SWITCH begrüsst den Ausbau des NCSC zu einem Bundesamt für Cybersicherheit (BACyber), weil damit dem Thema Cybersecurity im Bund grösseres Gewicht beigemessen wird. Gleichzeitig teilen wir aber auch die Meinung von Reto Vogt in seinem Kommentar zum Entscheid des Bundesrates: Der Entscheid für die Überführung des NCSC ins Militärdepartement ist falsch. Wenn negative Folgen für die Weiterentwicklung der Cybersecurity in der Schweiz vermieden werden sollen, dann muss das VBS jetzt in verschiedenen Themenbereichen glaubwürdig und unabhängig von anderen Interessen im Departement agieren.
Bisher erfolgreiche Trennung der Verantwortlichkeiten ignoriert?
Bisher gliedert der Bund die Thematik rund um Cyberrisiken in drei Aufgabenbereiche: in «Cybersicherheit», «Cyberdefence» und «Cyberstrafverfolgung». So trägt er dem breiten Verständnis des komplexen Themas als gesellschafts-, wirtschafts- und sicherheitspolitische Aufgabe Rechnung. Die Gewaltentrennung in drei verschiede Departemente hat sich bewährt. Sie passt zum demokratischen Grundverständnis in der Schweiz und trägt dem in der Cybersecurity zentralen Grundsatz der Segregation of Duties – der Vermeidung von Interessenkonflikten – Rechnung. Die operative Zusammenarbeit innerhalb des Bundes und mit Kompetenzzentren in der Privatwirtschaft hat sich in der Folge stark verbessert.
Betonte Synergien und ausgeblendete Interessenkonflikte
An der Medienkonferenz hat Bundesrätin Amherd den Abbau von Schnittstellen und die Synergien mit Organisationen und Aufgaben im VBS betont. Bei genauerer Betrachtung der Tätigkeitsschwerpunkte des NCSC ist die Argumentation im Fall des Nachrichtendienstes des Bundes (NDB), der das Lagebild bereitstellt, noch am ehesten nachvollziehbar. Jene mit dem Bundesamt für Bevölkerungsschutz (BABS, Sektor-Risikoanalysen), der armasuisse (Beschaffung, CYD-Campus) oder auch der Fachstelle Kryptologie sind zwar sicher vorhanden, aber aus Sicht NCSC wohl von eher untergeordneter Bedeutung.
Gleichzeitig wurde kein Wort über Interessenkonflikte im Themenbereich Cybersecurity und die Wichtigkeit einer relativen Unabhängigkeit des NCSC in solchen Interessenkonflikten verloren. Und solche Interessenkonflikte sind in kritischen Themenbereichen vorhanden. Neben dem in Reto Vogts Kommentar erwähnten Umgang mit neuen, noch unbekannten Schwachstellen in Software und Plattformen (Behebung und verantwortungsvolle Offenlegung versus Nutzung in Aufklärung oder Informationsbeschaffung) wird nicht nur in der Schweiz, sondern auch in Europa hart um den Zugang zu Chat-Informationen gerungen. Hierbei geht es um den Zugang von Strafverfolgung und Nachrichtendiensten zu verschlüsselten Messenger-Informationen. Mit Verweis auf die Bekämpfung von Kinderpornographie wird sogar die flächendeckende Vollüberwachung von Bildern auf allen Mobilgeräten gefordert.
Bei diesen Themen geht es um schwere Eingriffe in die Grundrechte der Bevölkerung und um grundelegende Fragen der IT-Sicherheit und des Datenschutzes der Internetbenutzenden. Eine Trageweite, die transparente Interessenabwägungen und ausgewogene Entscheidungen zwingend erforderlich macht. Und es geht um Themen, in denen das BACyber eine grundlegend andere Haltung vertreten können muss als der NDB oder die Strafverfolgung. Wird das in Zukunft noch möglich sein?
Wieso liegen diese Themen nicht explizit auf dem Tisch? Und weshalb werden sie nicht angesprochen, wenn der Bundesrat den Entscheid fällt, das BACyber im gleichen Departement wie den NDB anzusiedeln? Es geht nicht um die Frage eines zivilen oder militärischen Bundesamtes. Es geht vielmehr darum, dass die Governance vom gleichen Generalsekretariat und den gleichen Köpfen gesteuert wird, die sich bisher – aus nachvollziehbaren Gründen – ausschliesslich für die Interessen des NDB und der Armee eingesetzt haben.
Die ebenfalls an diesem Freitag beschlossene Einordnung von kritischen Themen der Cybersecurity unter den Sicherheitsausschuss (SiA) des Bundesrates ist inhaltlich grundsätzlich nachvollziehbar. Dieser Ausschuss steht aber unter dem Vorsitz der Vorsteherin des VBS und nennt den Direktor des NDB als ständigen Teilnehmer (Lagedarstellung). In der für den SiA relevanten Kerngruppe Sicherheit (sicherheitspolitische Lage) sind die Direktoren von fedpol und NDB dabei. Das NCSC bzw. das künftige BACyber wird nur punktuell hinzugezogen. Damit dominieren in Fragen der Cybersecurity in Zukunft sehr einseitig die Interessen von NDB und Strafverfolgung. Damit verschärfen sich zusammen mit der Zuordnung des BACyber zum VBS die oben angesprochenen Interessenkonflikte zusätzlich.
Vertrauensvolle Zusammenarbeit als Schlüssel für Cybersecurity
Aus fachlicher Sicht ist aus oben genannten Gründen die Kombination der Entscheide des Bundesrates vom Freitag bedenklich, weil eine von NDB und Strafverfolgung unabhängige Positionierung und Sachlichkeit für die Glaubwürdigkeit des BACyber zentral sind. Auf dem Spiel steht nicht weniger als das über einen Zeitraum von mehr als zehn Jahren von MELANI und dem NCSC aufgebaute Vertrauen von Wirtschaft und Bevölkerung und die darauf basierende gute Zusammenarbeit. Ein Vertrauensverlust würde auch die sehr gut etablierte und für die Cybersecurity in der Schweiz unverzichtbare operative Zusammenarbeit mit nationalen und internationalen Kompetenzzentren beeinträchtigen.
Und ohne dieses Vertrauen wird der Mehrwert der Umsetzung der in einem dritten Bundesratsentscheid an diesem Freitag beschlossenen Meldepflicht für Cybervorfälle durch Organisationen der kritischen Infrastrukturen in Frage gestellt sein. Eine Vorlage, die unter vorbildlichem Einbezug der betroffenen Unternehmen und Organisation erarbeitet wurde. Bei einem Vertrauensverlust in den Umgang mit den gemeldeten Informationen werden betroffene Organisationen die Kooperation auf das gesetzlich minimal notwendige Niveau beschränken.
Ausserdem besteht ein hohes Risiko, dass viele Mitarbeitende aufgrund ihrer Wertehaltung diesen Departementswechsel nicht mitmachen werden. Genau wegen der oben formulierten Fragen zu Interessenkonflikten, Governance und dem absehbaren Impact auf Glaubwürdigkeit und Vertrauen. Sie haben aber das NCSC mit hohem Engagement für die Sache zu dem breit akzeptierten Kompetenzzentrum gemacht, das es heute ist. Diese Mitarbeitenden werden in der aktuelle Lage am Arbeitsmarkt nur schwer oder gar nicht zu ersetzen sein. Sollte dieses Szenario eintreten, wird das Thema Cybersecurity zum Schaden von Bevölkerung und Wirtschaft um Jahre zurückgeworfen.
Jetzt sind Tatbeweise gefordert!
Das VBS muss jetzt alles daran setzen, über den Umgang mit oben erwähnten Risiken Transparenz zu schaffen. Es muss aufzeigen, wie ein BACyber im VBS eigenständig und glaubwürdig aufgestellt wird und auf der bestehenden Vertrauensbasis die Arbeiten zugunsten von mehr Cybersecurity in der Schweiz weiterführen kann. Wichtige Fragen und Anforderungen sind:
- Welche Massnahmen trifft der Sicherheitsausschuss des Bundesrates, damit Entscheide bezüglich Cybersecurity in Zukunft nicht schwergewichtig von den Interessen des NDB, der Strafverfolgung und der Sicherheitspolitik geprägt werden?
- Wie löst das VBS die auf Ebene Generalsekretariat und Geschäftsleitung entstehenden Interessenkonflikte, und wie kann es garantieren, dass das BACyber unabhängig von Interessen des NDB und der Armee wichtige Anliegen und Positionen aus Wirtschaft und Gesellschaft unabhängig und angemessen vertreten kann?
- Schlüsselpositionen im neuen BACyber müssen zwingend durch Personen aus dem NCSC besetzt werden, die in den vergangenen Jahren mit guter Arbeit, Einbezug und transparenter Kommunikation das Vertrauen der Wirtschaft und von nationalen und internationalen Kompetenzzentren gewonnen haben. Kontinuität muss ein zentrales Kriterium sein. Falsche Entscheide auf Management-Ebene dürften schwere Konsequenzen für die Bindung von Mitarbeitenden und das Vertrauen in die Organisation haben.
- Wie überzeugt das VBS die Mitarbeitenden des NCSC, dass ein glaubwürdiger weiterer Auf- und Ausbau der Tätigkeiten auch im VBS möglich sein wird und wie hält es diese an Bord? Entsprechende Perspektiven, eng verknüpft mit Antworten auf die hier gestellten Fragen, muss es sehr schnell liefern.
- Die Weiterentwicklung der Nationalen Cybersecurity Strategie ist unter vorbildlichem Einbezug der Stakeholder praktisch abgeschlossen und gut gelungen. Eine zeitnahe Verabschiedung dieser Strategie durch den Bundesrat ist wichtig, weil die aktuelle Strategie Ende 2022 ausläuft. Wichtig wird sein, die Steuerung wie geplant verwaltungsunabhängiger zu machen unter Berücksichtigung von Fachexperten aus Wirtschaft und Wissenschaft.
- Zeitnahe, transparente und offene Kommunikation mit alle involvierten Stakeholdern zu den hier gestellen Fragen ist kritisch.
Expertengremien und Vertretungen der ICT-Wirtschaft, der Wissenschaft und der Zivilgesellschaft werden sehr genau hinsehen, welche Entscheide jetzt im VBS gefällt werden, um die notwenige Weiterentwicklung der Cybersecurity nicht zu gefährden und den negativen Impact der getroffenen Entscheide zu minimieren.
