Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

25.09.2017
von: Lukas Häuptli - NZZ am Sonntag

Die Cyber-Abwehr des Bundes ist voller Löcher

Bei der IT-Sicherheit der Verwaltung mangle es an Konzept, Koordination und Know-how, sagen Kritiker.

Der letzte Cyber-Angriff ereignete sich diesen Sommer: Hacker versuchten, mit einer Spionage-Software in die IT-Systeme des Verteidigungs- und des Aussendepartements einzudringen. Im Juli sei der Angriff entdeckt und gestoppt worden, teilte das Verteidigungsdepartement letzte Woche mit. Vielleicht war das aber auch nur der letzte Angriff, den die Verantwortlichen des Bundes öffentlich machten. Oder der letzte, den sie bemerkten. Jedenfalls sagt ein Kadermann aus der Verwaltung: «Durchschnittlich kommt es zu vier bis fünf solchen Angriffen im Jahr.» Und eine andere gut informierte Person sagt: «Hacker greifen den Bund fast täglich an. Mal sind es professionellere Angriffe, mal weniger professionelle.»

Selbst Bundesrat Ueli Maurer (svp.) räumte letzte Woche im Ständerat ein: «Selbstverständlich gehört es zu unserem Alltag, dass wir täglich irgendwo gehackt werden, und zwar nicht nur einmal. Unsere Systeme werden laufend angegriffen.» Er schob aber sofort nach: «Die Tatsache, dass wenig passiert, ist ein Zeichen dafür, dass unsere Abwehr und unsere Leute nicht so schlecht sein können.»

«Ganz schlechtes Zeugnis»
Mit dieser Einschätzung steht Ueli Maurer allerdings eher allein da. So sagt SVP-Nationalrat Franz Grüter, der Verwaltungsratspräsident des IT-Unternehmens Green und immerhin Maurers Parteikollege ist: «Man muss der Cyber-Abwehr des Bundes ein ganz schlechtes Zeugnis ausstellen. Sie ist quasi blind auf beiden Augen.»

Ähnlich tönt es bei FDP-Ständerat Joachim Eder: «Die Cyber-Abwehr des Bundes hat zahlreiche Schwachstellen.» Und auch Bundespräsidentin Doris Leuthard (cvp.) erklärte im vergangenen Juni im Ständerat: «Wir teilen die Auffassung, dass das Thema Cyber-Sicherheit vielleicht eine Zeit lang unterschätzt wurde.»

Kritik wird aber auch in der Bundesverwaltung laut. «Es braucht mehr Cyber-Sicherheits-Spezialisten. Nur so kann man gleichzeitig vorgetragene Angriffe abwehren, die sich über mehrere Monate erstrecken», sagt der eingangs erwähnte Kadermann. Mit anderen Worten: Mit dem heutigen Personalbestand lässt sich gegen derartige Cyber-Angriffe nichts ausrichten.

Die Kritik an der löchrigen Cyber-Abwehr des Bundes, die Politiker, Beamte und Spezialisten äussern, lässt sich in vier Punkten zusammenfassen. Erstens: Der Bund hat kein Konzept im Kampf gegen Cyber-Angriffe. Zwar arbeitet er zurzeit an einer zweiten Auflage der Nationalen Cyber-Strategie. Diese soll für die Jahre 2018 bis 2023 gelten und unter anderem eine Meldepflicht für Cyber-Angriffe auf kritische Infrastrukturen wie Stromfirmen, Banken oder Atomkraftwerke vorschreiben.

Ständerat Joachim Eder sagt dazu aber: «Man wird den Eindruck nicht los, dass die Nationale Cyber-Strategie zu sehr ein Papiertiger ist.» Zwar hat Verteidigungsminister Guy Parmelin (svp.) im letzten Frühling einen Aktionsplan Cyber-Defence vorgelegt. Dieser aber gilt im Wesentlichen nur für die Abwehr in Parmelins eigenem Departement.

Zweitens: Die zahlreichen Massnahmen zur Cyber-Sicherheit sind Stückwerk. «Der Bund geht völlig unkoordiniert vor», sagt SVP-Nationalrat Franz Grüter. Jedes Departement arbeite für sich. Das zeige sich unter anderem daran, dass mehrere Departemente eigene Cyber-Beiräte eingesetzt hätten. Und ein hoher Beamter bemerkt: «Zwischen den Departementen läuft ein eigentlicher Wettbewerb, wer beim Thema ‹Cyber› führend ist.» Dazu passt, dass Teile der Cyber-Abwehr des Bundes beim Finanzdepartement, andere beim Verteidigungsdepartement und dritte bei den übrigen fünf Departementen angegliedert sind.

Drittens: Die Cyber-Abwehr des Bundes verfügt über zu wenig Fachleute. Und zu wenig qualifizierte Fachleute. Zwar hat Parmelin beschlossen, bis 2020 in diesem Bereich 100 zusätzliche Stellen zu schaffen. Davon seien bis jetzt aber erst drei besetzt, wie eine Departementssprecherin sagt. Das hat damit zu tun, dass die 100 Stellen an anderen Orten im Verteidigungsdepartement eingespart werden müssen. Und das hat damit zu tun, dass der Bund für spezialisierte IT-Security-Ingenieure nicht der allerattraktivste Arbeitgeber ist; Privatfirmen zahlen höhere Löhne.

Zu wenig sichere Software
Viertens: Der Bund hat an den entscheidenden Stellen seiner IT-Systeme zu wenig sichere Hard- und Software. «Zu diesen Stellen zählen etwa Verschlüsselungs- oder Firewall-Software», sagt der Verwaltungskadermann.

Die Verantwortlichen der Cyber-Abwehr des Bundes lassen die Kritik allerdings nicht gelten. «Bei grösseren Cyber-Angriffen findet immer eine überdepartementale Zusammenarbeit statt», sagt ein Sprecher des Finanzdepartements von Ueli Maurer. «Diese Zusammenarbeit funktioniert.» Und eine Sprecherin des Verteidigungsdepartements hält fest: «Bundesrat Guy Parmelin hat bereits nach wenigen Monaten im Amt die Wichtigkeit des Cyber-Bereichs erkannt und reagiert.» Der in der Zwischenzeit ausgearbeitete Aktionsplan Cyber-Defence sei Ausdruck davon.

Derweil erhöht das Parlament den Druck auf Bundesrat und Verwaltung. Am letzten Dienstag hat der Ständerat eine Motion von Joachim Eder mit 41 zu 4 Stimmen angenommen, mit der dieser die Schaffung eines nationalen Cyber-Security-Kompetenzzentrums fordert. Und nächste Woche ist eine Motion von FDP-Ständerat Josef Dittli für Cyber-Truppen in der Armee traktandiert.
Quelle und gesamter Artikel: nzz.ch


Security-Finder Schweiz: Newsletter