Selbst wenn das VBS-Budget für Cyber massiv erhöht würde, brächte das keinen Schutz. Und man braucht nicht viele Fachkenntnisse, um zu verstehen, warum die Armee das gar nicht leisten kann. Eine Erklärung für diejenigen, welche es noch nicht kapiert haben – namentlich die Rechten im Bundeshaus.
Es ist technisch unmöglich mit einer zentralen Verteidigungsorganisation die Schweizer Bevölkerung, Wirtschaft und Politik zu schützen. Denn Angriffe im Cyberraum geschehen nicht entlang von Landesgrenzen oder von Cyber-Soldaten besetzten Schutzwällen. Eine Art Schutzschirm über alle mit dem Internet verbundenen Geräte im Inland zu spannen, wäre eine total verkehrte Vorstellung. In unserer globalisierten Welt wurde das Internet – aus gutem Grund – unabhängig von Landesgrenzen gebaut. Die Online-Version dieses Artikels auf gsoa.ch wird auf einem Schweizer Server bereitgestellt – und trotzdem könntest du den Artikel online höchstwahrscheinlich nicht lesen, wenn man alle Datenkabel entlang der Landesgrenzen durchtrennen würde. Genauso würden auch die meisten anderen digitalen Alltagsanwendungen, egal ob privat oder in der Wirtschaft, ohne eine globale Internetverbindung nicht funktionieren. Das heisst: Jedes Gerät mit Internetverbindung kann aus der ganzen Welt angegriffen werden.
Wenn die Armee uns verteidigen sollte, müsste sie also auf jedem unserer Geräte einen Zugriff und Handlungsmöglichkeiten haben. Ein demokratiepolitischer Albtraum. Gleichzeitig gibt es das schon als Angebot aus der Privatwirtschaft: Es nennt sich Antivirenprogramm, z.B. das auf jedem Windows-PC vorinstallierte Microsoft Defender Antivirus. Und obwohl einige der grössten Tech-Unternehmen der Welt solche Lösungen anbieten, gibt es trotzdem täglich Hacks. Und das ist auch nicht überraschend, da eine Verteidigungs-Software immer nur reaktiv arbeitet: “So etwas habe ich schon einmal gesehen, bei einem Angriff, das blockiere ich mal.” Und dann hofft man als Person vor dem Bildschirm, dass nicht das blockiert wird, was man gerade eigentlich machen möchte.
Richtige Sicherheit muss von Anfang an bei der Architektur eines Systems einbezogen werden. Denn Computer machen nichts, was man ihnen nicht einprogrammiert hat. Wenn der Computer so programmiert wurde, dass er “Lukas Bürgi” Zugriff geben soll, und dann kommt ein Namensvetter von mir und loggt sich ein, dann ist das vielleicht ein Angriff. Vor allem aber ist es ein Programmierfehler, denn es war natürlich nicht beabsichtigt, dass alle Menschen mit dem gleichen Namen Zugriff haben sollen. Echte Beispiele sind selbstverständlich viel komplexer. Aber das Konzept ist gleich: ein Programmierer hat einen Denkfehler gemacht, und deswegen macht der Computer etwas Unbeabsichtigtes.
Es mag unrealistisch erscheinen, zu verlangen, dass die Programmierer keine Fehler machen dürfen. Aber das ist auch nicht nötig. Es müssen nur weniger Fehler sein und Fehler, die keine schlimmen Auswirkungen haben. Je weniger schlimme Fehler es gibt, desto schwieriger und teurer wird es, sie zu finden, bis es im Idealfall in der Praxis unmöglich ist, Fehler zu finden, die einen Angriff ermöglichen. Wie man selbst weniger Fehler macht und möglichst viele selbst findet, das gehört zur Ausbildung jedes Informatikers. Wie man es den Programmierern einfacher machen könnte, weniger Fehler zu machen, das erforschen staatliche und private Forscher weltweit. Und diese Forscher machen regelmässig Fortschritte.
Aber warum sollte ein Informatikunternehmen besser ausgebildete, teurere Informatiker anstellen? Warum sollte es diese für zusätzliche Zeit bezahlen, um Fehler zu vermeiden und zu finden? Warum sollte es teure Infrastruktur-Umstellungen machen, um die neuesten Forschungsergebnisse zu sicherer Software anzuwenden?
Das Unternehmen sollte das gar nicht, denn sein Ziel ist es, Gewinn zu machen, nicht die Sicherheit der Bevölkerung zu erhöhen.
Wir haben also die Wahl: Wollen wir Anreize für Unternehmen schaffen, ihre Produkte sicher zu machen, auch wenn das nicht lukrativ ist? Oder wollen wir unsere Sicherheit der Armee überlassen, die im Cyberbereich höchstens zurückschlagen und eskalieren kann, aber sicher keinen Menschen verteidigen?