Lexipedia

Eder Joachim · Ständerat · 2017-09-19

Eder Joachim · Ständerat · Zug · FDP-Liberale Fraktion · 2017-09-19

Wortprotokoll

Der Bundesrat schreibt in seiner Stellungnahme vom 30. August 2017 unter anderem: "Der Bundesrat teilt die Ansicht des Motionärs, dass die zur Sicherstellung der Cybersecurity notwendigen Kompetenzen zu verstärken und bundesweit zu koordinieren sind. Er hat dazu mit der Melde- und Analysestelle Informationssicherung (Melani) ein Cybersecurity-Kompetenzzentrum auf Stufe Bund geschaffen."

Wenn man in der Stellungnahme weiterliest, ist man, Herr Bundesrat, eigentlich erstaunt, dass der Bundesrat als Gesamtgremium nicht die Annahme der Motion empfiehlt. Es fällt nämlich auf, dass die Landesregierung die Stossrichtung und Begründung des vorliegenden, immerhin von 22 Ständeratsmitgliedern unterstützten Vorstosses in jeder Beziehung akzeptiert, dass sie dann aber eine Schlussfolgerung zieht, die von niemandem, mit dem ich in Zusammenhang mit der Motion gesprochen habe, nachvollzogen werden kann. Ich übertreibe nicht. Es waren immerhin Cyberfachleute aus der Verwaltung, aus der Wirtschaft, von Infrastrukturbetreibern und aus der Wissenschaft. Ich erwähne dies speziell, weil der Kampf gegen und der Schutz vor Cyberrisiken eine gemeinsame Verantwortung von Wissenschaft, Wirtschaft, Gesellschaft und Staat ist.

Klar ist, dass es in der Bundesverwaltung viele gute Ansätze gibt, dass eifrig und nach bestem Willen gearbeitet wird, dass diverse Workshops und Veranstaltungen stattfinden - die nächste beispielsweise morgen zum Thema Cybersouveränität, organisiert von der Schweizerischen Akademie der technischen Wissenschaften in Zusammenarbeit mit dem VBS und seinem Cyberdefence-Beirat. Bundesrat Parmelin wird ebenfalls anwesend sein. Solche Foren sind gut und recht, sie reichen aber nicht, wenn man die grosse kriminelle Energie der potenziellen Angreifer in Betracht zieht. Der Handlungsbedarf ist deshalb unbestritten, ist es doch eine der Uraufgaben unseres Staates, der Bevölkerung die Sicherheit zu garantieren.

Dass die Bekämpfung von Cyberangriffen enorm wichtig ist, unterstreicht auch der kürzliche Angriff auf zwei Departemente. Er wurde am vergangenen Wochenende bekannt, wir haben bis heute inhaltlich nichts Näheres erfahren. Vielleicht kann der Herr Bundesrat uns dazu noch etwas sagen.

Unser Land ist also verwundbar. Die Bedrohungslage hat sich in letzter Zeit nicht nur deutlich verändert, sie hat sich auch intensiviert. Aus Sicht eines Verantwortlichen, der in der Bundesverwaltung mit seinen Leuten bereits jetzt gegen die zahlreichen und hochprofessionellen Cyberattacken kämpft, und zwar an vorderster Front, gibt es heute drei grosse Defizite:

1. Der Bund hat zu viele Koordinatoren und zu wenig Spezialisten - wenn ich die männliche Form nenne, meine ich selbstverständlich immer auch die Frauen. Er hat zu wenig Spezialisten, die wirklich etwas von der Sache verstehen. [PAGE 662]

2. Die Cyberangriffe nehmen immer mehr zu, aber die Departemente haben noch keine Routine, wie sie damit umgehen sollen, das heisst, es wird noch zu viel improvisiert.

3. Das Thema Cyber hat beim Bund kein Gesicht, und das ist auch für die Öffentlichkeit schlecht.

Ich komme auf die vorliegende Stellungnahme des Bundesrates zurück. Melani wird kurzerhand als nationales Cybersecurity-Kompetenzzentrum bezeichnet. Nichts gegen die Melde- und Analysestelle Melani und nichts gegen die Personen, die dort arbeiten, sie machen einen guten Job, aber als eigentliches Cybersecurity-Kompetenzzentrum des Bundes wurde Melani bisher nicht wahrgenommen. In der 45-seitigen, noch gültigen nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken 2012-2017, die sechzehn konkrete Massnahmen entlang von sieben Handlungsfeldern vorschlägt, kommt das Wort Cybersecurity-Kompetenzzentrum nicht ein einziges Mal vor, geschweige denn im Zusammenhang mit Melani. Ich bitte Sie, Herr Bundesrat, um Verständnis für meine Einschätzung. Melani ist kein Cybersecurity-Kompetenzzentrum, sondern eine Plattform zum Informationsaustausch für kritische Infrastrukturen, das ist der geschlossene Kundenkreis, und für KMU, das ist der offene Kundenkreis.

Melani informiert und gibt in ihrer präventiven Rolle Empfehlungen ab. Auf der entsprechenden Website ist denn auch Folgendes zu lesen: "In der Melde- und Analysestelle Informationssicherung (Melani) arbeiten Partner zusammen, welche im Umfeld der Sicherheit von Computersystemen und des Internets sowie des Schutzes der schweizerischen kritischen Infrastrukturen tätig sind."

ETH-Professoren, die in der Vergangenheit von verschiedenen Bundesstellen in beratender Funktion zu Themen rund um die Cybersicherheit beigezogen wurden und somit die Strukturen in Bundesbern kennen, hielten mir gegenüber Folgendes fest: Das Thema Cybersecurity verlange zwangsläufig die Konsolidierung von zwei komplementären Betrachtungen, nämlich rückblickend, also reaktiv, und vorausschauend, also proaktiv. Rückblickende Aspekte umfassten die Feststellung und systematische Erfassung von erfolgten Angriffen und bekannten Sicherheitslücken sowie die Definition von Massnahmen. Vorausschauende Aspekte seien die systematische Erforschung von Sicherheitsrisiken, die Bereitstellung von Methoden für die Konstruktion sicherer Systeme, die Erforschung der Sicherheitstechnologie sowie die Bereitstellung eines umfassenden Aus- und Weiterbildungsangebots in all diesen Bereichen. Dieser Hinweis aus der Wissenschaft scheint mir wichtig, weil er aufzeigt, dass die Antwort des Bundesrates unter Verweis auf Melani zu kurz greift.

Ich gebe mich deshalb, das wird Sie nicht erstaunen, mit dem bundesrätlichen Standardsatz - "Wir verstehen zwar den Motionär, lehnen das Anliegen aber ab" - nicht zufrieden und beantrage Ihnen Annahme der Motion. Damit können wir einen wesentlichen Beitrag zur Verbesserung der Situation in unserem Land leisten. Das müsste eigentlich auch im Interesse des Bundesrates sein, denn der Zeitpunkt ist günstig. Gegenwärtig wird die nationale Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) überarbeitet und für die Jahre 2018 bis 2022 neu verabschiedet. Eine Möglichkeit wäre, den Aufbau des Kompetenzzentrums als Massnahme in die Weiterführung der NCS aufzunehmen. Insbesondere muss der Bundesrat aber dafür sorgen, dass die vorgesehenen und notwendigen Aktivitäten koordiniert und die Kräfte gebündelt werden.

Ein übergeordnetes, mit Weisungsbefugnis ausgestattetes Kompetenzzentrum, in das alle Departemente einbezogen sind, bietet dafür Gewähr. Es garantiert auch, dass Vertreter des Staates, der Wissenschaft bzw. der Hochschulen, der IT-Wirtschaft und der Betreiber der potenziell gefährdeten Infrastrukturen - ich denke an Energie, Verkehr und Banken - direkt in alle wichtigen Aktivitäten, Massnahmen und Entscheide einbezogen sind.

Beide Eidgenössischen Technischen Hochschulen in unserem Land, die anerkanntermassen internationale Leuchttürme sind, stimmen der Wichtigkeit eines Kompetenzzentrums bei und sind auch bereit, einen wesentlichen Beitrag für den Erfolg der Verteidigung des schweizerischen Cyberraums zu leisten. Ich sage dies nicht nur, sondern war diesbezüglich auch in direktem Kontakt mit den Herren Präsidenten Lino Guzzella von der ETH Zürich und Martin Vetterli von der EPF Lausanne, welche den Vorstoss unterstützen.

Abschliessend halte ich Folgendes fest: Herr Bundesrat, Ihre Kollegin, Frau Bundespräsidentin Doris Leuthard, hat in diesem Rat am 7. Juni 2017 anlässlich der Beratung des Geschäftsberichtes des Bundesrates 2016 in aller Offenheit betont - das haben wir geschätzt -, dass das Thema Cybersicherheit "vielleicht eine Zeit lang unterschätzt wurde oder nicht auf Stufe Gesamtbundesrat eingehend diskutiert wurde" (AB 2017 S 426).

Wenn Sie, geschätzte Kolleginnen und Kollegen, die Motion annehmen und Sie, Herr Bundesrat, die damit verbundene Forderung umsetzen, kommen wir auf dem Weg zu einer agilen, erfolgreichen, souveränen Schweiz im globalen Cyberraum einen wesentlichen Schritt weiter. Ich danke Ihnen für die Unterstützung.