Themen: Cybersicherheit, Digitale Nachhaltigkeit, E-Government, Kolumne

Es wurden Fehler gemacht. Doch nun geht beim Bund punkto Cybersecurity einiges in die richtige Richtung, schreibt Optimist und Grünen-Nationalrat Gerhard Andrey in seiner Parldigi-Direkt-Kolumne.

Die Schlagzeilen über gravierende Hacks, schmerzhafte Ransomware oder massive Datenlecks wollen nicht abbrechen. Im Gegenteil: Es scheint, als würde mit jedem neuen gewichtigen Cybervorfall die Dramatik noch zunehmen. Der jüngste Leak bei der IT-Firma Xplain wird die Behörden noch Monate beschäftigen. Es ist zu befürchten, dass nach den bereits bekanntgemachten beängstigenden Einzelheiten weitere folgen werden.

Ob der Weckruf dieses Mal verstanden wird? Die Aufarbeitung des Falls wird auch politische Konsequenzen nach sich ziehen. Das ist auch richtig, denn das Ausmass der Schäden aus der Cyberkriminalität schiesst durch die Decke: Cyberkriminalität kostet weltweit jährlich hunderte Milliarden Dollar, Tendenz stark steigend. Kluge Politik für mehr Cybersicherheit ist gefragt. Ein paar Beispiele:

Widerstandsfähigere Architekturen

Die löchrigen Digitalinfrastrukturen und inkontinenten Datenbanken sind auch technischen Architekturen geschuldet, welche Jahrzehnte alt sind und über die Zeit nur behelfsmässig verpflastert wurden. Es braucht ein Upgrade der Protokolle und der Architekturen. Routingsicherheit liesse sich mit dem offenen Protokoll Scion der ETH Zürich realisieren. Das erlaubt, Datenpakete auf dem Weg im Internet gewissermassen zu begleiten. Als stünde man selber an jeder Abzweigung, kann bestimmt werden, wohin das Paket als Nächstes reist. Ganz im Gegenteil zum heutigen Routing, das das Pfadfinden dem Internet überlässt, mit der Gefahr, dass ein Paket auch mal einen Umweg in ein Land macht, welches man unbedingt meiden möchte. Der Finanzplatz hat unter Anleitung der Nationalbank bereits auf das Protokoll gewechselt. Die sicherheitspolitische Kommission des Nationalrates hat ein Postulat überwiesen, das die bundesweite Einführung eines solchen Protokolls abklären soll.

Dezentrale, datensparsame und kryptografisch wasserdichte Open-Source-Lösungen sind ein weiteres wichtiges Mittel, um Cybersicherheit zu erhöhen. Die staatliche E-ID mit dem „Self Sovereign Idenditiy (SSI)“-Ansatz, an welcher der Bund baut, zeigt exemplarisch auf, wie zeitgemässe Systeme aussehen müssen.

Open Source statt „Security by Obscurity“

Open Source Software ist in der Bundesverwaltung definitiv angekommen. Mit der Verabschiedung des Bundesgesetzes über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben (Embag) gilt Open Source neu als Standardvorgabe, wenn es um behördliche Softwareentwicklung geht. Das ist nicht nur für die Nutzenmaximierung öffentlicher Gelder von Vorteil (Public Money, Public Code), sondern auch sicherheitsrelevant: Das Schweizer Covid-Zertifikat war wegen der Code-Transparenz vertrauenswürdig und durch den Einbezug der Community sicher.

Digitale Fitness für den Bund

Der Bund muss zwangsläufig mehr interne digitale Kompetenz aufbauen. Es reicht nicht, sich mit IT-Einkaufs-Know-how zu begnügen. Vieles lässt sich tatsächlich am Markt beschaffen. Das entbindet die Verwaltung aber nicht von der Pflicht, Herr gerade über die für sie kritische Software zu werden. Da gehört auch mehr interne Entwicklungspower dazu. Seit dem E-ID-Referendum und den Pandemie-Tools wie dem Covid-Zertifikat hat die Bundesverwaltung zumindest an Selbstbewusstsein gewonnen.

Mehr Verbindlichkeit bitte!

Das Parlament berät derzeit eine Meldepflicht von schweren Cyberangriffen auf Betreiber kritischer Infrastrukturen. Nach 20 Jahren der freiwilligen Massnahmen, ist diese Verbindlichkeit sehr zu begrüssen. Es bietet sich an, im gleichen Anlauf auch eine Pflicht zur Meldung von schwerwiegenden noch unbekannten Schwachstellen einzuführen, sollten solche zufällig aufgedeckt werden. Auch wenn Betreiber eher selten in Audits oder per Zufall über solche Schwachstellen stolpern werden, das Wissen über gefährliche Lücken wie Log4j oder Heartbleed gilt es so schnell wie möglich mit anderen kritischen Infrastrukturen zu teilen.

Das NCSC als Empfänger solcher Informationen wird dabei eine noch wichtigere Rolle in der Begleitung und Sensibilisierung von Cyberrisiken einnehmen. Es ist auch deshalb zu begrüssen, dass der Bundesrat die Überführung des Nationale Zentrums für Cybersicherheit (NCSC) in ein vollwertiges Bundesamt beschlossen hat.

Cyber ist in Bern angekommen

Bei all den Sorgenfalten, die einem im Zusammenhang mit Cyberthemen rascher wachsen als auch schon, gibt es auch gute Nachrichten: in Bern ist das Thema auf dem Radar. Das Parlament und die Verwaltung scheinen Willen zu zeigen, die Situation verbessern zu wollen. So wurde eine parlamentarische Gruppe Cyber von Mitgliedern aller Fraktionen gegründet. Und die ämterübergreifende Zusammenarbeit in diesem wichtigen Thema scheint besser als auch schon, mit Luft nach oben. Auch wenn damit noch keine Berge versetzt werden, stimmt das mich – als unverbesserlichen Optimisten sowieso – zuversichtlich.