Der Bericht der Internen Revisionsstelle VBS vom September 2016 wurde vor wenigen Tagen im Internet veröffentlicht, wie die «Zentralschweiz am Sonntag» und die «Südostschweiz am Sonntag» berichteten.
Die Revisoren stellten fest, «dass im VBS in den letzten Jahren auf strategischer Ebene verschiedene Cyber-Gremien geschaffen wurden, wobei sich bis heute keines nachhaltig etabliert hat». Sie empfahlen, im VBS-Generalsekretariat eine Koordinationsstelle Cyber-Sicherheit zu schaffen. So könnten «Synergien besser genutzt, Doppelspurigkeiten vermieden und die verschiedenen VBS-Teilstrategien besser abgeglichen werden».
Im VBS hat man diese Empfehlung teilweise umgesetzt. Eine von Bundesrat Guy Parmelin im April 2016 eingesetzte Arbeitsgruppe, die einen «Aktionsplan Cyber» erarbeite, sei zum Schluss gekommen, dass ein Koordinationsorgan «zwingend notwendig» sei, schrieb VBS-Sprecherin Karin Suini in einer Stellungnahme.
«Das Koordinationsorgan besteht seit Ende Februar 2016, wurde für die Aufarbeitung des RUAG-Vorfalles geschaffen und wird bald definitiv in den VBS-Strukturen verankert.» Ob die Stelle beim Generalsekretariat angesiedelt wird, ist der Antwort Suinis nicht zu entnehmen.
Der bundeseigene Rüstungskonzern RUAG war zwischen Ende 2014 und etwa Anfang 2016 Ziel eines Cyber-Spionage-Angriffs geworden. Rund 23 Gigabyte Daten wurden entwendet. Laut dem Bund deuteten die Indizien auf Wirtschaftsspionage hin. Unter den gestohlenen Daten waren nach VBS-Angaben vermutlich aber auch solche aus dem «Admin-Directory», welches das Outlook der Bundesverwaltung speist.
Die Arbeitsgruppe Cyber hatte im Mai 2016 ihre Arbeit aufgenommen. Die Revisoren empfahlen dieser, methodischer vorzugehen. Zunächst solle diese «messbare strategischen Ziele» für die Cyber-Sicherheit, «als Konkretisierung der Cyber-Vision des Chefs VBS», verbindlich festlegen. Schritt zwei sei die Analyse der inneren und äusseren Einflüsse.
Als Drittes seien strategische Szenarien zu entwickeln. «Aufgrund dieser Szenarien kann der Chef VBS einen fundierten strategischen Entscheid treffen», heisst es im Bericht. Erst wenn Parmelin diesen Entscheid gefällt habe, «darf die Forderung nach mehr finanziellen und personellen Ressourcen» gestellt werden.
Nach dem Strategieentscheid komme der «anspruchsvollste» Schritt vier: die Umsetzung. Hier gelte es «Prioritäten und Verantwortlichkeiten zu hinterlegen». Schritt fünf sei, im Rahmen einer Strategiekontrolle einen «permanenten Überwachungs- und Lenkungsprozess» einzuführen.
Die Revisoren warnten das VBS auch vor Alleingängen. Die Strategie des VBS sei nur ein Teilbereich der gesamten Cyber-Strategie des Bundes.
Laut VBS-Sprecherin Suini werde der «Aktionsplan Cyber» voraussichtlich bis 2020 umgesetzt sein. «Die benötigen Stellen werden durch internes Personal besetzt.» Für die Abwehr von Cyberangriffen seien rund 2 Prozent des Budgets eingeplant. Bei 5 Milliarden Franken sind dies 100 Millionen Franken.
Das Departement betont, die Armee sei weder vom Gesetzgeber beauftragt noch in der Lage, die ganze Infrastruktur vor Cyberangriffen zu schützen. Das VBS könne zivilen Behörden im Falle eines Angriffes gegen kritische Infrastrukturen nur Hilfe leisten. Gemäss Nachrichtendienstgesetz könne das VBS Massnahmen zwar treffen, um einen Cyberangriff zu stoppen, schrieb Suini.
Es sei aber nicht Aufgabe des VBS, Spitäler oder Elektrizitätswerke vor Cyberangriffen zu schützen. «Der Besitzer eines Autos muss seine Bremsen und Pneus auch selbst warten, die Rettungsdienste wie Polizei, Feuerwehr oder Sanität kommen auch nur im Notfall zum Einsatz.»