Wie die Cybersicherheit bei Amherd landete
Das neue Bundesamt für Cybersicherheit geht ans Verteidigungsdepartement: ein umstrittener Entscheid. Dokumente aus der Bundesverwaltung zeigen, wie es dazu kam. Und welche Risiken das birgt.
Eine Recherche von Adrienne Fichter und Priscilla Imboden, 19.01.2023
Die Republik ist ein digitales Magazin für Politik, Wirtschaft, Gesellschaft und Kultur – finanziert von seinen Leserinnen. Es ist komplett werbefrei und unabhängig. Lösen Sie jetzt ein Abo oder eine Mitgliedschaft!
Ein neues Bundesamt gibt es nicht jeden Tag. Darum ist es wenig erstaunlich, dass Ende letzten Jahres intensiv um das neue Bundesamt für Cybersicherheit gerungen wurde. Verteidigungsministerin Viola Amherd wollte es, der damalige Finanzminister Ueli Maurer ebenfalls. Beide schickten ihre Leute los, um die Entscheidung, wo das neue Amt angesiedelt werden sollte, in ihrem Sinne zu beeinflussen.
Am 2. Dezember 2022 fällte der Bundesrat seinen Entscheid: Das neue Bundesamt ging ans Verteidigungsdepartement (VBS) von Viola Amherd.
Der Entscheid überraschte. Denn in den internen Diskussionen hatten sich praktisch alle Bundesstellen gegen diese Lösung ausgesprochen. Das zeigen Dokumente, die die Republik gestützt auf das Öffentlichkeitsgesetz hat einsehen können.
Was war geschehen?
Alle für das Finanzdepartement
Bislang war der Bereich Cybersicherheit dem Nationalen Zentrum für Cybersicherheit (NCSC) zugeteilt. Dieses unterstand dem Finanzdepartement von Ueli Maurer. Der Bundesrat beschloss, das Zentrum auszubauen und dafür ein neues Bundesamt zu gründen (siehe Box «Ich will es genauer wissen»). Mit der Umwandlung des Kompetenzzentrums in ein Bundesamt kam die Frage auf, wo das neue Amt angesiedelt werden sollte. Federführend in diesem Prozess war das Finanzdepartement (EFD) von Ueli Maurer. Es schickte Mitte September 2022 seinen Vorschlag in die sogenannte Ämterkonsultation. In diesem Prozess werden sämtliche betroffenen Stellen in der Bundesverwaltung eingeladen, Stellung zu nehmen.
Das Finanzdepartement beantragte, das neue Bundesamt für Cybersicherheit bei sich anzusiedeln. Das war insofern folgerichtig, als auch das Nationale Zentrum für Cybersicherheit dem Finanzdepartement unterstanden hatte. Das Finanzdepartement zeigte aber auch Alternativen auf: Das neue Bundesamt könne auch dem Verteidigungsdepartement unterstehen, dem Wirtschaftsdepartement oder dem Justizdepartement.
Alle Ämter und Departemente der Bundesverwaltung waren aufgefordert, dem Finanzdepartement mitzuteilen, was sie von den Vorschlägen hielten.
Die Antwort muss das Finanzdepartement erfreut haben: Fast alle Ämter unterstützten den Vorschlag, das neue Bundesamt für Cybersicherheit dem Finanzdepartement zuzuschlagen.
Gleichzeitig äusserten fast alle Seiten Bedenken gegenüber einer Ansiedlung im Verteidigungsdepartement. Das Bundesamt für Polizei (Fedpol) teilte in der Ämterkonsultation mit, es halte eine Integration ins Finanzdepartement für sinnvoll, weil dort mit dem Bundesamt für Bauten und Logistik und dem Bundesamt für Informatik und Telekommunikation bereits zwei Ämter bestünden, die IT-Beschaffungen und -Dienstleistungen für die ganze Bundesverwaltung vornähmen und damit die Cybersicherheit des Bundes prägen würden.
Die Ansiedlung im Finanzdepartement sei auch aus Sicht von checks and balances wünschenswert, schrieb die Bundespolizei: «Durch Zuweisung ans EFD wären die drei Bereiche Cybersicherheit, Cyberdefence und Cyberstrafverfolgung optimal in drei Departemente austariert.»
Die Trennung dieser drei Bereiche fand auch die Abteilung für Digitalisierung des Aussendepartementes (EDA) wichtig. Sie erklärte, es sei «zielführend», wenn das neue Bundesamt beim Finanzdepartement bleibe.
Beim Justizdepartement beurteilte man die bisherige Zusammenarbeit zwischen dem Nationalen Zentrum für Cybersicherheit und den anderen Bundesstellen kritisch, sprach sich aber ebenfalls für eine Ansiedlung des neuen Bundesamtes im Finanzdepartement oder allenfalls im Wirtschaftsdepartement aus.
Selbst der Nachrichtendienst des Bundes, der zum Verteidigungsdepartement gehört, war in einer Sitzung Ende August der Ansicht, das neue Bundesamt gehöre ins Finanzdepartement. Die Bündelung von Cybersicherheit und Cyberdefence unter dem Dach des Verteidigungsdepartements wäre mit einer Anpassung von rechtlichen Grundlagen verbunden, gab der Geheimdienst laut Protokoll der Kerngruppe Cybersicherheit zu bedenken.
Nur das Verteidigungsdepartement selbst war der Ansicht, das neue Bundesamt wäre bei ihm am besten aufgehoben.
Es sah also gut aus für den Plan des Finanzdepartements, das neue Bundesamt künftig an seinem Sitz im ehemaligen Luxushotel Bernerhof zu beherbergen.
Ich will es genauer wissen: Die Vorgeschichte des Bundesamts für Cybersicherheit
Die Ansiedlung der Cybersicherheit im Verteidigungsdepartement ist gewissermassen ein Zurück zu den Wurzeln: Denn ursprünglich beauftragte der Bundesrat 2010 das Verteidigungsdepartement damit, eine Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS 1) auszuarbeiten. Die Umsetzung dieser Strategie wurde danach jedoch einem zivilen Departement übertragen: der neu dafür geschaffenen Melde- und Analysestelle Informationssicherung (Melani), die beim Informatiksteuerungsorgan ISB und damit beim Finanzdepartement angesiedelt war. 2018 fiel der Entscheid, Melani zu einem Kompetenzzentrum auszubauen und die Stelle eines Bundesdelegierten zu schaffen, der direkt an den Bundesrat rapportierte. Das Nationale Zentrum für Cybersicherheit (NCSC) wurde mit mehr Aufgaben und Kompetenzen ausgestattet und war für die Umsetzung der zweiten Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS 2) 2018–2022 verantwortlich, die im März 2022 evaluiert worden ist. Der Bundesrat beschloss daraufhin im Mai 2022 – auch wegen Forderungen aus der Zivilgesellschaft, etwa vom Verein für Wissenschaft und Technologie CH++, und des zunehmenden politischen Drucks aus dem Parlament –, das Kompetenzzentrum NCSC in ein Bundesamt umzuwandeln.
Doch dann geschah etwas Unerwartetes: Ende September kündigte Finanzminister Ueli Maurer seinen Rücktritt an. Und damit wurden die Karten neu gemischt.
Am 19. Oktober 2022 fand eine ausserordentliche Sitzung des sogenannten Cyberausschusses des Bundesrats statt. Diesem Ausschuss gehören das Finanzdepartement, das Verteidigungsdepartement und das Justizdepartement an, der Vorsitz liegt beim Finanzdepartement. Die Aufgabe des Gremiums ist die Koordination aller Cyberrisiken-Geschäfte des Bundes.
An dieser Sitzung versuchten sich die Bundesrätinnen Viola Amherd, Ueli Maurer und Karin Keller-Sutter zu einigen, wer das neue Bundesamt erhalten sollte. Das gelang nicht ganz. Doch ein Bericht von Martin Dumermuth, dem ehemaligen Direktor des Bundesamts für Justiz, stellte die Weichen.
Dumermuth empfahl, Fragen der Cybersicherheit nicht mehr im Cyberausschuss, sondern im Sicherheitsausschuss zu besprechen. In jenem Ausschuss sind das Aussendepartement und das Justizdepartement vertreten, geleitet wird er vom Verteidigungsdepartement. Die Empfehlung stärkte damit die Position von Verteidigungsministerin Amherd. Auf strategischer Ebene hätte beim Thema Cybersicherheit damit neu das VBS den Lead.
So kam es schliesslich zu einem Kompromiss: Laut mehreren Quellen einigten sich die Generalsekretäre der betroffenen Departemente in einer gesonderten Sitzung darauf, Bundesrätin Viola Amherd das neue Bundesamt zuzuteilen. Aber sie musste dafür das ausdrückliche Versprechen abgeben, das neue Bundesamt in einem zivilen Bereich des Verteidigungsdepartements anzusiedeln.
Das Finanzdepartement veranlasste blitzartig eine zweite Ämterkonsultation. Sie dauerte nur vier Tage, was für die Bundesverwaltung extrem kurz ist.
Das Aussendepartement hatte seine Meinung seit der ersten Konsultation geändert, wie aus der Antwort von Generalsekretär Markus Seiler hervorgeht: «Es ist für uns vorstellbar, dass das neue Bundesamt im Verteidigungsdepartement angesiedelt wird.» Unter der Bedingung, «dass die Trennung von zivilen und militärischen Aufgaben gewährleistet ist».
Auch von der Bundespolizei Fedpol kamen keine Vorbehalte mehr, sondern nur noch redaktionelle Anmerkungen. Das Wirtschaftsdepartement wiederum antwortete düpiert, es sei in der ersten Runde vergessen gegangen, doch es stimmte ebenfalls pro Verteidigungsdepartement. Toni Eder, der Generalsekretär des VBS, argumentierte, das Ziel des neuen Bundesamts für Cybersicherheit sei, die Bevölkerung und die Wirtschaft vor Cyberbedrohungen zu schützen. Das erreiche man am besten «durch den Aufbau einer krisentauglichen Organisation in der sicherheitspolitischen Architektur des Bundes».
Doppelsieg für Amherd
Anfang November erfolgte eine weitere Rücktrittsankündigung: Simonetta Sommaruga erklärte überraschend, dass auch sie Ende Jahr ihr Amt abgebe. Damit wurde der Platz frei an der Spitze des begehrten Departements für Umwelt, Verkehr, Energie und Kommunikation (Uvek).
Albert Rösti, der sich im Bundesratswahlkampf um die Nachfolge von Ueli Maurer befand, meldete sein Interesse an. SVP und FDP unterstützten diese Ambitionen: Sie wollten jemanden an der Spitze des Uvek, der neue Atomkraftwerke befürwortet und die Strassen ausbauen möchte. Es brauche jemanden, der die notwendigen und mutigen Korrekturen vornehmen könne, erklärte FDP-Präsident Thierry Burkart: «Nach Jahren Mitte-links könnte ein Wechsel guttun.»
Aber es gab ein Problem: Viola Amherd hätte Rösti den Weg ins Uvek versperren können. Die frühere Verkehrspolitikerin war vier Jahre zuvor gegen ihren Willen ins Verteidigungsdepartement geschickt worden, und als Bisherige hatte sie gemäss den ungeschriebenen Regeln der Departementsverteilung Vorrang.
Doch Amherd winkte ab – zum Frust ihrer Partei. Die Mitte hätte sich bei den Themen Infrastruktur, Energie und Service public gerne an der Spitze gesehen. Dort, wo ihre Bundesrätin Doris Leuthard jahrelang brilliert hatte.
Wollte man mit dem Bundesamt für Cybersicherheit Viola Amherd einen Anreiz geben, im Verteidigungsdepartement zu verbleiben?
Jedenfalls zeigte sich Amherd sehr erfreut darüber. In einem Bericht des «Walliser Boten» zu den Feiertagsplänen der Walliser Prominenz erklärte sie, neben dem Skifahren und Langlaufen werde sie einige Dossiers studieren, «insbesondere betreffend die Neuansiedlung des Bundesamts für Cybersicherheit in meinem Departement».
Das Verteidigungsdepartement geht als doppelte Gewinnerin aus dieser Amtsvergabe hervor. Denn ebenfalls am 2. Dezember löste der Bundesrat gemäss den Empfehlungen des Dumermuth-Berichts den vom Finanzdepartement geleiteten Cyberausschuss auf. Künftig werden Fragen rund um die Cybersicherheit nur noch im Sicherheitsausschuss des Bundesrats besprochen. Das Finanzdepartement hingegen – das stets aus der Perspektive von Gesellschaft und Wirtschaft auf Cybersecurity-Fragen blickte – ist darin nicht vertreten. Das Finanzdepartement ist damit gleich zweifach entmachtet worden.
Vertrauen ist die Währung
Nun werden Cybersecurity und Cyberdefence unter demselben Dach vereint. Das stösst ausserhalb der Bundesverwaltung auf heftige Kritik. In der IT-Security-Szene ist die Empörung gross. Der oberste Sicherheitsberater von Microsoft Schweiz, Roger Halbheer, schrieb etwa auf Linkedin: «Alle (und hier wirklich alle) Exponenten der Wirtschaft, die ich kenne, haben sich gegen das VBS ausgesprochen.»
Mehrere Sicherheitsforscher, mit denen die Republik gesprochen hat, befürchten, dass es im Verteidigungsdepartement zu Missbräuchen kommen könnte. So könnte etwa die Versuchung entstehen, von Hackerinnen gemeldete technische Sicherheitslücken zu «horten» und für militärische Operationen zu verwenden, statt sie zu schliessen.
«Vertrauen ist die Währung bei Cybersecurity. Dieses Vertrauen von Wirtschaft und Gesellschaft hat das NCSC über weit mehr als 10 Jahre aufgebaut. Und jetzt wird es leichtfertig geopfert», kritisiert Martin Leuthold. Leuthold ist Geschäftsleitungsmitglied der Stiftung Switch, der domain registry für Schweizer Domain-Namen, und Mitglied des Steuerungsausschusses Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken. Dieser Ausschuss setzt sich aus Repräsentanten des Bundes, aber auch der Kantone, der Hochschulen und der Wirtschaft zusammen und überprüft die Umsetzung der nationalen Cybersicherheitsstrategie (siehe Box «Ich will es genauer wissen»).
Cybersecurity-Experte Leuthold sagt: «Niemand möchte freiwillig Sicherheitslücken an eine Institution melden, die beim Militär angesiedelt ist und den Geheimdienst als Nachbarn hat.»
Das Verteidigungsdepartement reagiert irritiert auf solche Kritik. Generalsekretär Toni Eder schrieb in der bundesinternen Konsultation, man unterstelle damit, dass die Gesetze innerhalb des Bundes unterschiedlich interpretiert und angewendet würden: «Es ist (unter anderem im neuen Informationssicherheitsgesetz) klar geregelt, welche Informationen mit welchen Institutionen ausgetauscht werden dürfen. Das Risiko einer unrechtmässigen Übertragung von Daten ist im VBS nicht grösser als bei anderen Departementen. Alle Departemente halten sich an dieselben Gesetze.»
Angestellte des Nationalen Zentrums für Cybersicherheit waren bisher stolz auf die «chinesische Mauer» zwischen der militärischen Führungsunterstützungsbasis und dem zivilen Zentrum für Cybersicherheit. Erstere ist verantwortlich für Cyberoperationen im Netz und damit auch für Hackingangriffe. Sie betreibt mobile Systeme für die elektronische Kriegsführung und zapft Datenströme für die Überwachung an. Letzteres hingegen operiert nach einer diametral anderen Logik und versucht, IT-Systeme durch Schliessung von Sicherheitslücken resilienter zu gestalten.
Zwar tauschten sich die Institutionen aus, doch gerade kritische Informationen wie das Wissen um Schwachstellen in IT-Systemen und Endgeräten wurden bewusst nicht miteinander geteilt. Die Unabhängigkeit des NCSC zeigte sich auch im kritischen technischen Bericht zu den Cyberangriffen auf den bundeseigenen Rüstungskonzern Ruag.
Viele Mitarbeitende des Nationalen Zentrums für Cybersicherheit sind deshalb not amused über ihre Umsiedlung zum Verteidigungsdepartement. Einige haben Zwischenzeugnisse angefordert, wie mehrere Quellen bestätigen. Auf dem Netzwerk Linkedin liken sie kritische Medienberichte zum Coup des Verteidigungsdepartements oder schauen sich gar nach neuen Jobs um.
Das Verteidigungsdepartement hingegen will den Bedenken entgegenwirken und das neue Bundesamt strikt von seinen militärischen Einheiten trennen. Ein Plan dazu soll Ende März präsentiert werden. Doch ob diese Governance mit der institutionellen Nähe zum Geheimdienst und zur Führungsunterstützungsbasis eingehalten werden kann, scheint fraglich.
Wenig vertrauensfördernd wirkt etwa die jüngste Administrativuntersuchung, die belegt, dass die Cybereinheit des Nachrichtendienstes in der Vergangenheit zu viele Metadaten ausgewertet hat. Diese Aktionen waren nicht bewilligt und wurden nicht einmal vom Aufsichtsgremium des Geheimdienstes bemerkt. Wie unkontrolliert der Nachrichtendienst in der Vergangenheit operierte, zeigte sich ausserdem in der Aufarbeitung der Crypto-Leaks-Affäre: Jahrelang kooperierte die Vorgängerorganisation des Nachrichtendienstes eigenmächtig mit dem amerikanischen Geheimdienst CIA, ohne dass der Bundesrat davon wusste.
Die anderen Bundesstellen, die Cyberbranche und die Zivilgesellschaft werden genau beobachten müssen, ob das Verteidigungsdepartement sein Versprechen einhält.