Lange Zeit war die Cyberwelt schön aufgeteilt. Es gab die Cyber-Verteidigung im VBS, die Cyber-Strafverfolgung im Justiz- und Polizeidepartement (EJPD) und die Cybersicherheit im Finanzdepartement (EFD). Die Ämter und Fachstellen tauschten sich aus. Sie waren sich auch der Grenzen bewusst. Auf höchster Ebene haben sich die drei Departemente im Cyberausschuss des Bundesrates koordiniert.
Um die Cybersicherheit zu stärken, beschloss der Bundesrat im Mai 2022 aus dem Nationalen Zentrum für Cybersicherheit ein Bundesamt zu schaffen. Damit begann der Streit darüber, wer das neue Bundesamt bekommt.
VBS-Vorsteherin Viola Amherd erklärte den Transfer ins VBS mit den Synergien, die in ihrem Departement genutzt werden könnten. Der Bundesrat löste zudem den Cyberausschuss auf und übertrug das Thema dem Sicherheitsausschuss. Dort ist das Finanzdepartement nicht mehr vertreten.
Nachrichtendienst und Cyber-Strafverfolgung sind daran interessiert, mit möglichst wenig Aufwand und Hürden möglichst schnell an viele Informationen zu gelangen.
Das führte zu Kritik aus der Privatwirtschaft. Öffentlich äussert sich Martin Leuthold von der Stiftung Switch, die selbst im Cyberbereich tätig ist. Leuthold kritisiert, es entstünden Interessenkonflikte zwischen der Cybersicherheit und den nachrichtendienstlichen Interessen. «Nachrichtendienst und Cyber-Strafverfolgung sind daran interessiert, und das ist nachvollziehbar, mit möglichst wenig Aufwand und Hürden möglichst schnell an viele Informationen zu gelangen,» sagt er.
Gesetzliche Grundlagen stellen sicher, dass wir keine Daten mit dem Nachrichtendienst teilen, die dieser nicht von uns erhalten darf.
Auf der anderen Seite stünden die Interessen der Privaten und der Privatwirtschaft, sagt Leuthold. Ihr Anliegen sei es, dass IT-Netzwerke sicher seien; dass Lücken schnell geschlossen würden. Ein Beispiel sei die Verschlüsselung in Messenger-Diensten wie Whatsapp, Signal oder Threema, wo Strafverfolgung und Nachrichtendienste gerne mitlesen und mithören würden. Private und Wirtschaft hingegen hätten Interesse an einer starken Verschlüsselung und Privatsphäre.
Verbindliche gesetzliche Grundlagen
Florian Schütz ist der Leiter des nationalen Zentrums für Cybersicherheit und zukünftiger Direktor des Bundesamtes für Cybersicherheit im VBS. Er sagt, die Kritik sei unbegründet. Es gebe gesetzliche Grundlagen, die verbindlich seien und unabhängig von der organisatorischen Zugehörigkeit gelten. «Diese stellen sicher, dass wir keine Daten mit dem Nachrichtendienst teilen, die dieser nicht von uns erhalten darf.»
Schütz betont, auch Armee und Nachrichtendienst hätten Interesse an Sicherheit, zum Beispiel zur Spionage-Abwehr. Die bisherige Trennung zwischen den drei Bereichen Sicherheit, Verteidigung und Strafverfolgung bleibe bei der Rechtsanwendung weiterhin bestehen.
Kompetenzzentrum werde geschwächt
Beobachterinnen und Fachleute stören sich an einem weiteren Entscheid des Bundesrates von Ende November. Die Verantwortung für bundesinterne Vorgaben zur Informationssicherheit werden vom heutigen NCSC in eine andere VBS-Einheit verpflanzt, nämlich in das zukünftige Staatssekretariat für Sicherheitspolitik.
Die Fachleute befürchten dadurch eine Schwächung des zukünftigen Bundesamtes für Cybersicherheit und eine Verzettelung. Immerhin stimme ihn positiv, sagt Kritiker Leuthold, dass die aktuelle Führung des NCSC ins neue Bundesamt wechsle. Diese sei sich der Problematik bewusst.
