Die Lage im Cyberspace ist bedrohlich: Kriminelle Grossbanden verschlüsseln täglich Firmennetzwerke, staatlich gelenkte Hacker:innen dringen in Systeme der Grundversorgung ein, private E-Mail-Postfächer werden mit ausgeklügelten Spamnachrichten geflutet. Angesichts dieser Entwicklung hat der Bundesrat im Frühling beschlossen, das Nationale Zentrum für Cybersicherheit (NCSC) zum Bundesamt auszubauen. Nach langem Zwist zwischen den Departementen ist nun klar: Es wird im Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) angesiedelt. Das ist ein politisch motivierter Fehlgriff, der grosse Gefahren birgt und in der Cybersecuritygemeinde für Kopfschütteln sorgt.

«Offensive» Fähigkeiten

Das zivile NCSC war bislang im Finanzdepartement untergebracht. Es kümmert sich um den Cyberschutz der Bundesverwaltung, dient aber auch als Kompetenzzentrum und Drehscheibe für Kantone, Wirtschaft, Forschung und Bevölkerung. Das Zentrum überwacht die Lage, verschickt Warnungen und fungiert im Notfall als IT-Feuerwehr. Für die grosse Aufgabenpalette ist es mit seinen rund fünfzig Beschäftigten schwach besetzt. VBS-Chefin Viola Amherd, die ihr Departement aufgewertet sehen wollte, argumentierte denn auch, das NCSC könne von den Cyberressourcen des Militärs und des Nachrichtendiensts profitieren. Beide sind in ihrem Departement untergebracht.

Das mag stimmen, aber es verweist auf die Krux des machtpolitischen Entscheids. Beim VBS will man neben Abwehr-Know-how auch umstrittene «offensive» Fähigkeiten ausbauen, um in fremde IT-Systeme einzudringen und diese auszuwerten oder lahmzulegen. Dafür muss man deren Schwachstellen kennen, was Begehrlichkeiten weckt. Werden neue Sicherheitslücken entdeckt und gemeldet, könnten diese unter Verschluss gehalten werden, um sie auszunutzen, statt sie dem Softwarehersteller für ein Sicherheitsupdate zu melden. Diese belegte Praxis von Geheimdiensten erhöht die Unsicherheit.

In einer Mitteilung zum neuen Bundesamt heisst es zwar, das Cyberzentrum werde eine zivile Einheit bleiben – aber wer kontrolliert die Prozesse? Parallel zur Integration des NCSC werden auch die militärischen Cyberfähigkeiten erweitert. So wird derzeit das sogenannte Kommando Cyber aufgebaut, in dem auch das Zentrum elektronische Operationen (ZEO) angesiedelt sein wird. Dieses führt für die Nachrichtendienste offensive Aktionen gegen feindliche Systeme durch. Es ist eine Blackbox: Aus Gründen der nationalen Sicherheit werden kaum Informationen preisgegeben.

Politische Einflussnahme

Die Kultur der Verschwiegenheit sorgt auch für grosse Vorbehalte bei IT-Sicherheitsexpert:innen, die in der Regel ungern mit Militär und Geheimdienst zusammenarbeiten. Dabei sind ihre Fähigkeiten für sicherere IT-Infrastruktur essenziell. Techkonzerne wie Microsoft und Google investieren Milliarden in die Cybersicherheit, und sie betreiben viele Systeme. Erst im September hat der Bund Verträge über 110 Millionen Franken mit den grossen Cloudanbietern unterzeichnet. Ohne diese geht gar nichts in der Cybersicherheit, geopolitische Interessen und Geheimniskrämerei sorgen aber für Konflikte.

Dies zeigte sich kürzlich, als das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) offiziell vor der Antivirensoftware des russischen Herstellers Kaspersky warnte. Ein Journalist:innenkollektiv deckte auf, dass die technisch umstrittene Warnung politischer Natur war. Das BSI war 1991 aus dem Bundesnachrichtendienst (BND) hervorgegangen, konkret aus einer Dienstabteilung, die über die Zuger Crypto AG knackbare Verschlüsselungen in die Welt geliefert hatte, um mitzuhören.

Das BSI ist bis heute mit dem Bundesnachrichtendienst dem deutschen Innenministerium unterstellt – eine Konstellation, wie sie die Schweiz mit ihrem neu geschaffenen Pendant praktisch kopiert. Wie genau das neue Bundesamt ausgestaltet wird, soll bis im März 2023 entschieden werden. Das wird einen ersten Hinweis darauf geben, ob die Schweiz ein Bundesamt für Cybersicherheit erhalten wird – oder eines für kalkulierte Cyberunsicherheit.

Thomas Schwendener ist Redaktor des Fachmagazins «Inside IT».