Weshalb der Föderalismus Freund und Feind der Cybersecurity ist

Was passiert, wenn Cyberrisiken auf "Kantönligeist" treffen?

Hannes Lubich: Dann versucht jeder Kanton zunächst einmal, sich selbstständig zu organisieren - so wie es für ihn und seine lokalen Gegebenheiten passt. Kantonsregierungen und -verwaltungen wollen alles lieber mit den eigenen Ressourcen stemmen und sich nicht von einem externen Dienstleister abhängig machen , und gründen daher für IT-Anliegen eher eigene Organisationen und Kompetenzzentren in ihren Verwaltungen, z.B. für Cybersicherheit, oder breit eingesetzte Software-Lösungen. Das heisst aber im Endeffekt, alle Kantone suchen nach denselben Spezialisten und Spezialistinnen. In diesem trockenen und sehr teuren Arbeitsmarkt kann das eigentlich gar nicht funktionieren. Ausserdem wären manche Kantone wohl gar nicht in der Lage, die entsprechenden Löhne zu zahlen. Denn die Besoldungsordnung eines Kantons passt nicht zu den Salären, die beispielsweise ein guter IT-Forensiker in der Wirtschaft erwarten kann. Unter diesem Gerangel um dieselben knappen Ressourcen werden die kleinen Kantone besonders leiden. Wenn sich Zürich 20 Cyberspezialistinnen und -spezialisten leisten kann, dann hat Appenzell Innerrhoden vielleicht eine halbe bis eine Stelle dafür budgetiert. Derartige IT-Expertise ist in den Budgets einfach nicht vorgesehen.

Gibt es keine Kooperationen unter den Kantonen?

Man arbeitet durchaus zusammen. Aber hinter diesen Kooperationen stecken oft einzelne Personen, die sich schon kennen. Bei der Polizei funktioniert diese Zusammenarbeit etwas besser; sie organisieren sich in Polizeikonkordaten und Initiativen wie cybercrimepolice.ch. Aber da machen nicht alle Kantone mit, es gibt mehrere Konkordate und so kommt es schnell zu Unsicherheiten. So ist die Definition von Cyberkriminalität vielleicht nicht deckungsgleich in allen Kantonen. Untereinander rangeln die zuständigen Ämter und Fachstellen ggf. aber auch um Zuständigkeiten, auch wenn Vorfälle oder Anforderungen die Kantonsgrenzen überschreiten. Das resultiert darin, dass die Arbeit oft doppelt gemacht wird. Etwa dann, wenn jeder Kanton eine eigene Präventionskampagne für die eigene Bevölkerung oder ansässige Firmen durchführt. Das ist Blödsinn.

Wie wirkt sich dies auf Bundesebene aus?

Das betrifft auch die Zusammenarbeit mit den Bundesstellen. Jeder Kanton glaubt selbst zu wissen, wann der Zeitpunkt ist, ab dem er mit dem Nationalen Zentrum für Cybersicherheit (NCSC) sprechen muss, da es ja noch keine bundesweite Meldepflicht und entsprechende Fristen gibt. Aber wenn die Kantone nicht alle gleich rasch und mit vergleichbaren Daten über definierte Schnittstellen eskalieren, kann das NCSC einen zusammenhängenden Angriff nicht erkennen oder entsprechend abwehren.

Steht der Föderalismus einer effizienten Cyberabwehr im Weg?

In gewisser Weise ja. Aber es ist eine Tatsache, dass der Föderalismus hierzulande tief verankert ist, und man ihn nicht einfach aus pragmatischen Gründen abschaffen kann. Bei der Coronapandemie haben wir ja gesehen, was passiert ist, als der Bund die besondere Lage ausgerufen hat, um alles zentral zu koordinieren. Die Kantone verlangten umgehend die Kontrolle zurück. Der Bund ging schliesslich auf die Forderungen ein und so gab es wieder ein heilloses Durcheinander mit unterschiedlichen Empfehlungen und Impfaktivitäten in jedem Kanton. Man sieht also sehr genau, wo die Grenzen des Föderalismus sind. Aber ich denke, der Schmerz ist nicht gross genug, um das föderale und subsidiäre System deswegen generell in Frage zu stellen.

Wäre es sinnvoll, den Föderalismus abzuschaffen?

Der Föderalismus hat auch Vorteile: es entstehen zusätzliche Kontrollinstanzen. Zum Vergleich: Frankreich ist ein Zentralstaat, der alles von einem Punkt aus regelt. Die einzelnen Départements können diese Vorgaben lediglich umsetzen. Liegt der Staat falsch, merkt das vielleicht schon jemand, aber diese Person wird daran dezentral nichts ändern können. Hier in der Schweiz geht der Föderalismus sogar noch eine Stufe tiefer: von den Kantonen zu den Gemeinden. Da ist für mich die Grenze des Sinnvollen im Bereich Cybersicherheit allerdings endgültig überschritten. Es ist zwar zweckmässig, dass grössere Gemeinden - vor allem Städte wie etwa Zürich, Bern oder Basel - in eigener Kompetenz über lokale Angelegenheiten entscheiden können. Aber auch hier entstehen wieder Doppelspurigkeiten. Und vor allem kann es gut sein, dass gewisse kleinere Gemeinden die eigenen Fähigkeiten überschätzen. Haben diese Gemeinden schon einmal versucht, an einem Sonntagmorgen innerhalb von zwei Stunden anstelle ihres lokalen IT-Anbieters einen Cybersicherheits-Spezialisten aufzubieten, eine Meldung an das NCSC zu erstellen und haben sie einen dokumentierten und erprobten Wiederanlaufplan nach einem Totalausfall durch einen Angriff? Wenn sie merken, dass es nicht mehr geht, rennen sie natürlich zurück zum Kanton. Aber dann ist es für diesen Fall schon zu spät.

Wie ist die Aufgabenteilung zwischen Bund, Kantonen und Gemeinden bezüglich Datenschutz und Informationssicherheit aktuell geregelt?

Es gilt das Subsidiaritätsprinzip - so steht es auch in der Verfassung. Der Staat greift nur dann ein, wenn die Kantone etwas nicht alleine bewältigen können. Ich denke aber, dass man beim Verfassen dieser Passagen versäumt hat, hineinzuschreiben, dass der Bund aber doch eine übergreifende Koordinationsfunktion haben sollte. Darüber hinaus gibt es einige weitere Vorgaben, die diese Aufgabenteilung regeln. Dazu gehört die "Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken" (NCS), die derzeit unter Beizug von externen Spezialisten überarbeitet wird.. Die NCS gibt gewisse Richtlinien vor, die dann Bundesweit gültig sind. Diese sind aber auch sehr generell formuliert. Weitere Vorgaben kommen durch die Gesetzgebung auf Bundesebene. Hierzu zählt beispielsweise das Datenschutzgesetz (DSG), das ebenfalls gerade revidiert wurde und im September 2023 in Kraft treten soll. Apropos Datenschutz: Es gibt ja auf Bundes- und auf Kantonsebene Datenschutzbeauftragte. Da diese aber bisher nicht auf offizielle Mechanismen oder Strukturen zurückgreifen können, ist hier wieder Eigeninitiative vonnöten. Daher mussten sie sich selbst organisieren, u.a. in einem Verein namens Privatim, der eine wichtige Koordinationsfunktion für die Datenschutzbeauftragten wahrnimmt.

Wie sieht das in anderen Bereichen aus?

Es gibt keine einheitliche Regelung im Bereich der Strafverfolgung. Ein Staatsanwalt, der in Zürich ermittelt und eine Spur entdeckt, die in einen anderen Kanton führt, muss erst einmal herausfinden, wer dort zu kontaktieren ist - wenn es gut läuft, ist der Kontakt bekannt und etabliert, sonst ist ggf. Eigeninitiative gefragt. Natürlich könnte er auch den Weg über die Bundesanwaltschaft wählen. Aber wie weit das operationalisiert ist, hängt wohl immer noch von den Einzelpersonen und den entsprechenden Detailabläufen ab.

Wo ist ganz klar der Bund zuständig?

Grundsätzlich liegt beim Bund die Verteidigung des Landes. Aber dies stammt aus einer Zeit, in der damit die Abwehr von kinetischen Angriffen und die Verteidigung einer klar definierte Landesgrenze gemeint war. Ob diese Regelung bei einer Cybervorfall funktioniert, halte ich für mehr als fraglich. Bei einem politischen Angriff wie etwa gezielter Sabotage, müssten eigentlich das NCSC, der Nachrichtendienst (NDB) oder bei Beteiligung krimineller Organisationen auch Bundeanwaltschaft bzw. Fedpol aktiv werden. Aber diese Eskalation funktioniert unter Umständen nicht, da jeder Kanton Cybervorfälle im Alleingang anpacken will und die Bundesstellen so vielleicht gar nicht wissen, dass sie bei einem breit angelegten, aber verteilt ausgeführten Ereignis der gleichen Urheberschaft dann doch eingreifen sollten. Es wäre aber gefährlich, wenn kantonale Stellen direkt mit ausländischen Geheimdiensten sprechen oder sogar Massnahmen einleiten würden, ohne dass der NDB oder die anderen Bundesstellen davon wissen. Dass es irgendwo Grenzen gibt, ist allen klar. Aber wo diese genau verlaufen, wissen wir nicht.

Welche Aufgaben sollten in einem idealen System beim Bund liegen?

Alles, was mit der Gesetzgebung und der nationalen Strategie zur Landesverteidigung im Cyberbereich zu hat, ist Bundesaufgabe. Für mich ist das gedeckt durch die heutige Verfassung. Der Bund ist zudem dazu da, die Rahmenbedingungen und Minimalstandards zu schaffen, damit elektronische Dienste sicher und stabil eingeführt werden können. Diese bieten schliesslich jeweils auch eine neue Angriffsfläche. Ich denke nicht, dass jeder Kanton eigene Systeme beim E-Voting oder bei digitalen Krankenakten basteln sollte. Durch die Ablehnung der E-ID haben wir nun aber tatsächlich kantonal unterschiedlich ausgestaltete und eingesetzte elektronische Identitäten. Ferner sollten auch der Nachrichtendienst, Auslandkontakte und die Koordination zentral beim Bund angesiedelt sein. Deswegen wird das NCSC jetzt auch ein Bundesamt, um die nötigen Kompetenzen und Ressourcen für die nötige Koordination zu erhalten und auszubauen. Der Bund muss zudem dafür sorgen, dass die Bundesämter selbst sicher sind - allerdings ohne dass er dafür mit Steuergeldern Services aufbaut, mit denen er private Anbieter beim Schutz Dritter konkurrenzieren würde. Das wäre eine schwierige Situation für alle Beteiligten.

Wo kämen idealerweise die Kantone ins Spiel?

Die Kantone sind wichtige Spieler, denn sie verantworten die Umsetzung in die Breite. Das heisst, sie müssen vor allem die Standards, welche der Bund gesetzt hat, bei sich realisieren. Das betrifft den ganzen Lifecycle der Informatik: die Beschaffung, den Betrieb, die Wartung, die Weiterentwicklung bis hin zur Ablösung und Stilllegung sowie auch die Bewusstseinsbildung und Schulung der Mitarbeitenden. Die Kantone sollten auch die Schnittstelle für Fragen und Meldungen aus der Bevölkerung sein. Wenn jeder mit jedem Cyberproblem direkt zum Fedpol oder zum NCSC rennt, wäre die Bundesstelle von der schieren Menge an Meldungen wohl überfordert.

Und wie sollte die Zusammenarbeit zwischen Kantonen und Gemeinden geregelt sein?

Die Kantone sollten die Gemeinden stärker begleiten und beraten sowie deren Digitalisierungsstrategien - falls vorhanden - bezüglich Definition und Umsetzung steuern helfen. Dabei sollen sie die Gemeinden durchaus auch in die Pflicht nehmen und beispielsweise Workshops für Gemeinderäte, Gemeindeverwaltungen und ggf. auch deren lokale Dienstleister und angeschlossenen Organisationen wie versorgungsrelevante Korporationen usw. durchführen. Es wäre sicher gut, wenn es zudem so etwas wie eine gemeinschaftliche Plattform für Awareness und Cyberübungen gäbe. So könnten Kantone und Gemeinden im Verbund für den Ernstfall trainieren. Es ist auch denkbar und vielerorts umgesetzt, dass die Kantons-IT den Gemeinden Services anbietet - aber dann unterliegen diese Gemeinden den Auflagen und Regeln des Kantons, was oft auch als störend im Regelbetrieb empfunden wird, z.B. bei der zentralen Sperrung extern bezogener Dienste. In diesem kooperativen Modell kann der Kanton natürlich auch sehen, welche sicherheitsrelevanten Dienste, die die Gemeinden ggf. noch selbst erbringen oder nutzen, vielleicht besser zentral beim Kanton beheimatet wären. Ich denke da beispielsweise an Services wie die Langzeitarchivierung, Backup, Standards fürs Verschlüsselung von Daten oder auch geschützte VPN-Zugänge. Es muss hier nicht jede Gemeinde das Rad selbst neu erfinden - auch wenn sie einen lokalen IT-Provider hat. Natürlich ist das aber auch wieder eine Frage der Ressourcen. In manchen Kantonen wäre das sehr viel einfacher zu stemmen; in anderen wäre so eine Organisation eine echte Herausforderung für den Kanton.

Wenn Bund und Kantone vor allem die "Spielregeln" vorschreiben, bringen wir die Gemeinden dann nicht in eine Lage, in der sie genau wissen, was sie sich leisten sollten, aber nicht können?

Dazu kann es sehr schnell kommen. Deshalb ist es wichtig, dass die Kantone diesbezüglich einen Dialog mit ihren Gemeinden führen. Die Gemeinden müssen dabei aber wirklich ehrlich mit sich selbst sein und erkennen, wo die Grenzen dessen sind, was sie selbst umsetzen können. Und darüber hinaus müssen die Kantone die Gemeinden coachen und begleiten. Und vielleicht auch immer wieder zyklisch prüfen, ob die Gemeinden das erreichte Niveau halten können. Vermutlich werden sich neben funktionierenden Modellen auch zwei negative Extreme herausbilden:

• Gemeinden, die alles selbst machen wollen, aber es eigentlich nicht können

• Gemeinden, die sagen, wir brauchen das nicht. Wir sind zu klein als dass sich Cyberkriminelle für uns interessieren könnten.

Beide liegen falsch. Dieses Coaching durch die Kantone wird daher ein Realitätscheck für die Gemeindeverwaltungen und deren tatsächliche Cyberkompetenzen.

Welche Rolle könnten externe IT-Anbieter hier spielen?

Natürlich dürfen je nach Kontext die Gemeinden ihre IT bzw. nicht vom Kanton erbrachte IT-Leistungen statt an den Kanton auch an Dritte auslagern, z.B. den Vor-Ort Support für lokal betriebene IT-Umgebungen. Das ist also nicht grundsätzlich verboten oder schädlich - solange diese Anbieter dafür sorgen, dass die Differenz zum definierten Minimalstandard kleiner wird. Allerdings müssten hier wieder die Kantone sicherstellen, dass diese minimalen Vorgaben eingehalten werden. Was nicht mehr passieren darf, ist dass die Gemeinden auf Teufel komm raus versuchen, alles selbst zu machen und auch Cyber-Ereignisse alleine zu bewältigen, wenn dies ihre Kompetenzen und Ressourcen klar übersteigt.

Benötigen die Gemeinden eventuell einen finanziellen Zustupf für die Cyberabwehr oder vielleicht kantonale Fachkräfte für den Einsatz in den Gemeinden?

Direkte finanzielle Mittel halte ich eher weniger für sinnvoll. Einen kantonalen Pool mit Spezialistinnen und Spezialisten kann ich mir hingegen gut vorstellen. Die Gemeinden müssten diese aber auf eine bestimmte und vor allem einfache Art buchen können. Ich denke, es gibt durchaus Möglichkeiten, dass die finanzielle Last nicht komplett auf den Schultern der Gemeinden ruht. Will eine Gemeinde beispielsweise eine VPN-Lösung für einen bestimmten Zweck selbst beschaffen, weil dies kein kantonal erbrachter Dienst ist, könnte man viel Geld sparen, wenn die Gemeinde nur schon wüsste, ob der Kanton vielleicht schon einen etablierten und ggf. erweiterbaren Vertrag mit einem vernünftig evaluierten und bewirtschafteten Anbieter hat.

Wie sieht die Situation bei den grösseren Städten aus, die eigene Digitalisierungsstrategien und Smart-City-Pläne verfolgen?

Dort mag die Lage - ressourcenbedingt - anders sein. Aber auch bei diesen Städten und grösseren Gemeinden gilt im Grunde, dass sie sich an die Minimalstandards halten müssen. Dort erwarte ich allerdings, dass sie eigene Ressourcen einbringen können. Kleinere Landgemeinden sind hingegen gut beraten, sich zunächst einmal extern oder vom eigenen Kanton auditieren zu lassen und anschliessend eine ehrliche Bestandesaufnahme zu machen, wo sie Kantonsressourcen oder Drittanbieter brauchen.

Das von Ihnen beschriebene System klingt doch nach einer sehr sinnvollen Aufgabenteilung. Was steht diesem von Ihnen beschriebenen Idealbild noch im Weg?

Das sind oft gar keine technischen Probleme. Ich denke, es ist mehr ein Konflikt zwischen dem Bauchgefühl und dem Kopf. Die Gemeinden und die Kantone fürchten, die Kontrolle zu verlieren und Kompetenzen abzugeben. Gewisse Verwaltungen haben auch schon eigene IT-Landschaften aufgebaut. Bei diesen geht es dann auch darum, die bereits getätigten Investitionen in Systeme und Menschen zu schützen. Ich denke auch nicht, dass jeder Kanton und jede Gemeinde diesbezüglich gleich denkt.

Können Sie diesen Punkt noch etwas erläutern?

Einerseits gibt es unterschiedliche Auffassungen über die Wichtigkeit und Dringlichkeit von Cyber in der jeweiligen Umgebung. Ein wirtschaftsstarker Kanton wird sich von Cyberangriffen stärker betroffen fühlen als ein Landkanton. Ersterer sieht natürlich "seine" Firmen bedroht und will entsprechende Schutzmechanismen bereitstellen. Letzterer wird sich wohl durchaus aufregen, wenn Cyberkriminelle ihm eine Nutzviehstatistik verschlüsseln, aber teure Schutzmechanismen übersteigen die Möglichkeiten, also wird man in so einem Fall vermutlich einfach hinausgehen und noch einmal zählen. Andererseits gibt es auch unterschiedliche Priorisierungen bei den Betroffenen. Einige wollen, dass ihre IT-Systeme so schnell wie möglich wieder laufen und verzichten dafür vielleicht auf eine Strafermittlung. Sie wollen nicht darauf warten, bis die IT-Forensiker der Polizei sämtliche Spuren in den Systemen entdeckt haben. Die IT muss einfach wieder so rasch wie möglich laufen. Andere sind bereit, länger auf einen vollständigen Wiederanlauf zu warten, um die Arbeit von Polizei und Staatsanwaltschaften bezüglich Strafermittlung und -verfolgung zu unterstützen.

Wo sehen Sie den dringendsten Handlungsbedarf bei der Aufgabenteilung?

Ein Schlüssel sind die zentralen Strukturen; zu welchem Departement mit welchem ggf. im Detail unterschiedlichen Leistungsauftrag und Schnittstellen gehört das NCSC als neues Bundesamt? Diese Frage muss jetzt endlich geregelt werden. Aktuell sind offenbar noch mehrere Varianten im Gespräch. Dieselbe Frage gilt sinngemäss auch für andere nationale Strukturen wie etwa das neu etablierte Nationale Testinstitut für Cybersicherheit (NTC). Es muss in einem sich erst noch etablierenden organisatorischen Umfeld klar definiert sein und bleiben, wem diese Strukturen unterstellt sind, in welchem Kontext sie operieren, wie man knappe personelle Ressourcen sinnvoll teilen kann und wie verbindlich diese Organisationen agieren können. Wir sollten zudem prüfen, inwiefern das Konkordanzmodell der Polizei ein sinnvolles Koordinationsmodell für den Cyberbereich ist. Es wäre auch gut, private Anbieter mit ins Boot zu holen. Public Private Partnerships gibt es in anderen Bereichen bereits. So könnten wir im Cyberbereich bereits viel erreichen, ohne dass wir einen Zentralstaat darüberstülpen müssen.

Inwiefern sind Datenschutz und Informationssicherheit nicht Teil der Sicherheitspolitik oder sogar der Landesverteidigung und somit Sache des Bundes?

Cyberangriffe werden dann Teil der Landesverteidigung, wenn sie einen militärischen oder politischen Hintergrund haben. Handelt es sich um rein kriminelle Aktivitäten, trifft dies nicht zu, weil die Schweiz als ganzes weder angegriffen noch in Frage gestellt wurde. Die meisten Attacken kommen aus einem kriminellen Umfeld. Wir wissen allerdings, dass Staaten gerne Cyberkriminelle vorspannen. Einerseits haben diese Kriminellen das Know-how und die Bereitschaft. Andererseits können Staaten so ihre Beteiligung glaubwürdig bestreiten. Wir sehen also auch hier wieder Definitionen, die aus früheren Zeiten stammen. Damals gab es auch auf der kriminellen Seite noch keine Public Private Partnerships (lacht). Früher schwenkte man eine Fahne oder übergab ein formelles Schreiben, erklärte einer klar definierten staatlichen Gegenpartei den Krieg und fuhr dann sinngemäss mal los mit dem Panzer - beide Seiten wussten also, dass sie sich im Krieg befanden, kriegerische Mittel einzusetzen waren und kriegerische Regeln zwischen Staaten galten. Das ist heute nicht mehr der Fall. Es ist also klar, dass bestimmte Cyberattacken unter die Landesverteidigung und Sicherheitspolitik fallen. Aber welche? Damit der Bund zuständig sein kann, muss die Urheberschaft klar zugeordnet werden können und es muss eine klar kriegerische Absicht erkennbar und nachweisbar sein. Andernfalls wäre der Bund plötzlich für jeden Cyberangriff von Kleinkriminellen verantwortlich. Das wollen wir ja genau nicht. Aber hier gibt es unbestritten eine Grauzone.

Mehr zum Thema hybride Kriegsführung und Cyberkriminelle im Dienste von Staaten lesen Sie hier im Hintergrundbericht zu Cybersöldner.

Wieso wollen wir nicht, dass der Bund sich um alle Cybervorfälle kümmert? Geht es nur darum, den Stolz der Kantone und Gemeinden nicht zu verletzten?

Man muss fairerweise sagen, dass der Bund bei manchen IT-Grossprojekten in der Vergangenheit nicht die beste Figur gemacht hat. Aber es würde auch gegen die Verfassung verstossen, wenn der Bund für alle Cybervorfälle zuständig wäre. Die Schweizer Verfassung schreibt ja den Föderalismus und das Subsidiaritätsprinzip vor, und das gilt auch hier. Egal wie gut man eine Notwendigkeit dafür argumentieren kann, es würde einen Präzedenzfall für alles kreieren, dass sich als nationale Bedrohung definieren lässt. Die nächste Coronakrise oder jetzt die Strommangellage müssten dann eigentlich auf dieselbe Weise gehandhabt werden. So könnte man dieses Vorgehen sukzessive weiterziehen, bis man bei einem Zentralstaat bzw. einer Zentralinstanz ankommt, der alle Kompetenzen in sich vereint. Hat man einmal ein Präjudiz geschaffen, ist es schwierig, danach das richtige Mass wieder zu finden. Dass der Bund im Krisenfall die Führung übernimmt, ist ja nach wie vor möglich. Aber dass der Bund präventiv die Gesamt-Kontrolle zu sich zieht, widerspricht der Verfassung. Ausserdem würde es erheblichen Widerstand von den Kantonen und Gemeinden nach sich ziehen. Diese zusätzliche Reibungsfläche brauchen wir nicht. Bisher hatten wir aber auch einfach nur Glück.

Wie meinen Sie das?

Bislang wurde die Schweiz von flächendeckenden Angriffen verschont. Hätte es bereits einen Grossangriff auf die nationale Stromversorgung oder das Verkehrswesen gegeben, hätten erstmal alle nach einer zentralen Lösung gerufen. Anschliessend erschrickt man dann aber über die Konsequenzen und buchstabiert Stück für Stück wieder zurück. Dieses Hin und Her sahen wir schon, als der Bund die besondere Lage während der Coronapandemie ausrief. So verlieren alle Zeit und Ressourcen und es entstehen lediglich Doppelspurigkeiten. Im Cyberbereich, in dem sich alles enorm schnell entwickelt, würden sich die Angreifer dafür bedanken.

Welche aktuellen Entwicklungen sehen Sie im Cyberbereich?

Als der Ukrainekonflikt begann, nahm die Anzahl Cyberattacken ausserhalb der Krisenregion zunächst ab. Das lag daran, dass viele cyberkriminelle Organisationen in Russland angesiedelt sind und dass diese zumindest teilweise vom Staat rekrutiert wurden. Nun steigt die Anzahl Attacken wieder. Ich denke, dass ihnen das Geld ausgeht und sie ihre teuren IT-Spezialisten nicht mehr zahlen können. Diese werden dann vielleicht sogar von anderen Banden abgeworben. Dass die Cyberkriminellen der Not gehorchend, Geld verdienen zu müssen, zeigt, dass der Cybercrime ein Ökosystem mit eigenen Regeln aber auch Verwundbarkeiten ist. Dieses Ökosystem wird aber von agilen Organisationen geprägt, die sich schnell auf neue Situationen einstellen können, im Gegensatz zu einem Staat, in dem zunächst alles demokratisch legitimiert werden und rechtssicher sein muss. Wir können nun einmal nicht mit kriminellen Mitteln gegen kriminelle Angreifer vorgehen.

Ist es sinnvoll, das neue Cyber-Bundesamt mit den anderen Verteidigungskompetenzen zu bündeln?

Ich warte gespannt darauf, ob das NCSC dem VBS oder einem anderen Departement zugewiesen wird. Ich bin durchaus noch skeptisch, ob auf Bundesebene alle Cyber-Anstrengungen zu einem "Super-Departement" Verteidigung gebündelt werden sollte. Zwar hat man so alle defensiven und offensiven Massnahmen unter einem Dach. Aber dafür könnte der Interessensausgleich zwischen den Departementen darunter leiden. So hätte ein vollständig und exklusiv für Cybersicherheit zuständiges Departement alle Ressourcen in der Hand und könnte in eigener Sache und über die Anliegen anderer Departemente hinaus vorpreschen - es scheint mir klar, dass dies nicht im Sinne der anderen betroffenen Departemente und deren Interessen und Präferenzen wäre. Der Föderalismus verteilt die Zuständigkeiten ja nicht ohne Grund: Auf diese Weise gibt es auch auf Bundesebene Checks and Balances. Durch den Föderalismus werden wir zwar immer Leistung einbüssen. Aber ihn deswegen über Bord zu werfen ist erstens unrealistisch und zweitens keine so gute Idee, denn man tauscht im Grunde ein Problem gegen ein anderes.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Alle Infos von der SATW zum Thema Cybersecurity finden Sie hier.