Der Entscheid, das neue Bundesamt für Cybersicherheit im Verteidigungsdepartement anzusiedeln, war umstritten. Bundesrätin Amherd argumentierte mit Synergien. Eine Bilanz.
Der Bundesrat diskutierte vor zwei Jahren über die zivile Cybersicherheit. Dabei kam es zum grossen Versprechen: Das Verteidigungsdepartement (VBS) könne Bevölkerung, Wirtschaft und Behörden dank Synergien am effektivsten vor Cyberbedrohungen schützen. Die VBS-Chefin Viola Amherd argumentierte deshalb dafür, das neue Bundesamt für Cybersicherheit ihrem Departement zuzuordnen.
Der Bundesrat liess sich überzeugen. Im Dezember 2022 entschied er, das neue Bundesamt im VBS anzusiedeln. Seit Anfang 2024 steht die neue Organisationsform. Doch von den versprochenen Synergien ist bis jetzt wenig zu sehen. Im Gegenteil. Das Bundesamt für Cybersicherheit (Bacs) steht geschwächt da.
Die Schwächung hat auch mit der doppelten Transformation zu tun: Das Nationale Zentrum für Cybersicherheit (NCSC) wurde zu einem eigenständigen Bundesamt und wechselte vom Finanzdepartement ins VBS. Die Umstrukturierung erklärt aber nur einen Teil der Schwierigkeiten. Zusätzlich ist auch keine Strategie des VBS im Bemühen erkennbar, die zivile Cybersicherheit tatsächlich – wie versprochen – zu stärken.
Ein Grund für die Orientierungslosigkeit könnte das Missverständnis sein, dass die Armee die Schweiz vor Cyberangriffen schützen könne. Das kann sie aber nicht. Diesem Irrtum erlag Amherd schon vor Jahren. Der Armee fehlen nicht nur die rechtlichen Grundlagen. Es wäre zudem technisch kaum praktikabel und von der Wirtschaft wohl auch nicht gewünscht.
Amherd bekam kein umfassendes Staatssekretariat
Als 2022 die Diskussion über ein neues Bundesamt für zivile Cybersicherheit begann, plädierte das VBS anfangs für eine Zentralisierung der Aufgaben. Das neue Amt hätte zum Beispiel auch sicherheitspolitische Funktionen oder die Lagedarstellung übernehmen sollen. Damals gab es gar Pläne für ein umfassendes Staatssekretariat für Sicherheit, in dem neben der zivilen Cybersicherheit auch der Bevölkerungsschutz und Teile des Nachrichtendienstes Platz gefunden hätten.
Nach Widerstand aus anderen Departementen schwenkte das VBS um und sprach sich für eine neutralere, stärker technische Rolle des künftigen Bundesamts aus, wie sie der Bundesrat dann im Dezember 2022 auch beschloss. Das später geschaffene Staatssekretariat für Sicherheitspolitik fiel entsprechend schlanker aus.
Die Aussicht darauf, dass die zivile Cybersicherheit ins VBS wechseln könnte, sorgte bereits im Vorfeld des Entscheids für Skepsis. IT-Sicherheits-Experten misstrauten der Nähe zu Armee und Nachrichtendienst, da diese selbst offensive Cyberoperationen durchführen, was im Extremfall zu Interessenkonflikten führen könnte.
Solche Vorbehalte gegenüber dem VBS gab es auch innerhalb des NCSC, was zu mehreren Kündigungen führte. Besonders stark waren diese im GovCert, jenem technischen Team des Bundes, das zum Beispiel den Bund oder kritische Infrastrukturen bei Cyberangriffen unterstützt. Fast die gesamte Belegschaft des GovCert von rund acht Personen verliess 2023 den Bund.
Zu einem weiteren Dämpfer für das Bundesamt für Cybersicherheit kam es Ende 2023, kurz bevor es offiziell im VBS seinen Betrieb aufnahm. Der Bundesrat entzog ihm die Verantwortung für die Cybersicherheit in der Bundesverwaltung. Dadurch wurde das Amt zu einer rein unterstützenden Organisation für die kritischen Infrastrukturen der Schweiz.
Kaum Geld für den Schutz der Schweiz
Nach einem Jahr des Bestehens bleibt der Eindruck, dass das Bundesamt für Cybersicherheit im VBS keine besonders hohe Priorität geniesst. Das Amt muss mit minimalem Budget auskommen. 2024 hatte es gerade einmal 13,3 Millionen Franken zur Verfügung – wenig Geld angesichts der Wichtigkeit des Themas. Für 2025 wurde das Budget leicht auf 16,1 Millionen erhöht.
Dafür, dass die Mittel beschränkt sind, hat das Bundesamt für Cybersicherheit im ersten Jahr jedoch gute Arbeit geleistet. Das habe stark mit dem Amtsdirektor Florian Schütz zu tun, sagt Gerhard Andrey, Nationalrat der Grünen und selbst IT-Unternehmer. «Schütz weiss, wovon er spricht, und er ist gut im Umgang mit den verschiedenen Anspruchsgruppen.»
Sich öffentlich über zu wenige Mittel für sein Amt zu beklagen, ist nicht die Art von Schütz. Umso mehr lassen seine Worte im Jahresbericht vom Freitag aufhorchen: Er erhoffe sich, «dass die Politik möglichst klare Vorgaben darüber macht», welche Leistungen von seinem Amt erwartet würden und «auf welche Ressourcen wir dabei zurückgreifen dürfen». Ein Amtsdirektor, der mit seinen politischen Rahmenbedingungen zufrieden ist, klingt anders.
Im Parlament zeichnet sich nun eine parteiübergreifende Allianz für eine Budgeterhöhung des Bundesamts für Cybersicherheit ab. Gleich zwei Vorstösse verlangen innert zwei Jahren die Verdoppelung des Budgets auf 31 Millionen Franken.
Doch Geld allein reicht nicht. Was dem VBS unter Amherd fehlte, war eine Strategie für die Cybersicherheit. Zwar gelang es der abtretenden Verteidigungsministerin, das Bundesamt in ihr Departement zu holen, doch danach herrschte – so der Eindruck – eher Ratlosigkeit.
Andrey zählt nun darauf, dass Bundesrat Martin Pfister als neuer VBS-Vorsteher eine Vision hat, wie der Bund den Cyberbereich weiterentwickeln muss. Mit der verstärkten Bedrohung durch Russland und der verschärften Sicherheitslage weltweit reicht der Status quo nicht aus.
