Für einen sicheren Internetplatz, NZZ, 26.6.2018
Gastkommentar
von Serge Droz, Stefanie Frey und Daniel Stauffacher
In der NZZ vom 6. 6. 18 berichtet der Bundeshauskorrespondent Lukas Mäder über Ansätze der Umsetzung eines parlamentarischen Vorstosses zur Schaffung eines zentralen Cyber-Security-Kompetenzzentrums. In typisch föderaler Manier und guteidgenössischer Gärtchenpflege wird um Hoheiten gestritten und ein Jekami-Modell favorisiert. Vergessen geht in der Bundesverwaltung, dass die Welt nicht schwarz oder weiss ist: Die Schaffung eines starken Kompetenzzentrums heisst nicht, dass bestehende und gut funktionierende Strukturen aufgelöst werden.
Tatsächlich besteht die Notwendigkeit für ein Kompetenzzentrum, das zentral alle Fäden zusammenführt. Beispielsweise ist der bundesrätliche Grundauftrag der Melde- und Analysestelle Informationssicherung (Melani) der Schutz kritischer IT-Infrastrukturen. Diese Aufgabe erledigt Melani trotz zum Teil erschwerten Umständen hervorragend. Herzlich wenig hilft dies jedoch KMU, die zwar in der Summe den Grossteil der wirtschaftlichen Leistung erbringen, aber einzeln keine kritische Infrastruktur sind.
Auch besitzt Melani nicht die, richtigerweise, beim EDA angesiedelte Kompetenz, spezifische Interessen bei ausländischen Partnern einzubringen. Ausserdem stoppt das Internet bekanntlich nicht an den Kantonsgrenzen. Deshalb müssen sich auch die kantonalen Akteure, die schwergewichtig für die Strafverfolgung verantwortlich sind, in einer moderierten Plattform koordinieren können.
Auch bei der Reaktion auf erfolgreiche Hackerangriffe kocht die Schweiz auf Sparflamme: GovCERT.ch, das nationale Computer Emergency Response Team des Bundes, ist zwar mit Topleuten besetzt, doch es fehlt an ausreichenden Ressourcen. Auch ist die IT-Industrie (Produktehersteller) nur ungenügend in die heutige Konstellation eingebunden. Dass heute Industrieanlagen angegriffen werden, ist kein Geheimnis mehr, es fehlt jedoch an einer spezialisierten Organisation (ICS-CERT), welche sich dieses Themas annimmt. Die Schweiz ist nicht das einzige Land, das sich gegen Bedrohungen aus dem Cyber-Raum schützen muss.
Ein Blick auf europäische Länder lohnt sich. Er zeigt, dass sich die erfolgreichen Länder entwickelt haben: von einem dem Schweizer Modell ähnlichen Konstrukt, das sich auf den Schutz kritischer Infrastrukturen konzentriert hat, zu einem System mit einem starken nationalen Cyber-Security-Zentrum. So wurden in den Niederlanden, in Grossbritannien und Finnland National Cyber Security Centers (NCSC) geschaffen, welche alle bestehenden Akteure zusammenbringen. Exemplarisch und durchaus ein Vorbild für eine mögliche Schweizer Variante ist das NCSC.nl, das alle relevanten Stakeholder durch Liaison-Officers einbindet, welche mindestens einen Tag in der Woche, quasi als ständige Gäste, im Kompetenzzentrum arbeiten. Das physische Zusammenbringen aller Akteure impliziert auch, dass relevante Information zentral zur Verfügung steht und ausgewertet werden kann. Dies ist für das in der NCS-Strategie geforderte Lagebild unabdingbar.
Wichtig ist in der Schweiz auch das Einbinden von Milizorganisationen: Hier könnte das lettische Modell Pate stehen, das zur Unterstützung der Behörden qualifizierte Freiwillige einbindet, welche ein bis zwei Tage im Monat zur Verfügung stehen. Die Schweiz ist mit solchen Arrangements bestens vertraut.
Der erwähnte parlamentarische Vorstoss zielt in die richtige Richtung. Es gilt nun, das Momentum zu nutzen, damit der Internetplatz Schweiz weiterhin zu den sichersten der Welt gehört. Und hier scheint ein NCSC an einem zentralen Ort notwendig zu sein. Von dem ewigen Gerangel der Departemente, wer denn nun die prestigeträchtige Aufgabe Cyber-Security übernehmen könnte, profitieren gemäss der Doktrin «Divide and Conquer» vor allem ausländische Nachrichtendienste und Kriminelle.
Serge Droz ist Direktor des Forum of Incident Response and Security Team; Stefanie Frey ist Geschäftsführerin von Deutor Cyber Security Solutions; Daniel Stauffacher ist Gründer und Präsident von ICT4Peace Foundation.
Im Bereich Cyber-Security besteht die Notwendigkeit der Schaffung eines integrierten Kompetenzzentrums, das alle Fäden zusammenführt.