Zum Inhalt springen

Bundesamt für Cybersicherheit Dreigeteilte Cyber-Sicherheitswelt ist bedroht

Hintergrund der Abgänge der Cybersicherheitsspezialisten beim Bund ist die Integration ins VBS. Diese ist umstritten.

Lange Zeit war die Cyberwelt schön aufgeteilt. Es gab die Cyber-Verteidigung im VBS, die Cyber-Strafverfolgung im Justiz- und Polizeidepartement (EJPD) und die Cybersicherheit im Finanzdepartement (EFD). Die Ämter und Fachstellen tauschten sich aus. Sie waren sich auch der Grenzen bewusst. Auf höchster Ebene haben sich die drei Departemente im Cyberausschuss des Bundesrates koordiniert.

Drei Aufgabenbereiche, drei Interessen

Box aufklappen Box zuklappen
  • Der Nachrichtendienst und die Armee im VBS wollen in Netze eindringen, Verschlüsselungen knacken und ausspionieren können, bei einer Bedrohung gar feindliche Server ausschalten können. Die Armee will ihre eigenen Waffensysteme vor Cyberangriffen schützen.
  • Die Cyber-Strafverfolgung im EJPD will Cyberkriminelle im Netz dingfest machen, identifizieren, überwachen, Beweise sammeln. Und festnehmen.
  • Die Cyber-Sicherheitsfachleute im Nationalen Zentrum für Cybersicherheit NCSC im Finanzdepartement sind für die Prävention verantwortlich; dass Bund, wichtige Infrastruktur-Betreiber, Private und Firmen ihre Netzwerke genügend schützen, damit diese nicht gehackt werden können.

Um die Cybersicherheit zu stärken, beschloss der Bundesrat im Mai 2022 aus dem Nationalen Zentrum für Cybersicherheit ein Bundesamt zu schaffen. Damit begann der Streit darüber, wer das neue Bundesamt bekommt.

«Republik»-Recherche: Geschicktes VBS-Lobbying

Box aufklappen Box zuklappen

Die Tech-Journalistin beim Magazin « Republik », Adrienne Fichter, recherchierte, wie es dazu kam, dass das neue Bundesamt für Cybersicherheit im Verteidigungsdepartement landete. Es sei ein geschicktes Lobbying gewesen, in einer Phase, als zwei Rücktritte aus dem Bundesrat bekannt wurden, kommt sie zum Schluss.

Eine erste Ämterkonsultation habe nämlich gezeigt, dass das neue Bundesamt im Finanzdepartement hätte verbleiben sollen. Das zeigten Dokumente, die die Republik dank des Öffentlichkeitsgesetzes einsehen konnte. Bei der zweiten Ämterkonsultation hätten sich dann einige Ämter nicht mehr beteiligt. «Eine knappe Mehrheit im Bundesrat fand darauf, das neue Bundesamt gehöre in das VBS,» sagt Fichter.

VBS-Vorsteherin Viola Amherd erklärte den Transfer ins VBS mit den Synergien, die in ihrem Departement genutzt werden könnten. Der Bundesrat löste zudem den Cyberausschuss auf und übertrug das Thema dem Sicherheitsausschuss. Dort ist das Finanzdepartement nicht mehr vertreten.

 Nachrichtendienst und Cyber-Strafverfolgung sind daran interessiert, mit möglichst wenig Aufwand und Hürden möglichst schnell an viele Informationen zu gelangen.
Autor: Martin Leuthold IT-Fachexperte


Das führte zu Kritik aus der Privatwirtschaft. Öffentlich äussert sich Martin Leuthold von der Stiftung Switch, die selbst im Cyberbereich tätig ist. Leuthold kritisiert, es entstünden Interessenkonflikte zwischen der Cybersicherheit und den nachrichtendienstlichen Interessen. «Nachrichtendienst und Cyber-Strafverfolgung sind daran interessiert, und das ist nachvollziehbar, mit möglichst wenig Aufwand und Hürden möglichst schnell an viele Informationen zu gelangen,» sagt er.

Gesetzliche Grundlagen stellen sicher, dass wir keine Daten mit dem Nachrichtendienst teilen, die dieser nicht von uns erhalten darf.
Autor: Florian Schütz Zukünftiger Direktor Bundesamt für Cybersicherheit

Auf der anderen Seite stünden die Interessen der Privaten und der Privatwirtschaft, sagt Leuthold. Ihr Anliegen sei es, dass IT-Netzwerke sicher seien; dass Lücken schnell geschlossen würden. Ein Beispiel sei die Verschlüsselung in Messenger-Diensten wie Whatsapp, Signal oder Threema, wo Strafverfolgung und Nachrichtendienste gerne mitlesen und mithören würden. Private und Wirtschaft hingegen hätten Interesse an einer starken Verschlüsselung und Privatsphäre.

Verbindliche gesetzliche Grundlagen

Florian Schütz ist der Leiter des nationalen Zentrums für Cybersicherheit und zukünftiger Direktor des Bundesamtes für Cybersicherheit im VBS. Er sagt, die Kritik sei unbegründet. Es gebe gesetzliche Grundlagen, die verbindlich seien und unabhängig von der organisatorischen Zugehörigkeit gelten. «Diese stellen sicher, dass wir keine Daten mit dem Nachrichtendienst teilen, die dieser nicht von uns erhalten darf.»

Ein Monitor der gehac
Legende: Die pro-russische Hackergruppe NoName bekannte sich auf dem Nachrichtendienst Telegram zum Hackerangriff auf die Website des Bundesamtes für Polizei im Sommer 2023. Keystone/Stringer

Schütz betont, auch Armee und Nachrichtendienst hätten Interesse an Sicherheit, zum Beispiel zur Spionage-Abwehr. Die bisherige Trennung zwischen den drei Bereichen Sicherheit, Verteidigung und Strafverfolgung bleibe bei der Rechtsanwendung weiterhin bestehen.

Kompetenzzentrum werde geschwächt

Beobachterinnen und Fachleute stören sich an einem weiteren Entscheid des Bundesrates von Ende November. Die Verantwortung für bundesinterne Vorgaben zur Informationssicherheit werden vom heutigen NCSC in eine andere VBS-Einheit verpflanzt, nämlich in das zukünftige Staatssekretariat für Sicherheitspolitik.

Die Fachleute befürchten dadurch eine Schwächung des zukünftigen Bundesamtes für Cybersicherheit und eine Verzettelung. Immerhin stimme ihn positiv, sagt Kritiker Leuthold, dass die aktuelle Führung des NCSC ins neue Bundesamt wechsle. Diese sei sich der Problematik bewusst. 

Rendez-vous, 7.12.2023, 12:30 Uhr

Meistgelesene Artikel