Am 19.9.2017 nahm der Ständerat die Motion 17.3508 (Schaffung eines Cyber Security-Kompetenzzentrums auf Stufe Bund) mit überwältigendem Mehr (41:4) an, der Nationalrat schloss sich am 7.12.2017 mit 177:2 diesem klaren Verdikt an, und zwar gegen den Widerstand des Bundesrates.

In beiden Räten fanden sich insgesamt nur sechs Parlamentarier, welche die ablehnende Haltung des Bundesrates unterstützten. Die überaus deutlichen Resultate sind ein klares Signal an die Landesregierung, im Bereich Cyber jetzt Nägel mit Köpfen zu machen. Beim Kampf gegen Cyberangriffe geht es nämlich nicht um einen «allgemeinen Hype», wie Bundesrat Ueli Maurer in der Nationalratsdebatte sagte, sondern um eine ernst zu nehmende Bedrohung, welche die allermeisten Länder zuoberst auf ihrer Prioritätenliste haben.

Klarer Auftrag an die Landesregierung
Mit dem Vorstoss wird der Bundesrat beauftragt, im Zusammenhang mit der laufenden Überarbeitung der nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) ein Cyber Security-Kompetenzzentrum auf Stufe Bund zu schaffen und dafür die notwendigen Massnahmen einzuleiten. Diese Organisationseinheit hat die Aufgabe, die zur Sicherstellung der Cyber Security notwen-digen Kompetenzen zu verstärken und bundesweit zu koordinieren. Das Kompetenzzentrum soll departementsübergreifend wirksam sein und mit der Wissenschaft (Hochschulen, Fachhochschulen), der IT-Industrie und den grösseren Infrastrukturbetreibern (insbesondere Energie, Verkehr) zusammenarbeiten.

Unbestrittener Handlungsbedarf
Klar ist, dass es in der Bundesverwaltung viele gute Ansätze gibt, dass eifrig und nach bestem Willen gearbeitet wird, dass diverse Workshops und Veranstaltungen stattfinden. Solche Foren sind gut und recht, aber sie reichen nicht, wenn man die grosse kriminelle Energie der potentiellen Angreifer in Betracht zieht. Der Handlungsbedarf ist unbestritten: es ist eine der Uraufgaben des Staates, sich für die Sicherheit unserer Bevölkerung einzusetzen. Dass die Cyber-Bekämpfung enorm wichtig ist, unterstreicht der kürzliche Angriff auf zwei Departemente in aller Deutlichkeit. Auch die Schweiz ist verwundbar; die Bedrohungslage hat sich in letzter Zeit nicht nur deutlich verändert, sondern auch intensiviert.

Cyber hat beim Bund kein Gesicht
Aus Sicht eines Verantwortlichen, der in der Bundesverwaltung mit seinen Leuten bereits jetzt gegen die zahlreichen und hochprofessionellen Cyberattacken kämpft, gibt es heute drei grosse Defizite:

1. Der Bund hat zu viele Koordinatoren und zu wenig Spezialisten, die wirklich etwas verstehen von der Sache.
2. Die Cyberangriffe nehmen immer mehr zu, aber die Departemente haben noch keine Routine, wie sie damit umgehen sollen, das heisst, es wird deshalb noch zu viel improvisiert.
3. Das Thema «Cyber» hat beim Bund kein «Gesicht», und das ist schlecht, auch für die Öffentlichkeit.

In der Antwort des Bundesrates auf die Motion wird MELANI kurzerhand als nationales Cyber-Kompetenzzentrum bezeichnet. Diese Melde- und Analysestelle und die Personen, die dort arbeiten, machen einen guten Job. Aber als eigentliches Cyber-Kompetenzzentrum des Bundes wurde MELANI bisher nicht wahrgenommen. In der 45-seitigen, noch gültigen Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken 2012-2017, die 16 konkrete Massnahmen entlang von sieben Handlungsfeldern vorschlägt, kommt das Wort Cyber-Kompetenzzentrum nicht einmal vor, geschweige denn im Zusammenhang mit MELANI.

Die Meinung von ETH-Professoren
ETH-Professoren, die in der Vergangenheit von verschiedenen Bundesstellen in beratender Funktion zu Themen rund um die Cyber-Sicherheit beigezogen wurden und somit die Strukturen in Bundesbern kennen, hielten mir gegenüber folgendes fest: «Das Thema Cyber Security verlangt zwangsläufig die Konsolidierung von zwei komplementären Betrachtungen: Rückblickend (reaktiv) und vorausschauend (proaktiv). Rückblickende Aspekte umfassen die Feststellung und systematische Erfassung von erfolgten Angriffen und bekannten Sicherheitslücken sowie die Definition von Massnahmen. Vorausschauende Aspekte sind die systematische Erforschung von Sicherheitsrisiken, die Bereitstellung von Methoden für die Konstruktion sicherer Systeme, die Erforschung der Sicherheitstechnologie sowie die Bereitstellung eines umfassenden Aus- und Weiterbildungsangebots in all diesen Bereichen.»

«Eine Zeitlang unterschätzt!»
Bundespräsidentin Doris Leuthard hat im Ständerat am 7. Juni 2017 anlässlich der Beratung des Geschäftsberichtes des Bundesrates in aller Offenheit betont, dass das Thema Cyber Security «vielleicht eine Zeitlang unterschätzt oder nicht auf Stufe Gesamtbundesrat eingehend diskutiert wurde.» Mit der Umsetzung der Motion wurde ein Schritt in die richtige Richtung unternommen und das Parlament beobachtet nun die nächsten konkreten Schritte der Landesregierung.