Dein Warenkorb ist gerade leer!
Das Nationale Zentrum für Cybersicherheit wechselte Anfang Jahr ins VBS. Ein grosser Teil der hochqualifizierten Angestellten hat inzwischen gekündigt, weil sie nicht bei der Armee arbeiten wollten. Ein Lehrbeispiel, wie das Militär nicht Sicherheit schafft, sondern das Gegenteil davon.
Laut der «Republik» hatten sich ursprünglich praktisch alle Bundesstellen dagegen ausgesprochen, dass das neu geschaffene Bundesamt für Cybersicherheit im VBS angesiedelt wird. Bisher war der Bereich als Nationales Zentrum für Cybersicherheit NCSC (früher: Melde- und Analysestelle Informationssicherung, Melani) dem Finanzdepartement unterstellt. Dieses Departement hatte auch im Bundesrat den Lead bei dem Thema und nahm dabei jeweils die Perspektive von Gesellschaft und Wirtschaft ein, wenn digitale Sicherheitsthemen behandelt wurden, wie die «Republik» berichtet.
Das VBS hat keinen speziell ruhmreichen Leistungsausweis, wenn es um elektronische Bedrohungen geht. Besonders blamabel war der Fall, als um das Jahr 2016 die Ruag und das VBS während mehr als einem Jahr angezapft wurden, ohne dass dies entdeckt worden wäre. Erst als ein ausländischer Partnerdienst das VBS auf diesen vermutlich russischen Angriff aufmerksam machte, erkannte die Ruag das Problem.
Dass das neue Bundesamt für Cybersicherheit schlussendlich dennoch im VBS landete, scheint ein Hinterzimmer-Deal zwischen Amherd, FDP und SVP gewesen zu sein, wie diverse Medien kolportierten: Amherd bekam für ihr Departement ein neues, gehyptes Thema und verzichtete im Gegensatz darauf, ins UVEK zu wechseln – so dass dort Rösti nun neue Autobahnen und AKWs vorantreiben, die Klimawende bremsen und Wölfe abschiessen lassen kann.
Gegensätzliche Interessen
In Fach- und Wirtschaftskreisen war man entsetzt über den Entscheid. Roger Halbheer, Chief Security Advisor bei Microsoft, schrieb laut der «Republik» auf Linkedin: «Alle (und hier wirklich alle) Exponenten der Wirtschaft, die ich kenne, haben sich gegen das VBS ausgesprochen.»
Warum ist es so ein grosses Problem, wenn die Armee für die Cybersicherheit verantwortlich ist? Cybersicherheit ist ein permanentes Katz-und-Maus-Spiel zwischen böswilligen Hackern auf der einen Seite und den Softwareherstellern und Security-Teams zahlreicher Firmen auf der anderen. Für jeden erfolgreichen Angriff auf eine professionell aufgestellte Organisation muss die attackierende Seite eine Sicherheitslücke in einer Software ausnutzen, die vorher nicht bekannt war.
Entsprechend wertvoll ist das Wissen über solche unbekannten Sicherheitslücken, sogenannte Zero-Day-Exploits. Softwarehersteller und Sicherheitskreise möchten die Lücken stopfen, Hacker, Geheimdienste und Armeen möchten sie in ihr digitales Waffenarsenal aufnehmen. Es ist deshalb nur logisch, dass ein Schweizer IT-Sicherheitsexperte in der «Republik» festhielt: «Niemand möchte freiwillig Sicherheitslücken an eine Institution melden, die beim Militär angesiedelt ist und den Geheimdienst als Nachbarn hat.»
Spezialisten wollen nicht ins VBS
Was der Bundesrat bei der Dealerei um Bundesämter und Departemente übersehen hatte: Es sind nicht Bundesrät:innen und Politiker:innen, welche sich um IT-Sicherheit kümmern, sondern Informatik-Spezialist:innen, die einem ethischen Codex folgen. Entsprechend hatten die Angestellten des NCSC bereits vorgängig bekannt gemacht, dass sie nicht ins VBS wechseln möchten. Tatsächlich hat inzwischen ein Fünftel der Belegschaft gekündigt. Beim GovCERT, der Schnell-Eingreifgruppe, die bei Angriffen auf kritische Infrastruktur zum Einsatz kommt, haben sogar zwei Drittel des Teams die Stelle aufgegeben. Gemäss SRF werden sie «in der Branche als Top-Shots mit langjähriger Erfahrung bezeichnet», sodass ihr Abgang besonders schmerzt.
Die Vorgänge sind ein weiteres Beispiel dafür, wie Sicherheit in zivilen Händen besser aufgehoben ist und wie das Militär nicht für Sicherheit sorgt, sondern die Bedrohungen verstärkt.