Mit dem neuen Bundesamt für Cybersicherheit wollte der Bundesrat die IT-Sicherheit in der Schweiz stärken. Für den Schutz der Bundesverwaltung ist das Kompetenzzentrum jedoch nicht mehr zuständig.
Das Versprechen vor einem Jahr war klar: Der Bund will im Bereich Cybersicherheit Synergien nutzen und Kräfte bündeln. Damit begründete Bundesrätin Viola Amherd Anfang Dezember, warum das neue Bundesamt für Cybersicherheit (BACS) neu ins Verteidigungsdepartement kommt.
Inzwischen steht das BACS kurz vor dem Start. Am 1. Januar entsteht aus dem heutigen Nationalen Zentrum für Cybersicherheit (NCSC) das neue Bundesamt. Die Leitung hat der heutige Delegierte für Cybersicherheit, Florian Schütz. Von der versprochenen Bündelung der Kräfte ist inzwischen allerdings nicht mehr viel übrig. Die Kompetenzen im Bereich Cybersicherheit werden zusätzlich aufgeteilt.
Der Bundesrat hat diese Woche beschlossen, den Schutz der Bundesverwaltung vor Cyberangriffen einer neuen Stelle zu übertragen. Diese Fachstelle für Informationssicherheit kommt in das neue Staatssekretariat für Sicherheitspolitik (Sepos), welches ebenfalls auf Anfang Jahr neu im VBS entsteht – derzeit allerdings noch ohne Leitung ist.
Bund hat bisher IT-Sicherheit nicht genug kontrolliert
Neu ist die Fachstelle beispielsweise dafür zuständig, die technischen Mindestanforderungen für die IT-Sicherheit für die gesamte Bundesverwaltung zu erlassen. Sie muss auch Ausnahmen davon bewilligen oder Kontrollen organisieren. Heute kümmert sich eine Abteilung im NCSC um diese Aufgaben.
Grund für die erneute Neuorganisation der IT-Sicherheit ist ein gesamtheitlicher Ansatz. Im Staatssekretariat werden auch die Fachstellen für die Personensicherheitsprüfung und für die Betriebssicherheit angesiedelt. Sie überprüfen Personen, die auf klassifizierte Informationen zugreifen dürfen, beziehungsweise Firmen, welche sensitive Aufträge für den Bund übernehmen.
In diesem Bereich gibt es heute eine Lücke, wie auch der Fall der IT-Firma Xplain im Juni gezeigt hat. Kriminelle hatten bei Xplain Daten entwendet und im Darknet veröffentlicht. Darunter waren auch heikle Informationen der Bundesverwaltung, die Kunde von Xplain ist. Dem Vernehmen nach gab es bei den IT-Systemen von Xplain Sicherheitsmängel. Kontrolliert hat der Bund nie.
Die Fachstelle für Informationssicherheit wird sich künftig mit der Sicherheit von Zulieferfirmen beschäftigen. Dabei geht es allerdings nicht nur um technische Fragen der IT-Sicherheit, sondern zum Beispiel auch um organisatorische Vorkehrungen.
Mit der Reorganisation wird der Aufgabenbereich des Bundesamts für Cybersicherheit deutlich eingeschränkt. Es ist nur noch für den Schutz der Wirtschaft und insbesondere der kritischen Infrastrukturen zuständig. Das mühsame Erarbeiten der internen Vorgaben und administrative Aufgaben fallen weg, was für das Bundesamt auch Vorteile bringen kann.
Gleichzeitig gibt es in der Bundesverwaltung kein klares Kompetenzzentrum für Cybersicherheit mehr. Die grosse Frage ist zum Beispiel, wer im Falle eines Cyberangriffs auf den Bund oder einen Lieferanten vor die Medien tritt. Bei Xplain ist es Schütz gewesen. Künftig könnte es vielleicht der Staatssekretär für Sicherheitspolitik sein – obwohl operative IT-Sicherheit nicht das Kerngebiet eines Diplomaten wie Thomas Greminger ist, der als Anwärter für das Amt gilt.
Departemente leisten Widerstand gegen Vorgaben
Diese Konstellation weckt weitere Bedenken. Die Vorgaben zur IT-Sicherheit stossen in den Departementen und Ämtern immer wieder auf Widerstand. Dann braucht es jemand, der verwaltungsintern für das trockene und technische Thema weibelt. Ein Diplomat im Range eines Staatssekretärs scheint hier ebenfalls nicht unbedingt geeignet. Es gibt deshalb Befürchtungen, dass die neue Konstellation die IT-Sicherheit der Bundesverwaltung nicht erhöhen wird.
Das Verteidigungsdepartement ist sich bewusst, dass der Aufbau der neuen Fachstelle Zeit braucht. In den nächsten anderthalb Jahren bleibt die Verantwortung für den Schutz der Bundesverwaltung deshalb noch beim Bundesamt für Cybersicherheit. Das bedeutet allerdings auch, dass sich die zuständigen Stellen weiterhin stark mit organisatorischen Fragen beschäftigen müssen – statt sich endlich in Ruhe auf die Verbesserung der IT-Sicherheit konzentrieren zu können.
Für das neue Staatssekretariat bedeutet die neue Fachstelle für Informationssicherheit eine weitere Abwendung von der eigentlichen Aufgabe. Offiziell ist der neue Staatssekretär zwar weiterhin für Sicherheitspolitik zuständig. Aber ein Grossteil der Mitarbeiter werden sich mit Fragen der operativen Sicherheit beschäftigen.
Im VBS ist denn auch bereits die Rede von einem «Staatssekretariat für Sicherheit». Dieses soll das Kompetenzzentrum für Sicherheitspolitik sein und die umfassende Informationssicherheit des Bundes gewährleisten.