Wie die Cyber­sicherheit bei Amherd landete

Das neue Bundesamt für Cyber­sicherheit geht ans Verteidigungs­departement: ein umstrittener Entscheid. Dokumente aus der Bundes­verwaltung zeigen, wie es dazu kam. Und welche Risiken das birgt.

Eine Recherche von Adrienne Fichter und Priscilla Imboden, 19.01.2023

Vorgelesen von Regula Imboden

Die Republik ist ein digitales Magazin für Politik, Wirtschaft, Gesellschaft und Kultur – finanziert von seinen Leserinnen. Es ist komplett werbefrei und unabhängig. Überzeugen Sie sich selber: Lesen Sie 21 Tage lang kostenlos und unverbindlich Probe:

Ein neues Bundesamt gibt es nicht jeden Tag. Darum ist es wenig erstaunlich, dass Ende letzten Jahres intensiv um das neue Bundesamt für Cyber­sicherheit gerungen wurde. Verteidigungs­ministerin Viola Amherd wollte es, der damalige Finanz­minister Ueli Maurer ebenfalls. Beide schickten ihre Leute los, um die Entscheidung, wo das neue Amt angesiedelt werden sollte, in ihrem Sinne zu beeinflussen.

Am 2. Dezember 2022 fällte der Bundesrat seinen Entscheid: Das neue Bundesamt ging ans Verteidigungs­departement (VBS) von Viola Amherd.

Der Entscheid überraschte. Denn in den internen Diskussionen hatten sich praktisch alle Bundes­stellen gegen diese Lösung ausgesprochen. Das zeigen Dokumente, die die Republik gestützt auf das Öffentlichkeits­gesetz hat einsehen können.

Was war geschehen?

Alle für das Finanz­departement

Bislang war der Bereich Cyber­sicherheit dem Nationalen Zentrum für Cyber­sicherheit (NCSC) zugeteilt. Dieses unterstand dem Finanz­departement von Ueli Maurer. Der Bundesrat beschloss, das Zentrum auszubauen und dafür ein neues Bundesamt zu gründen (siehe Box «Ich will es genauer wissen»). Mit der Umwandlung des Kompetenz­zentrums in ein Bundesamt kam die Frage auf, wo das neue Amt angesiedelt werden sollte. Federführend in diesem Prozess war das Finanz­departement (EFD) von Ueli Maurer. Es schickte Mitte September 2022 seinen Vorschlag in die sogenannte Ämter­konsultation. In diesem Prozess werden sämtliche betroffenen Stellen in der Bundes­verwaltung eingeladen, Stellung zu nehmen.

Das Finanzdepartement beantragte, das neue Bundesamt für Cyber­sicherheit bei sich anzusiedeln. Das war insofern folgerichtig, als auch das Nationale Zentrum für Cyber­sicherheit dem Finanz­departement unterstanden hatte. Das Finanz­departement zeigte aber auch Alternativen auf: Das neue Bundesamt könne auch dem Verteidigungs­departement unterstehen, dem Wirtschafts­departement oder dem Justiz­departement.

Alle Ämter und Departemente der Bundes­verwaltung waren aufgefordert, dem Finanz­departement mitzuteilen, was sie von den Vorschlägen hielten.

Die Antwort muss das Finanz­departement erfreut haben: Fast alle Ämter unterstützten den Vorschlag, das neue Bundesamt für Cyber­sicherheit dem Finanz­departement zuzuschlagen.

Gleichzeitig äusserten fast alle Seiten Bedenken gegenüber einer Ansiedlung im Verteidigungs­departement. Das Bundesamt für Polizei (Fedpol) teilte in der Ämter­konsultation mit, es halte eine Integration ins Finanz­departement für sinnvoll, weil dort mit dem Bundesamt für Bauten und Logistik und dem Bundesamt für Informatik und Tele­kommunikation bereits zwei Ämter bestünden, die IT-Beschaffungen und -Dienst­leistungen für die ganze Bundes­verwaltung vornähmen und damit die Cyber­sicherheit des Bundes prägen würden.

Die Ansiedlung im Finanz­departement sei auch aus Sicht von checks and balances wünschenswert, schrieb die Bundes­polizei: «Durch Zuweisung ans EFD wären die drei Bereiche Cyber­sicherheit, Cyber­defence und Cyberstraf­verfolgung optimal in drei Departemente austariert.»

Die Trennung dieser drei Bereiche fand auch die Abteilung für Digitalisierung des Aussen­departementes (EDA) wichtig. Sie erklärte, es sei «zielführend», wenn das neue Bundesamt beim Finanz­departement bleibe.

Beim Justizdepartement beurteilte man die bisherige Zusammen­arbeit zwischen dem Nationalen Zentrum für Cyber­sicherheit und den anderen Bundes­stellen kritisch, sprach sich aber ebenfalls für eine Ansiedlung des neuen Bundes­amtes im Finanz­departement oder allenfalls im Wirtschafts­departement aus.

Selbst der Nachrichten­dienst des Bundes, der zum Verteidigungs­departement gehört, war in einer Sitzung Ende August der Ansicht, das neue Bundesamt gehöre ins Finanz­departement. Die Bündelung von Cyber­sicherheit und Cyber­defence unter dem Dach des Verteidigungs­departements wäre mit einer Anpassung von rechtlichen Grund­lagen verbunden, gab der Geheim­dienst laut Protokoll der Kerngruppe Cyber­sicherheit zu bedenken.

Nur das Verteidigungs­departement selbst war der Ansicht, das neue Bundesamt wäre bei ihm am besten aufgehoben.

Es sah also gut aus für den Plan des Finanz­departements, das neue Bundesamt künftig an seinem Sitz im ehemaligen Luxus­hotel Bernerhof zu beherbergen.

Ich will es genauer wissen: Die Vorgeschichte des Bundesamts für Cyber­sicherheit

Die Ansiedlung der Cyber­sicherheit im Verteidigungs­departement ist gewisser­massen ein Zurück zu den Wurzeln: Denn ursprünglich beauftragte der Bundesrat 2010 das Verteidigungs­departement damit, eine Nationale Strategie zum Schutz der Schweiz vor Cyber­risiken (NCS 1) auszuarbeiten. Die Umsetzung dieser Strategie wurde danach jedoch einem zivilen Departement übertragen: der neu dafür geschaffenen Melde- und Analyse­stelle Informations­sicherung (Melani), die beim Informatik­steuerungs­organ ISB und damit beim Finanz­departement angesiedelt war. 2018 fiel der Entscheid, Melani zu einem Kompetenz­zentrum auszubauen und die Stelle eines Bundes­delegierten zu schaffen, der direkt an den Bundesrat rapportierte. Das Nationale Zentrum für Cyber­sicherheit (NCSC) wurde mit mehr Aufgaben und Kompetenzen ausgestattet und war für die Umsetzung der zweiten Nationalen Strategie zum Schutz der Schweiz vor Cyber­risiken (NCS 2) 2018–2022 verantwortlich, die im März 2022 evaluiert worden ist. Der Bundesrat beschloss daraufhin im Mai 2022 – auch wegen Forderungen aus der Zivil­gesellschaft, etwa vom Verein für Wissenschaft und Technologie CH++, und des zunehmenden politischen Drucks aus dem Parlament –, das Kompetenz­zentrum NCSC in ein Bundesamt umzuwandeln.

Doch dann geschah etwas Unerwartetes: Ende September kündigte Finanz­minister Ueli Maurer seinen Rücktritt an. Und damit wurden die Karten neu gemischt.

Am 19. Oktober 2022 fand eine ausser­ordentliche Sitzung des sogenannten Cyber­ausschusses des Bundesrats statt. Diesem Ausschuss gehören das Finanz­departement, das Verteidigungs­departement und das Justiz­departement an, der Vorsitz liegt beim Finanz­departement. Die Aufgabe des Gremiums ist die Koordination aller Cyber­risiken-Geschäfte des Bundes.

An dieser Sitzung versuchten sich die Bundes­rätinnen Viola Amherd, Ueli Maurer und Karin Keller-Sutter zu einigen, wer das neue Bundesamt erhalten sollte. Das gelang nicht ganz. Doch ein Bericht von Martin Dumermuth, dem ehemaligen Direktor des Bundesamts für Justiz, stellte die Weichen.

Dumermuth empfahl, Fragen der Cyber­sicherheit nicht mehr im Cyber­ausschuss, sondern im Sicherheits­ausschuss zu besprechen. In jenem Ausschuss sind das Aussen­departement und das Justiz­departement vertreten, geleitet wird er vom Verteidigungs­departement. Die Empfehlung stärkte damit die Position von Verteidigungs­ministerin Amherd. Auf strategischer Ebene hätte beim Thema Cyber­sicherheit damit neu das VBS den Lead.

So kam es schliesslich zu einem Kompromiss: Laut mehreren Quellen einigten sich die General­sekretäre der betroffenen Departemente in einer gesonderten Sitzung darauf, Bundes­rätin Viola Amherd das neue Bundesamt zuzuteilen. Aber sie musste dafür das ausdrückliche Versprechen abgeben, das neue Bundesamt in einem zivilen Bereich des Verteidigungs­departements anzusiedeln.

Das Finanzdepartement veranlasste blitzartig eine zweite Ämter­konsultation. Sie dauerte nur vier Tage, was für die Bundes­verwaltung extrem kurz ist.

Das Aussendepartement hatte seine Meinung seit der ersten Konsultation geändert, wie aus der Antwort von General­sekretär Markus Seiler hervorgeht: «Es ist für uns vorstellbar, dass das neue Bundesamt im Verteidigungs­departement angesiedelt wird.» Unter der Bedingung, «dass die Trennung von zivilen und militärischen Aufgaben gewährleistet ist».

Auch von der Bundespolizei Fedpol kamen keine Vorbehalte mehr, sondern nur noch redaktionelle Anmerkungen. Das Wirtschafts­departement wiederum antwortete düpiert, es sei in der ersten Runde vergessen gegangen, doch es stimmte ebenfalls pro Verteidigungs­departement. Toni Eder, der Generalsekretär des VBS, argumentierte, das Ziel des neuen Bundes­amts für Cyber­sicherheit sei, die Bevölkerung und die Wirtschaft vor Cyber­bedrohungen zu schützen. Das erreiche man am besten «durch den Aufbau einer krisen­tauglichen Organisation in der sicherheits­politischen Architektur des Bundes».

Doppelsieg für Amherd

Anfang November erfolgte eine weitere Rücktritts­ankündigung: Simonetta Sommaruga erklärte überraschend, dass auch sie Ende Jahr ihr Amt abgebe. Damit wurde der Platz frei an der Spitze des begehrten Departements für Umwelt, Verkehr, Energie und Kommuni­kation (Uvek).

Albert Rösti, der sich im Bundesrats­wahlkampf um die Nachfolge von Ueli Maurer befand, meldete sein Interesse an. SVP und FDP unterstützten diese Ambitionen: Sie wollten jemanden an der Spitze des Uvek, der neue Atomkraft­werke befürwortet und die Strassen ausbauen möchte. Es brauche jemanden, der die notwendigen und mutigen Korrekturen vornehmen könne, erklärte FDP-Präsident Thierry Burkart: «Nach Jahren Mitte-links könnte ein Wechsel guttun.»

Aber es gab ein Problem: Viola Amherd hätte Rösti den Weg ins Uvek versperren können. Die frühere Verkehrs­politikerin war vier Jahre zuvor gegen ihren Willen ins Verteidigungs­departement geschickt worden, und als Bisherige hatte sie gemäss den ungeschriebenen Regeln der Departements­verteilung Vorrang.

Doch Amherd winkte ab – zum Frust ihrer Partei. Die Mitte hätte sich bei den Themen Infra­struktur, Energie und Service public gerne an der Spitze gesehen. Dort, wo ihre Bundes­rätin Doris Leuthard jahrelang brilliert hatte.

Wollte man mit dem Bundesamt für Cyber­sicherheit Viola Amherd einen Anreiz geben, im Verteidigungs­departement zu verbleiben?

Jedenfalls zeigte sich Amherd sehr erfreut darüber. In einem Bericht des «Walliser Boten» zu den Feiertags­plänen der Walliser Prominenz erklärte sie, neben dem Skifahren und Langlaufen werde sie einige Dossiers studieren, «insbesondere betreffend die Neuansiedlung des Bundesamts für Cyber­sicherheit in meinem Departement».

Das Verteidigungs­departement geht als doppelte Gewinnerin aus dieser Amtsvergabe hervor. Denn ebenfalls am 2. Dezember löste der Bundesrat gemäss den Empfehlungen des Dumermuth-Berichts den vom Finanz­departement geleiteten Cyber­ausschuss auf. Künftig werden Fragen rund um die Cyber­sicherheit nur noch im Sicherheits­ausschuss des Bundesrats besprochen. Das Finanz­departement hingegen – das stets aus der Perspektive von Gesellschaft und Wirtschaft auf Cybersecurity-Fragen blickte – ist darin nicht vertreten. Das Finanz­departement ist damit gleich zweifach entmachtet worden.

Vertrauen ist die Währung

Nun werden Cybersecurity und Cyberdefence unter demselben Dach vereint. Das stösst ausserhalb der Bundes­verwaltung auf heftige Kritik. In der IT-Security-Szene ist die Empörung gross. Der oberste Sicherheits­berater von Microsoft Schweiz, Roger Halbheer, schrieb etwa auf Linkedin: «Alle (und hier wirklich alle) Exponenten der Wirtschaft, die ich kenne, haben sich gegen das VBS ausgesprochen.»

Mehrere Sicherheits­forscher, mit denen die Republik gesprochen hat, befürchten, dass es im Verteidigungs­departement zu Missbräuchen kommen könnte. So könnte etwa die Versuchung entstehen, von Hackerinnen gemeldete technische Sicherheits­lücken zu «horten» und für militärische Operationen zu verwenden, statt sie zu schliessen.

«Vertrauen ist die Währung bei Cyber­security. Dieses Vertrauen von Wirtschaft und Gesellschaft hat das NCSC über weit mehr als 10 Jahre aufgebaut. Und jetzt wird es leichtfertig geopfert», kritisiert Martin Leuthold. Leuthold ist Geschäfts­leitungs­mitglied der Stiftung Switch, der domain registry für Schweizer Domain-Namen, und Mitglied des Steuerungs­ausschusses Nationale Strategie zum Schutz der Schweiz vor Cyber­risiken. Dieser Ausschuss setzt sich aus Repräsentanten des Bundes, aber auch der Kantone, der Hochschulen und der Wirtschaft zusammen und überprüft die Umsetzung der nationalen Cyber­sicherheits­strategie (siehe Box «Ich will es genauer wissen»).

Cybersecurity-Experte Leuthold sagt: «Niemand möchte freiwillig Sicherheits­lücken an eine Institution melden, die beim Militär angesiedelt ist und den Geheim­dienst als Nachbarn hat.»

Das Verteidigungs­departement reagiert irritiert auf solche Kritik. Generalsekretär Toni Eder schrieb in der bundes­internen Konsultation, man unterstelle damit, dass die Gesetze innerhalb des Bundes unterschiedlich interpretiert und angewendet würden: «Es ist (unter anderem im neuen Informations­sicherheits­gesetz) klar geregelt, welche Informationen mit welchen Institutionen ausgetauscht werden dürfen. Das Risiko einer unrechtmässigen Übertragung von Daten ist im VBS nicht grösser als bei anderen Departementen. Alle Departemente halten sich an dieselben Gesetze.»

Angestellte des Nationalen Zentrums für Cyber­sicherheit waren bisher stolz auf die «chinesische Mauer» zwischen der militärischen Führungs­unterstützungs­basis und dem zivilen Zentrum für Cyber­sicherheit. Erstere ist verantwortlich für Cyber­operationen im Netz und damit auch für Hacking­angriffe. Sie betreibt mobile Systeme für die elektronische Kriegs­führung und zapft Daten­ströme für die Überwachung an. Letzteres hingegen operiert nach einer diametral anderen Logik und versucht, IT-Systeme durch Schliessung von Sicherheits­lücken resilienter zu gestalten.

Zwar tauschten sich die Institutionen aus, doch gerade kritische Informationen wie das Wissen um Schwach­stellen in IT-Systemen und Endgeräten wurden bewusst nicht miteinander geteilt. Die Unabhängigkeit des NCSC zeigte sich auch im kritischen technischen Bericht zu den Cyber­angriffen auf den bundes­eigenen Rüstungs­konzern Ruag.

Viele Mitarbeitende des Nationalen Zentrums für Cyber­sicherheit sind deshalb not amused über ihre Umsiedlung zum Verteidigungs­departement. Einige haben Zwischen­zeugnisse angefordert, wie mehrere Quellen bestätigen. Auf dem Netzwerk Linkedin liken sie kritische Medien­berichte zum Coup des Verteidigungs­departements oder schauen sich gar nach neuen Jobs um.

Das Verteidigungs­departement hingegen will den Bedenken entgegen­wirken und das neue Bundesamt strikt von seinen militärischen Einheiten trennen. Ein Plan dazu soll Ende März präsentiert werden. Doch ob diese Governance mit der institutionellen Nähe zum Geheim­dienst und zur Führungs­unterstützungsbasis eingehalten werden kann, scheint fraglich.

Wenig vertrauensfördernd wirkt etwa die jüngste Administrativ­untersuchung, die belegt, dass die Cyber­einheit des Nachrichten­dienstes in der Vergangenheit zu viele Metadaten ausgewertet hat. Diese Aktionen waren nicht bewilligt und wurden nicht einmal vom Aufsichts­gremium des Geheim­dienstes bemerkt. Wie unkontrolliert der Nachrichten­dienst in der Vergangenheit operierte, zeigte sich ausserdem in der Aufarbeitung der Crypto-Leaks-Affäre: Jahrelang kooperierte die Vorgänger­organisation des Nachrichten­dienstes eigenmächtig mit dem amerikanischen Geheimdienst CIA, ohne dass der Bundesrat davon wusste.

Die anderen Bundes­stellen, die Cyber­branche und die Zivil­gesellschaft werden genau beobachten müssen, ob das Verteidigungs­departement sein Versprechen einhält.

Sie sind sich immer noch nicht sicher, ob die Republik etwas für Sie ist? Dann testen Sie uns! Für 21 Tage, kostenlos und unverbindlich:

seit 2018

Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz

kontakt@republik.ch
Medieninformationen

Der Republik Code ist Open Source