Maurer Ueli · Bundesrat · 2017-09-19
Maurer Ueli · Bundesrat · Zürich · 2017-09-19
Wortprotokoll
Ich habe hier offensichtlich einen schweren Stand mit der Haltung des Bundesrates. Ich möchte aber doch einiges zu unserer aktuellen Situation sagen, denn ich bin klar der Meinung, dass Sie das, was wir machen, massiv unterschätzen. Dass wir so schlecht sind und nichts machen - so tönte es jetzt ein bisschen -, trifft nicht zu. Nehmen wir Melani: Das ist zwar ein harmloser Name, aber im Grunde genommen ist Melani der Kern eines Kompetenzzentrums. Hier ist sehr viel Erfahrung zusammengekommen.
Wir müssen uns schon im Klaren darüber sein: In der Cyberabwehr geht es nicht um Quantität, sondern um Qualität. Selbstverständlich gehört es zu unserem Alltag, dass wir täglich irgendwo gehackt werden, und zwar nicht nur einmal, sondern unsere Systeme werden laufend angegriffen, wie das in der Privatwirtschaft auch der Fall ist. Die Tatsache, dass wenig passiert, ist auch ein Zeichen dafür, dass unsere Abwehr und unsere Leute nicht so schlecht sein können.
Zur Frage der Zusammenarbeit mit den Hochschulen, die Sie aufgeworfen haben, muss ich Ihnen sagen, dass sie im Alltag funktioniert: Auf dieser Stufe haben wir, wenn auch vielleicht nicht mit den beiden Rektoren, eine ordentliche Zusammenarbeit. Wir haben auch eine entsprechende Arbeitsgruppe, die Sie damals mit der Motion Rechsteiner Paul 13.3841 bewilligt haben. Hier sind sämtliche technischen Hochschulen und Universitäten dabei. Mit diesen erarbeiten wir zurzeit Massnahmen in Bezug auf die Sicherheit. Da sind wir daran, und der Bericht wird Anfang des nächsten Jahres abgeliefert.
Wir haben diese Expertengruppe auch in Bezug auf die Prüfung unserer Abwehrmassnahmen nach erfolgten Hackerangriffen einbezogen. Wir haben also diesen Experten unterbreitet, was wir gemacht haben, und die kamen zusammengefasst zum Schluss: Okay, das habt ihr gut gemacht! Sie haben unsere Empfehlungen nur in einigen Punkten noch etwas präzisiert. Diese Zusammenarbeit mit den Hochschulen, die Sie bemängeln, funktioniert meiner Meinung nach recht gut. Auch ich habe Kontakte mit entsprechenden Leuten der Hochschulen, um mich auszutauschen.
Auch wenn ich es international vergleiche, komme ich zum Schluss, dass wir nicht so schlecht sind. Ich war vor zwei Wochen in Israel und habe mir die Sache angeschaut. Dort ist die Zusammenarbeit mit der Armee ein wesentliches Element. Da müssen wir uns nicht verstecken, habe ich das Gefühl. Ich werde in zwei Wochen in Estland sein und mir die Sache anschauen. Dort findet eine Konferenz statt, auch ein Austausch mit anderen. Wir kommen eigentlich immer wieder zum Schluss, wenn wir uns international vergleichen, dass wir zwar eine beschränkte Zahl an Leuten haben, dass wir aber im internationalen Vergleich eine gute Qualität in dieser Abwehr haben.
Es ist eine Tatsache, dass hier auf der Gegenseite aufgerüstet wird, und es ist auch eine Tatsache, dass wir versuchen, damit Schritt zu halten. Wir haben aber vor einigen Jahren auch in unserer Cyberstrategie, in unserer Sicherheitsstrategie gesagt, dass wir zwischen der zivilen Informatik und der militärischen Informatik unterscheiden, weil wir uns gesagt haben: Das ist kein Krieg, und die Armee hat hier nicht zivile Informatik zu verteidigen; vielmehr sind das zwei unterschiedliche Dinge.
Wir haben im Bereich der Armee ein entsprechendes Abwehrsystem, das meiner Meinung nach eigentlich auch gut funktioniert. Aber was Herr Eder gesagt hat - dass wir der Bevölkerung die Sicherheit garantieren sollen -, können Sie vergessen. Im Cyberbereich gibt es keine Garantien. Wir können alles vorkehren, damit wir sicher sind, aber Garantien gibt es nicht. Das ist ein zu interessanter Bereich, als dass die Gegenseite nicht entsprechend aufrüsten würde.
Melani hat Weisungsbefugnis über alle Departemente. Es ist also nicht so, dass da irgendwo im stillen Kämmerlein gewirkt wird, sondern immer wenn wir etwas feststellen und Massnahmen zur Verbesserung beschliessen, hat Melani eine direkte Weisungsbefugnis. Auch in Bezug auf die Ausbildung der entsprechenden Leute sind wir meiner Meinung nach auf einem recht guten Stand. Auch in Bezug auf neue Informatikprogramme hat schon bei der Bedürfnisabklärung und der Erstellung solcher neuen Programme die Sicherheit einen ganz entscheidenden Stellenwert. Das haben wir verbessert. Früher kam das ganz am Schluss: Man hat ein Programm gebaut und hat es dann geprüft. Jetzt ist die Sicherheit in diesen Programmen von Anfang an entsprechend integriert. Damit ist das, was diese Motion fordert, eigentlich bereits in einen laufenden Prozess der Verwaltung integriert. Aber selbstverständlich haben wir hier durchaus noch Bedarf, das weiter zu verbessern.
Unser Problem ist vielleicht, dass die EDV beim Bund in den letzten Jahrzehnten etwas organisch gewachsen ist. Wir haben gegen 3000 Anwendungen; etwa 20 Prozent der Leistungen sind standardisierte, die übrigen sind individuelle Anwendungen. Damit ist es auch ausserordentlich schwierig, in diesen Bereichen die Sicherheit zusammenzuführen. Das haben wir anerkannt. Ich habe Ihnen aber vorhin bei einem anderen Geschäft schon gesagt, dass der Bundesrat anlässlich einer Klausur erklärt habe, die Digitalisierung, die EDV, werde zur Chefsache und müsse "top-down" angeordnet werden. Damit werden wir in der Verwaltung da und dort noch auf Granit stossen. Hier sind eine gewisse Weisungsbefugnis von oben und eine gewisse Konzentration einfach notwendig, damit wir auch die Sicherheit besser im Griff haben. [PAGE 665]
Ich glaube, Sie rennen offene Türen ein, wenn Sie die Motion annehmen. Wir arbeiten in diesen Bereichen - ob Sie dem dann Melani oder Kompetenzzentrum sagen. Das weiter auszubauen, haben auch wir im Sinn: Wir verfolgen die gleichen Ziele.
Aus unserer Sicht ist es nicht notwendig, dass Sie die Motion annehmen, weil wir eigentlich alles, was Sie gesagt haben, auch unterstützen und im Alltag umsetzen. Es gibt keine Bundesratssitzung, an der die Cybersicherheit kein Thema ist. Sie ist es aufgrund aktueller Vorfälle, aber auch sonst. Wir beschäftigen uns tatsächlich damit, ich kann Ihnen das einfach versichern. Das ist etwas, das wir wirklich ernst nehmen, etwas, das zuoberst auf unserer Traktandenliste steht. Wenn Sie Ihr Gewissen beruhigen wollen, dann können Sie diesen Vorstoss annehmen. Wir werden das Thema selbstverständlich noch ernster nehmen als jetzt, aber es ist eine Daueraufgabe, mit der wir uns auseinandersetzen.
Noch einmal möchte ich sagen: Unterschätzen Sie uns nicht! Unterschätzen Sie Melani nicht, denn die Leute, die dort arbeiten, die Kontakte und das Netzwerk sind gut! Selbstverständlich kommt nicht jede Erfolgsmeldung dann in den Medien, weil solche Dinge meist vertraulich behandelt werden. Es hat niemand Interesse, öffentlich zu erklären, er sei jetzt angegriffen worden, denn das schadet dem Ruf der Firmen und der Leute, die uns das melden. Ich bin aber überzeugt, und auch Ihre GPK hat diesbezüglich Einsicht nehmen können: So schlecht, wie das jetzt anscheinend dargestellt wurde, sind wir nicht. Wir sind auch noch nicht so gut, wie wir es einmal sein müssen, aber wir sind auf dem Weg dorthin.
Zusammengefasst meine ich also, dass wir im Sinne der Motion arbeiten. Aus unserer Sicht ist es nicht mehr notwendig, dass Sie uns dabei noch mehr anfeuern.