sagt Reischuk, der dies auch als Chance für die Schweiz sieht. Wo wenn nicht in der neutralen Schweiz könne ein Testzentrum seinen Betrieb aufnehmen, das auch international eine Rolle spiele und dem Vertrauen geschenkt werde, fragt er. Er habe nach Diskussionen viel Zuspruch aus von Stände- und Nationalräten erhalten.

Auch die Konkurrenzierung der Privatwirtschaft, die der Bundesrat befürchtet, lässt das NTC-Vorstandsmitglied nicht gelten: "Die Privatwirtschaft wird keinerlei Aufträge ausführen, für die sie heute keinen Auftrag und somit keine Finanzierung erhält." Zudem wolle man aktiv auf das Knowhow der besten Privatunternehmen in den jeweiligen Bereichen setzen, sagt Reischuk. Das NTC soll aber auch eigenes Personal erhalten. Mit der Anschubfinanzierung von rund 7,5 Millionen Franken will der Kanton Zug das Projekt vorantreiben. Es soll bis 2025 mit 30 Cybersicherheitsspezialisten ausgestattet sein.

Das NTC wünscht sich Kompetenzen. Es will neben Auftragsarbeiten aus der Privatwirtschaft selbständig kritische Infrastrukturen und Behörden unter die Lupe nehmen können. Man brauche für die Cybersicherheit ein Pendant zum Büro des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb), der selbständig aktiv werden könne, so Reischuk. Dafür braucht es aber rechtliche Grundlagen und Vorschriften sowohl für Hersteller als auch für Integratoren und Betreiber. Mit solchen Befugnissen würde die Zuger Initiative aber auch einen besonderen Status auf Bundesebene erhalten müssen. Das wirft wiederum Fragen auf.

Das NTC arbeitet eng mit dem Nationalen Zentrum für Cybersicherheit (NCSC) zusammen. Florian Schütz, Delegierter des Bundes für Cybersicherheit, tritt als Partner auf und wirbt für das Institut. Derzeit wird das NCSC zu einem Bundesamt umgebaut. Welchem Departement es zufällt, ist noch offen. Hoch gehandelt werden das Finanzdepartement, wo es heute angesiedelt ist, und das Verteidigungsdepartement (VBS), dem auch der Nachrichtendienst untersteht. Unabhängig vom Entscheid müsse sichergestellt sein, dass Schwachstellen nicht für offensive Aktionen weitergereicht und absichtlich offengelassen werden, sagt Reischuk.

Läuft aber alles nach den Absichtsbekundungen, könnte das NTC einen grossen Anteil zur Sicherheit der Schweizer – und vielleicht der internationalen – Infrastruktur leisten. Die Analysen sollen minutiös dokumentiert und 10 Jahre vertraulich beim NTC aufbewahrt werden. Entdeckte Schwachstellen will man den Herstellern melden und im Falle einer ernsten Bedrohung dem NCSC weitergeben. So sieht es ein Memorandum of Understanding vor, das im letzten Dezember publiziert wurde und das auch für Hersteller strenge Regeln für die Untersuchung vorsieht.