Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!
Wenn ich versuche den Bericht zu verdauen, blitzt immer wieder der Begriff "Bananenrepublik" auf.... Handeln, Märten, Unterschlagen.... rechtsbürgerliche Machtpolitik at its finest!
Und zum Kommentar von Toni Eder: Ich glaube ihm, dass die Gesetze im VBS nicht einfach "anders interpretiert" werden: Die Gesetze sind auch für sie klar....
Aber genauso wie beim EJPD und seinen Ausschaffungsflügen, sind dem NDB und den kalten Kriegern die Gesetze schlicht und ergreiffend sch****egal.
Der Interessenskonflikt ist da vorprogrammiert. Eine Institution, deren Aufgabe es ist, Lücken zu schliessen, sollte niemals im selben Haus sitzen, wie die Institution, die eben diese Lücken ausnutzen will und offen lassen will. Ich sehe schon Schlagzeilen vor mir, die über zurückhaltung von infos zu exploits berichten, weil das vbs diese noch nutzen will.
Sehr gefährliches Terrain, in dass sich Amherd da begebt.
„ Generalsekretär Toni Eder schrieb in der bundesinternen Konsultation, man unterstelle damit, dass die Gesetze innerhalb des Bundes unterschiedlich interpretiert und angewendet würden: «Es ist (unter anderem im neuen Informationssicherheitsgesetz) klar geregelt, welche Informationen mit welchen Institutionen ausgetauscht werden dürfen.“
Eine Nebelpetarde !
Unsere Geheimdienste sind ja bekannt dafür, dass sie sich an Vorgaben halten.
Die haben NIE ausserhalb der Vorgaben operiert.
Und im VBS herrschte ja immer Transparenz und Korrektheit.
Tricksen und unterschlagen beim VBS. Da kommen mir spontan die Beschaffungstricksereien des VBS beim neuen Kampfs-Jet in den Sinn. Da wurden von der Juristin Amherd die Beschaffungsregeln während dem laufenden Verfahren einseitig zugunsten des Tarnkappenfliegers geändert, ohne die übrigen Bundesratsmitgliedern zu informieren. Im Nachgang redete sich dann diese Juristin mit treuem Hundeblick heraus, im Rückblick hätte man vielleicht einiges anders machen können.
Da stellen sich Fragen zur Gesetzestreue im VBS, vorallem auch im Hinblick auf die Datenverwendung im Bereich Cybersicherheit und Transparenz.
Zwei Zitate aus der Medienmitteilung "Das NCSC wird zu einem Bundesamt im VBS " vom 2. Dezember 2022 (Hervorhebungen MV):
"Das NCSC wird dank den Synergien mit den im VBS bereits vorhandenen Fähigkeiten im Bereich Cybersicherheit gestärkt."
"Das VBS wurde beauftragt, bis Ende März 2023 aufzuzeigen, wie die zivile Sicherheit gegenüber den militärischen Aufgaben im Departement institutionell abgegrenzt und gestärkt wird."
Synergie und Abgrenzung: Das geht nicht wirklich zusammen.
Zudem ist zu lesen: "Der Bundesrat hat das VBS beauftragt, in Zusammenarbeit mit dem EFD bis Ende März die Struktur des Bundesamtes, die Nutzung der Synergien und die Schnittstellen mit weiteren Bundesstellen festzulegen. "
Hoffentlich bleibt die Republik am Thema dran.
Lieber Marc...absolut, der Widerspruch "Synergie" und "institutionelle Trennung" hätten wir in einem Satz noch mehr hervorheben können. Wir bleiben sicher dran.
Mir scheint es, dass es wieder nur um Macht geht. Ein Wackler im Machtgefüge und man macht sich die Bundesämter gefüge ... traurig, dass das auf dem Rücken der zivilen Cybersecurity ausgetragen wird.
Im Westen (aus Zürich betrachtet) nichts neues.
Danke für den Beitrag. Nur eine winzige Richtigstelllung: Sie schreiben:
"An dieser Sitzung versuchten sich die Bundesrätinnen Viola Amherd, Ueli Maurer und Karin Keller-Sutter zu einigen, wer das neue Departement erhalten sollte."
Es geht um die Schaffung eines neuen Bundesamtes, nicht um die Schaffung eines neuen Departements. sonst hätten wir ja plötzlich acht Bundesräte bzw. Bundesrätinnen. ,-)
Grüezi Frau E., vielen Dank für Ihren Hinweis! Ja, bleiben wir doch bei sieben Bundesrätinnen :-) Die Stelle ist angepasst. Gute Lektüre und herzlich! DM
Ja, bleiben wir doch bei sieben Bundesrätinnen
Hach, ich fände mehr Bundesräte und damit weniger Ämter, die an einem Bundesrat hängen, sinnvoll. Aber das ist eine andere Baustelle ;-)
Wenn man sich das "erfolgreiche" BSI in Deutschland anschaut, kann man sich auf unterhaltsame Zeiten vorbereiten:
der "CyberClown" Arne Schönbohm (nicht das, was man einen "IT-Crack" nennen würde) wurde letztens aus dem Amt geschasst wegen russischer Verbindungen), kein Nachfolger in Sicht
Die Uni Duisburg-Essen hat nun nach einem Vorfall im November, ihre Daten im Darknet veröffentlich gefunden. Obwohl sie in " IT-Sicherheitsmaßnahmen den Standards und der IT-Grundschutz-Methodik des BSI" folgten. So viel zu Qualität der Arbeit.
Nach Einmarsch in die Ukraine warnt das BSI vor der russischen Antivirus Software Kapersky. Auf Anfrage des Beschuldigten antwortet Schönbohm: "Glaube leider gar nicht antwortem".
Zu glauben das ein solcher bürokratischer Apparat digitale Infrastruktur schützen kann, ist einfach naiv. Die Angriffe sind so dynamisch und entwickeln sich täglich weiter. Microsoft dagegen gibt monatliche Patches heraus, die Admins dann alle halbe Jahre einspielen. Kann sich jeder selber ausrechnen, wie oft man mit "offener Haustüre" seine Server betreibt.
Eine interessante Statistik wäre es zu sehen, wie oft Linux Betriebsysteme von erfolgreichen Ransom-Attacken betroffen sind. Selbst in Fachpublikationen habe ich wenig belastbares dazu gefunden (Disclaimer: Das bedeute nich,t das Linux inherent sicherer wäre, aber normalerweise sind Linux Installationen weniger homogen und erlauben daher nicht standardisierte Angriffe, die unter Windows/Exchange/Active Directory leider tägliche Routine sind).
Schönes BSI - und Windowsbashing.
Das BSI erlässt im Wesentlichen Regeln, wie genau diese dann umgesetzt werden, ist Sache der Unternehmen und Organisationen. Und selbst wenn die Umsetzung gut genug ist, kann dies in vielen Fällen im realen Einsatz und im Laufe des Betriebs unterlaufen werden. Das zeigt meine tägliche Praxis.
Die Vorwürfe gegenüber Kaspersky sind für mich nachvollziehbar, ähnlich wie die Vorbehalte gegenüber US-amerikanischen Clouds und chinesischen Anbietern. Mit dem Unterschied, das weder die Chinesen noch die US-Amerikaner gerade in einem offenen Krieg gegen ein Nachbarland ist, dass als Stellvertreter "für die Nato und generell 'dem Westen'" herhalten muss (und zu 'dem Westen' gehört dann auch Deutschland).
Leider kommuniziert das BSI häufig nicht besonders geschickt - da sind halt Mathematiker und Informatiker beschäftigt und leider wenig Kommunikationsexperten. Ich erinnere mich noch daran, wie das BSI die Verschlüsselung von Blackberry als ungenügend deklariert hatte, was zu einem relativen zügigen Ausstieg vieler deutscher Unternehmen geführt hat. Später kam dann heraus, dass sich die Aussage darauf bezog, dass Regierungsstellen und insbesondere der diplomatische Auslandsdienst keine eigenen Verschlüsselungsmodule einhängen konnte und dass die implementierte Verschüsselung durchaus als ungeknackt angesehen wurde.
Noch ein paar Worte zum Windows-Bashing: Der Feind sitzt heute innen, weil erfolgreiche Angriffe meist via kompromittierten Endbenutzergeräten ausgehen. Mir ist keine nennenswerte grosse Umgebung bekannt, wo Linux auf Endgeräten eingesetzt wird. Alleine also die pure Masse an diesen Systemen erhöht die Anzahl erfolgreicher Angriffe in den Statistiken. Und mir sind auch keine Umgebungen bekannt, die professionell betreut werden, wo mit einem halben Jahr Verzögerung gepatched wird. In Kleinumgebungen passiert das tendenziell sowieso automatisch und damit zeitnah in wenigen Tagen. Ich möchte mal sehen, was passieren würde, wenn Microsoft täglich Aktualisierungen herausgeben würde, das wäre aus meiner Sicht personell kaum zu stemmen sein. So kann man langfristig die benötigten Resourcen planen und daher ebenso zeitnah reagieren. Aber die Diskussion ist so alt, wie Microsoft den berühmten Patch-Day eingeführt hat und führt hier vermutlich zu weit.
Das sollte kein Windows Bashing sein. Es ist nun mal schwieriger eine ClosedSource Umgebung die standardisiert als Monokultur auf 95% der PCs läuft abzusichern, als ein OpenSource OS, bei dem meist extrem zeitnah Sicherheitslücken geschlossen werden.
Bei Kaspersky ging es mir darum, wie man in der Kommunikation mit der Firma sich völlig unprofessionell verhielt.
Ihre Analyse zur Gefahr von Endbenutzergeräten teile ich aber ich denke ein Grossteil der Schwachstellen beziehen sich auf die oben erwähnte Kombination von Windows, Exchange und Active Directory und kombinierten Schwachstellen in diesen Komponenten. Ein "frisches" Beispiel ist Rackspace (Cloudanbieter!) der sich Anfang Dezember Malware eingefangen hat (die Sicherheitslücke war im November 22 gepatched, aber anscheinend wurde das Update nicht zeitnah eingespielt).
Aber auch hier stimme ich mit Ihnen überein: diese technischen Spitzfindigkeiten führen zu weit.
Ich hätte jetzt in meiner naiven Logik spontan angenommen, dieser Bereich würde dem Departement des Inneren zugeordnet. Das Departement taucht in der Diskussion aber nirgendwo auf. Kann jemand erklären, warum nicht?
(ich unterstelle jetzt einfach mal, eventuell ebenso naiv, dass es nicht mit den gegensätzlichen Parteibüchern der Chefs der jeweiligen Departemente zu tun hat)
Die grössten Bundesämter im EDI sind aktuell Gesundheit, Sozialversicherungen und Kultur. Ob Cybersicherheit da wirklich rein passt? Ev. wäre das UVEK eine Option, da man argumentieren könnte, dass es auch bei der Cybersicherheit letztlich um Infrastruktur geht.
Liebe Frau V., lieber Rolf. Sowohl EDI und UVEK wurden in der Ämterkonsultation als Kandidaten erwähnt...Beim EDI gäbe es Anknüpfungspunkte an das Kompetenznetzwerk KI, aber insgesamt ist das Department stark auf Sozialversicherungen und Gesundheitswesen ausgerichtet. Daher sah man davon ab. Beim UVEK hätte es ebenfalls insofern Sinn gemacht, als dass SBB, Post als kritische Infrastrukturen gelten, die zu schützen sind. Auf der anderen Seite wurde aber argumentiert: das UVEK ist für die Regulierung und Aufsicht jener Infrastrukturen zuständig...die Umsetzung der Informationssicherheit bei jenen Systemen müsste ein anderes Department vornehmen, im Sinne der Kontrolle und Checks & Balances.
Damit wurde der Kandidatinnenkreis immer kleiner und verengte sich auf EJPD, VBS und EFD.
Ich bin etwas weniger kritisch der Ansiedelung im VBS gegenüber. Primär richtete sich die Arbeit des NCSC ausserhalb der Bundesverwaltung (inkl Briefversand an Betreiber ungepatcher Systeme). Dieser Beitrag an den Schutz von digitalen Infrastrukturen erinnert an die Arbeiten des BABS und des Sicherheitsverbundes Schweiz, die beide auch im VBS angesiedelt sind.
Daneben hatte die BV bisher im Informationsschutzbereich eine kritische Lücke bei der Überprüfung von Verschlüsselungstechnologie, die mit dem ISG geregelt wird. Die komplexen Beschaffungen für solche sicheren Netzwerkkomponenten laufen im VBS, es hilft also, die Kontrolleure in der Nähe zu haben. Es sollte darf aber keine militärische Aufgabe sein, um Interessenskonflikte zu vermeiden. Das deutsche BSI macht beispielsweise Zertifizierungen von Komponenten, was in den USA die NSA übernimmt. Mit dem neuen Bundesamt kann nun diese Lücke in der BV geschlossen werden.
Herr Leuthold sagt: «Niemand möchte freiwillig Sicherheitslücken an eine Institution melden, die beim Militär angesiedelt ist und den Geheimdienst als Nachbarn hat.»
Alle, die Frau Amherds Arbeitsfeld NICHT zum Nachbarn haben, machen Meldung.
Wir kennen die Ausschreibung aus Kanton und Wirtschaft, die gerade junge IT-Gestalter auch sportlich angehen, Lücken zu finden, Belohnung abholen, dies ev. auch anonym.
Ich weiss, dass 99% der Insassen dieses Landes eine taugliche Cybersicherheit wollen.
Ich vermute, dies Vorgehen "wir finden den Hasen" ist günstiger und stabiler, gar gemeinschaftsstiftend und eben sportlich.
Ein Bericht von Martin Dumermuth stellte die Weichen, schreiben Sie. Was mich interessieren würde: Wie argumentiert(e) der dumermuthsche Bericht?
Grüezi Herr Studer. Der Bericht schlägt vor dass Cybersecurity nicht als Spezialfall (wie beim Cyberausschuss der Fall) sondern als allgemeines Sicherheitsthema behandelt werden soll auf strategischer Ebene. Demnach ist Cybersecurity zusammen mit Gesundheit, kritischer Infrastruktur und Energie lediglich ein "weiterer" Sicherheitsaspekt. Somit integrierte man Cybersecurity zum Sicherheitsausschuss, der dem VBS vorsteht. Der Cyberausschuss wurde aufgelöst, was angesichts des ebenfalls bestehenden Digitalisierungsausschusses auch nachvollziehbar ist, denn es existierten Doppelspurigkeiten. "Problematisch" ist dass im Sicherheitsausschuss keine "zivile" Stimme wie das EFD mehr vertreten ist.
Danke, Frau Fichter. Das klingt dann weniger nach Bananenrepublik (vgl. Kommentar von Herrn Brühlhart).
Als IT Unternehmer und Vorstandsmitglied in einem regionalen KMU-Verband ist Cybersicherheit ein wichtiges Thema für mich. Ich begrüsse die verstärkten Aktivitäten des Bundes, weil gerade KMU mit dem Thema Cybersicherheit schnell überfordert sind. Auch der Krieg digitalisiert sich. Dies bedeutet, dass die wichtigsten Ressourcen nicht mehr durch territoriale Eroberungen gestohlen werden können, sondern im virtuellen Raum erobert werden müssen. Ich behaupte: wenn wir sehen könnten, welche und wie viele virtuellen Angriffe bereits heute weltweit stattfinden, würden wir längst von einem 3. Weltkrieg reden. Daher bin ich klar der Meinung, dass die Cybersicherheit ein Thema für das VBS ist. Ich bin zum Beispiel der Meinung, dass IT Cracks ihren Militärdienst in IT-Spezialeinheiten leisten und gar nicht an der Waffe ausgebildet werden sollten. Diese Cyberarmee könnte zum Ausbildungszentrum von Cyber-Spezialisten werden und so gleichzeitig den IT Nachwuchs der Schweiz fördern und die Schweizer Wirtschaft von virtuellen Bedrohungen schützen. Dafür muss die Cybersicherheit aber im VBS zugeteilt sein.
Ist die Polizei, die für die Sicherheit der Bürger sorgt, auch dem VBS unterstellt? Warum sollte diese neue Stelle nicht dem Innenminister unterstellt sein (wie die Polizei)?
Dem Rest stimme ich aber zu.
Fun Fact: Ich habe meinen Wehrdienst als "IT-Crack" auch mehrheitlich am Computer absolviert, musste aber trotzdem vorher durch "die grüne Grundausbildung". War aber, das muss ich zugeben, nicht im Bereich Cybersicherheit (sowas gab es mangels öffentlich zugänglichem Internet damals noch nicht)
"Warum sollte diese neue Stelle nicht dem Innenminister unterstellt sein (wie die Polizei)?"
Wie kommen Sie denn darauf, die Polizei sei dem Innenminister unterstellt?
Die meisten Polizisten sind kantonal und keinem Bundesdepartement angesiedelt.
Die wenigen Bundespolizisten in der CH sind der Justizministerin unterstellt.
Das Schweizer Innendepartement ist nicht das gleiche wie ein deutsches Innenministerium.
Da bin ich dezidiert anderer Meinung:
Angriffe auszuführen und diese abzuwehren sind sehr unterschiedliche Fähigkeiten mit wenig Überlappung. Schild und Schwert sind nicht gleich.
Die Vorstellung, eine halbjährige RS ermögliche eine ausreichende Ausbildung in der Abwehr ist aus meiner Sicht absurd. Zum Vergleich: Die Ausbildung zum Master in Cyber Security an der ETH dauert 2 Jahre, und setzt einen Bachelor voraus.
- Mitglied werden
- Angebote
- Gutschein einlösen
- Anmelden
Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz