Die Schweiz hat im Kampf gegen Cyber-Kriminalität 20 Jahre Rückstand, glaubt der Computerwissenschaftler und Professor an der ETH Lausanne, Edouard Bugnion. Er kritisiert die ablehnende Haltung des Bundesrates gegenüber einem eigenen Bundesamt für Cybersicherheit.
SVP-Nationalrat Franz Grüter (LU) hatte in einer Motion die Schaffung «eines Cyber-Kommandos innerhalb der Armeestrukturen» oder sogar eines eigenen Bundesamtes im Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) gefordert. Der Bundesrat empfahl die Motion in seiner Antwort vom vergangenen Mittwoch zur Ablehnung.
Angesichts der Entwicklung der Bedrohungslage müssten die Fähigkeiten im Cyber-Bereich zwar gestärkt werden. Doch die verschiedenen Behörden müssten den Schutz in ihren Zuständigkeitsbereichen selber wahrnehmen. Die finanziellen und personellen Ressourcen könnten nicht in ein solches Cyber-Kommando ausgegliedert werden.
Für Bugnion ist dieser Entscheid alles andere als «visionär», wie er am Sonntag im Interview gegenüber der Westschweizer Zeitung «Le Matin Dimanche» sagte. Er zeuge von der «reaktionären» Einstellung der Schweiz gegenüber Cyber-Angriffen.
Technisches Wissen fehlt
Zur Zeit seien die Behörden von kommerziellen Lösungen abhängig. «Der Bund verfügt nicht über das nötige technologische Fachwissen, um neue Sicherheitslücken selber aufzudecken oder zu antizipieren», sagte der Experte. Doch um sich wirklich verteidigen und seine Unabhängigkeit garantieren zu können, müsse man die technischen Grundlagen der Angriffe verstehen.
Die USA, Israel oder Russland seien da schon viel weiter. Und auch Deutschland habe soeben ein Zentrum für Cybersicherheit gegründet. Obwohl die Schweiz über genügend kompetente Experten verfüge, würden keinerlei Anstrengungen unternommen, um die Probleme bereits im Vorfeld aufzudecken. Es sei aber dringend notwendig, dass das Land an der Forschung und Innovation in diesem Bereich teilnehme.
Massnahmen gefordert
Auch der Schweizer Stromnetzbetreiber Swissgrid äusserte sich zu diesem Problem. Die Möglichkeiten der staatlichen Melde- und Analysestelle Informationssicherheit (MELANI) des Bundes seien eingeschränkt, sagte Patrick Mauron, Sprecher von Swissgrid. Er bestätigte damit eine Meldung in der «NZZ am Sonntag».
«Wir würden es begrüssen, wenn bei MELANI mehr Kapazitäten für die Frühwarnung und für die Unterstützung bei komplexen Cyberangriffen zu Verfügung stünden», sagte Mauron. Die Cyberkriminalität habe längst die Betreiber von kritischen Infrastrukturen erreicht. Diese müssten besser vor Hackern geschützt werden.
Sinnvoll wären gemäss Mauron verbindliche Mindeststandards in kritischen Sektoren und eine gesetzliche Meldepflicht bei sicherheitsrelevanten Ereignissen.
Der Vorschlag von Mindeststandards stösst bei MELANI auf offene Ohren. Derzeit würden diese in einzelnen Branchen diskutiert, bestätigte Max Klaus, stellvertretender Leiter von MELANI, auf Anfrage. Zum Beispiel im Energiesektor seien Bestrebungen im Gange.
Gegenüber einer allgemeinen Meldepflicht zeigt sich MELANI zurückhaltend. Zwar gebe es zum Beispiel für den Finanzplatz und in der Telekommunikationsbranche Vorgaben, wie die Bundesstelle über Vorfälle informiert werden muss. Eine allgemeine Meldepflicht sei aber nicht vertieft geprüft worden, sagte Klaus.