Cyber-Strategie 2021-2024 - «Völlig intransparent» – Heftige Kritik an Cyber-Plänen des Bundes

Täglich kommt es in der Schweiz zu Cyber-Angriffen: Phishing-Attacken, Verschlüsselung von Daten, Lösegeld-Forderung oder dem Diebstahl von Benutzernamen und Passwörter. Laut der neuen Cyber-Strategie des Bundes, die am Dienstag veröffentlicht wurde, nimmt auch die Gefahr von Angriffen auf kritische Infrastrukturen, auf grosse Schweizer Unternehmen und auf den internationalen Standort Schweiz zu.

«Jeden Monat kommt es mindestens zu einem sicherheitspolitisch relevanten Cyber-Angriff auf die Schweiz», sagt Philipp Kronig, Vizedirektor Nachrichtendienst des Bundes (NDB) anlässlich des Mediengesprächs. Damit seien Angriffe gemeint, die Auswirkungen auf die Integrität, Handlungsfähigkeit und Selbstbestimmung der Schweiz haben können. Als Beispiel nennt Kronig die Attacken auf das Finanzwesen mit Banken-Trojaner oder die Cyber-Angriffe auf Schweizer Spitäler und Organisationen des Gesundheitswesens.

«Der NDB hat in den letzten Jahren über ein Dutzend verschiedener Staaten als Angreifer identifizieren können», sagt Kronig. Als Reaktion darauf kann der NDB gemeinsam mit der Armee «offensive Gegenmassnahmen» beschliessen: Vom Blockieren der Angriffsserver im Schweizer Netz bis hin zu einem allfälligen Gegenangriff wäre alles möglich. «Ein solcher Gegenstoss wäre jedoch ein politischer Entscheid des Bundesrates», sagt Kronig. Neben VBS-Vorsteherin Viola Amherd müssten dazu auch EDA-Departementsvorsteher Ignazio Cassis und Bundesrätin Karin Keller-Sutter vom EJPD beigezogen werden.

Mit «aktiven Massnahmen» zur Erkennung von Bedrohungen, zur Identifikation von Angreifern und zur Störung und Unterbindung von Angriffen sollen auch die internationalen Partnerländer unterstützt werden. Ein vorrangiges Ziel sei die Errichtung eines globalen Kompetenznetzwerks. Dabei kann es laut dem NDB vorkommen, dass die Schweiz mit Staaten zusammenarbeitet, die sonst eher als Angreifer bekannt sind.

Der IT-Sicherheitsexperte Serge Droz hat die Pläne des Bundes unter die Lupe genommen. Sein Fazit: «Dass sich der Bund im Bereich Cyber schützen will, ist gut. Dass die Transparenz jedoch noch immer nicht gegeben ist, ist stossend.» So sei etwa nicht klar, wieso nicht das Nationale Zentrum für Cybersicherheit (NCSC) sensible private Unternehmen, Dienstleister und Betreiber im Bereich Cyber unterstützen soll, sondern das VBS. «Dass das Internet – eine zivile Infrastruktur – militarisiert werden soll, ist stossend.»

Auch die Rolle des Nachrichtendienstes – vor allem bei den offensiven Aktionen – bleibt ominös, sagt Droz. So dürften sie laut dem Nachrichtendienstgesetz in fremde Computersysteme und Computernetzwerke eindringen. Die Einsatzregeln, die Rules of Engagement, seien – im Gegensatz etwa zu Cyber-Einheiten in den USA – völlig unbekannt. «Diese Intransparenz des Bundes ist einem Rechtsstaat nicht würdig und öffnet einem allfälligen Missbrauch Tür und Tor», sagt Droz. Gerade im Hinblick auf die Bemühungen der Schweiz, auf internationalem Parkett entsprechende Regeln durchzusetzen, sei das empörend.