Das «Security Operations Center» der Schweizer Armee ist aktuell nur zu «normalen Geschäftszeiten» besetzt, schreibt die interne Revisionsstelle des Verteidigungsdepartements VBS in einem neuen Bericht, der «SRF Investigativ» vorliegt. «Zur Sicherstellung eines durchgängigen 24/7-Betriebs fehlen aktuell die Ressourcen», heisst es weiter.
Stelle ist zentral für Cyberabwehr
Das «Security Operations Center» ist seit 2020 in Betrieb. Es ist unter anderem für den Schutz der Netzwerkinfrastruktur, der Server und Computer oder Handys der Armee zuständig. Die Stelle identifiziert mithilfe von Sensoren Anomalien frühzeitig, kategorisiert und triagiert sie. Für die Bewältigung und Abwehr von Cyberangriffen und den Schutz militärischer Geheimnisse ist sie zentral.
«Die Sicherheitsüberwachung der Armee detektiert Cyberangriffe auch nachts und löst entsprechende Alarme aus», schreibt ein Armeesprecher auf Anfrage. Die Reaktion auf Sicherheitsvorfälle erfolge jedoch nur tagsüber permanent. Nachts gebe es einen Pikettdienst.
Bei Grosseinsätzen der Armee, wie zum Beispiel am WEF in Davos, sei die Stelle «selektiv» durchgehend besetzt. Grundsätzlich habe die Armee aufgrund der bestehenden Bedrohungen ihre Bereitschaft im Cyberraum deutlich erhöht und tue dies auch weiterhin.
Hoher Anteil externer Mitarbeitenden
Bis 2025 will die Armee auch ausserhalb der normalen Geschäftszeiten für Cyberangriffe besser gerüstet sein. Die interne Revisionsstelle zweifelt jedoch daran, dass dieses Ziel erreicht werden kann. Sie betont in ihrem Bericht, wie schwierig es sei, auf dem hart umkämpften Arbeitsmarkt gut ausgebildete und qualifizierte Spezialisten zu finden. «Das Kommando Cyber passt sich dieser Tatsache an und nutzt zum Beispiel das Potenzial neuer Kanäle, um qualifizierte Fachkräfte für sich zu gewinnen», so die Armee auf Anfrage von SRF.
Die Ressourcenknappheit hat auch Einfluss auf den Austausch mit Cyberexpertinnen und -experten der Nato oder Nachbarstaaten. Aufgrund der Situation könne aktuell nur ein «begrenzter Nutzen» aus der Zusammenarbeit mit externen Partnern gezogen werden, schreibt die interne Revisionsstelle, die eine solche Zusammenarbeit für unverzichtbar hält.
«Die Armee beabsichtigt, die Zusammenarbeit mit Partnern auf nationaler und internationaler Stufe in den nächsten Jahren – mit den zur Verfügung stehenden Ressourcen – weiter auszubauen», kommentiert das VBS den Befund der Revisionsstelle auf Anfrage. Dasselbe strebe man auch bei den Sensoren, die Cyberangriffe frühzeitig erkennen sollen, an. Die Revisionsstelle schreibt in ihrem Bericht, der Ausbau der Sensorik komme aufgrund des Personalmangels nur schleppend voran.
Die interne Revisionsstelle sieht nicht nur die Ressourcenknappheit kritisch, sondern – ähnlich wie die Eidgenössische Finanzkontrolle – auch die Anzahl externer Mitarbeitenden. Die Revisoren befürchten, dass diese im wichtigen Bereich des Firewall Managements in einer ausserordentlichen Lage unter Umständen nicht zur Verfügung stehen. Das Firewall Management schützt das Rechnernetz des VBS vor unerwünschten Zugriffen.
Die Armee sieht keinen direkten Zusammenhang zwischen der Verfügbarkeit der Fachkräfte und ihrem Anstellungsverhältnis und schreibt auf Anfrage: «Auch Festangestellte stehen in einer ausserordentlichen Lage nicht uneingeschränkt zur Verfügung.»
