1.
Zwischen Naivität und Übertreibung ^
2.
«Cyberkatastrophe» als Mythos hat problematische Folgen ^
3.
Acht Thesen für eine realistische Cyber-Sicherheitspolitik ^
- Im Cyber-Raum kann nicht einfach eine physische Landesgrenze verteidigt werden.
- Vielmehr ist einerseits ein Netzwerk zu schützen, welches heute von vielen verschiedenen meist privaten Anbietern erstellt und unterhalten wird.
- Andererseits sind die Angriffspunkte die an dieses Netzwerk angeschlossenen Systeme, welche wiederum meist von Privaten betrieben sind.
Daraus ergeben sich bereits wichtige Schlüsse, welche ich thesenartig wie folgt zusammenfassen kann:
- Die Aufgabe, Sicherheit im Cyber-Raum zu schaffen, kann nur als klassische Verbundsaufgabe angegangen werden, die sich Bund, Kantone, Gemeinden, vor allem aber auch Private miteinander teilen. Dabei ist zu beachten, dass wirtschaftliche Akteure über völlig unterschiedliche eigene Ressourcen verfügen. Während grosse Konzerne wie beispielsweise Banken und Versicherungen über eigene IT-Abteilungen verfügen und der Aufbau und Erhalt der notwendigen Kompetenzen zum Schutz der eigenen IT-Infrastrukturen mit zu ihren Kernkompetenzen zählen, sind mittlere und vor allem kleine Unternehmen mit dieser Aufgabe oft überfordert. Allerdings wäre es falsch, daraus den Schluss zu ziehen, dass der Staat ihnen diese Aufgabe abnehmen könnte oder gar müsste.
- Eine vertrauliche Koordination der Informationen über aktuelle Angriffsvektoren und angemessene Reaktionen, wie sie die Melde- und Analysestelle Informationssicherung (MELANI) in einer geschlossenen Benutzergruppe von grossen Unternehmen anbietet, hat sich bewährt. Sinnvollerweise wäre allerdings die vollkommene Loslösung von MELANI vom Nachrichtendienst des Bundes (NDB) zu prüfen. Die Tatsache, dass der NDB auch im Informations-Austausch mit ausländischen Diensten steht, könnte sonst einzelne Akteure davon abhalten, ihre Kenntnisse offen auszutauschen.
- Zum Schutze mittlerer und kleiner Unternehmen und von Privatpersonen ist ein anderer Ansatz zielführender. Hier sollte der Bund für alle einfach einzusetzende Sicherheits-Technologien identifizieren oder – wo diese fehlen – ihre Entwicklung fördern. Ich denke dabei ein Projekte wie Pretty Easy Privacy (PEP), welches bewährte Verschlüsselungstechnologien durch Automatisierung des Schlüsselhandlings und eine benutzerfreundliche und einfach Oberfläche für KMU und Privatpersonen zugänglich macht. Mit einer leider aus Fristgründen abgeschriebenen Motion (13.4086) habe ich in diesem Sinne angeregt, ein Nationales Forschungsprogramm «Alltagstauglicher Datenschutz in der Informationsgesellschaft» zu lancieren – eine Neuauflage könnte auch weitere Aspekte der Cyber-Sicherheit miteinschliessen.
- Auch gesetzliche Rahmenbedingungen können für bessere Sicherheit sorgen. Eine Möglichkeit, die sich gerade im Infrastrukturbereich aufdrängt, ist das Festschreiben von IT-Sicherheitsstandards. Deren Überprüfung kann Aufsichtsorganen übertragen werden, wo bereits solche existieren. So ist konkret nicht einzusehen, weshalb im Bereich der Stromversorgung zwar Regeln zur physischen Sicherheit von Anlagen bestehen, welche vom eidgenössischen Starkstrominspektorat überprüft werden, nicht aber Grundlagen für die Informationssicherheit. Auch Regelungen im Haftungsbereich können einen Teil der Verantwortung für Informatik-Sicherheit vom Anwender oder Betreiber auf den Anbieter verlagern. Wären Hersteller von Industriesteuerungsanlagen haftbar für allfällige Schäden, welche durch eine ungenügende Sicherung der Online-Zugänge entstehen, dann wären unverschlüsselte Webzugänge und simple Standardpassworte schnell verschwunden.
- Die Militarisierung der Cybersicherheit ist nicht zielführend. Allerdings ist es sinnvoll und wichtig, dass die Armee ihrer eigenen Cybersicherheit die notwendige Beachtung schenkt und gegebenenfalls auch für die anderen Organisationen im Sicherheitsverbund ausfallsichere, vom Internet unabhängige und gehärtete Netzwerke anbietet.
- Die Schweiz sollte sich weiterhin auf dem internationalen Parkett aktiv für gute Standards im Bereich Cybersecurity, vor allem aber auch für Grundrechte im Cyberraum einsetzen. Sie sollte energisch darauf hinarbeiten, dass ein völkerrechtlicher Rahmen für die Verurteilung, Aufklärung und Verhinderung von Cyberkriegs-Handlungen geschaffen wird.
- Ebenso notwendig ist es auch, dass gewisse Software und Hardware, welche auch missbräuchlich zur Überwachung beispielsweise von Oppositionellen eingesetzt werden kann, gleich wie Kriegsmaterial resp. Dual-Use-Güter behandelt wird, damit ihr Export aus der Schweiz notfalls unterbunden werden kann.
- Last but not least stellt sich die Frage des Umgangs mit unveröffentlichen Sicherheitslücken von IT-Systemen wie den sogenannten Zero-Day Exploits. Der Staat, vorab Polizei und Nachrichtendienste tragen mit dem Kauf oder der eigenen Herstellung von Staatstrojanern und anderen Mitteln zur Umgehung von Sicherheitsmassnahmen dazu bei, den Schwarzhandel mit solchen Sicherheitslücken zu fördern. Das ist falsch und sicherheitstechnisch höchst problematisch. Der Staat müsste vielmehr darauf dringen, dass Sicherheitslücken rasch geschlossen werden.
Die grösste gesellschaftliche Verantwortung der politischen Akteure im Bereich der Sicherheit im Informationszeitalter liegt aber wohl darin, weder populistisch Ängste zu schüren noch umfassende militärische oder nachrichtendienstliche Kompetenzen im Cyberraum aufzubauen, welche doch nur eine vermeintliche Sicherheit garantieren können. Vielmehr gilt es, pragmatisch, die Sensibilität von wirklich handlungsfähigen Akteuren gegenüber Cyberrisiken angemessen zu erhöhen, bestehende Risiken zu minimieren und auch der Resilienz, also der Fähigkeit, mit Risiken umzugehen, die nötige Beachtung zu schenken.
Balthasar Glättli ist Nationalrat und Fraktionspräsident der Grünen, Mitglied der Sicherheitspolitischen Kommission (SiK-N) und der Staatspolitischen Kommission (SPK-N).
- 1 Florian Imbach / Alexandre Haederli, Fahrlässig durchlässig, SonntagsZeitung 30. November 2013, abrufbar unter: http://info.sonntagszeitung.ch/archiv/detail/?newsid=268454 (alle Internetadressen wurden zuletzt besucht am 25. April 2016), S. 13.
- 2 Barnaby Skinner, Angriff auf die Stromversorgung, SonntagsZeitung 8. Februar 2015, abrufbar unter http://www.sonntagszeitung.ch/read/sz_08_02_2015/nachrichten/Angriff-auf-die-Stromversorgung-27051, S. 10.
- 3 Myriam Dunn Cavelty, Der Cyber-Krieg, der (so) nicht kommt – Erzählte Katastrophen als (Nicht)Wissenspraxis, in: Leon Hempel / Marie Bartels (Hrsg.), Aufbruch ins Unversicherbare – Zum Katastrophendiskurs der Gegenwart, Bielefeld, S. 222.
- 4 Cavelty (Fn. 3), S. 224 ff.
- 5 Cavelty (Fn. 3), S. 228.