Bis Ende 2011, so versprach der SVP-Bundesrat damals, würde eine Expertengruppe ein griffiges Konzept vorlegen. Das Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) werde sich von Spezialisten aus der Privatwirtschaft helfen lassen. Es war ein ambitioniertes Vorhaben – ein Jahr nur für die Ausarbeitung einer umfassenden Strategie für ein komplexes Problem. Maurers 7-köpfige Cybertruppe rief, wenn auch oft sehr kurzfristig, 2011 viele Experten-Workshops zum Thema ein. Das VBS bezog über 200 Personen aus Verwaltung, Industrie, Wirtschaft und den Kantonen in den Prozess ein.

Kritik am VBS-Entwurf

Die Deadline konnte aber nicht eingehalten werden, zu gross waren die Gräben zwischen Maurers Projektgruppe unter der Leitung von Kurt Nydegger (VBS) und den Vertretern von Wirtschaft und Kantonen. Die grossen Konzerne schützen ihre Infrastruktur längst gegen Hackerattacken und glauben nicht, dass sie ihren Schutz mithilfe des Bundes noch verbessern können. Allerdings sind auch über tausend kleinere Betriebe betroffen, diese sind häufig gar nicht oder nur schlecht geschützt und haben grosse Erwartungen an den Bund.

Vor allem aber gab es in den letzten Monaten starken Widerstand aus den anderen Departementen gegen den VBS-Vorentwurf. Im Rahmen der Ämterkonsultation hagelte es kritische Kommentare. Laut Ex-Geheimdienstchef Peter Regli wehrten sich vor allem das Aussen- und Finanzministerium gegen den VBS-Entwurf. Dabei stand nicht etwa die Bedrohungsanalyse im Vordergrund, welche die Strategie nüchtern und präzise wiederzugeben scheint. Es gibt aber ein Kompetenzgerangel. Welches Departement soll den Lead bei der Cyber-Abwehr haben? Wer ist wofür genau zuständig? Auch das Justizdepartement, das im Alltag primär mit Cyberkriminalität und Cyberattacken zu tun hat, ist nicht glücklich darüber, dass das VBS im Strategie-Prozess die erste Geige spielte. Das Papier musste umgeschrieben werden.

Am 4. April befand der Bundesrat über die bereinigte 30-seitige Strategie. Das Dokument ist aber immer noch nicht spruchreif. Auf Anfrage der az bestätigte VBS-Sprecherin Silvia Steidle, dass der Bundesrat vom Aussprachepapier Kenntnis genommen und die nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken grundsätzlich gutgeheissen habe. Der Bundesrat habe aber eine Vertiefung insbesondere der Kompetenzfragen gefordert. Die überarbeitete Strategie, so erklärte gestern Gérald Vernez, Vizeprojektleiter «Cyber Defense» im VBS, soll dem Bundesrat noch vor den Sommerferien vorgelegt werden. Er ergänzte, der Bundesrat habe drei von vier Kapiteln gelobt und sich damit für eine ambitionierte Variante entschieden. 50 zusätzliche Bundesstellen sollen geschaffen werden. «Das Licht steht auf Grün», sagte Vernez gestern, auch wenn der Bundesrat noch nicht endgültig entschieden habe.

Die USA haben die neue Verwundbarkeit längst erkannt. Die Regierung Obama schuf 2010 ein militärisches «Cyber-Command» und richtete im Weissen Haus einen Chefkoordinator für die zivilen Aspekte der Cyber-Defense ein. Auch Deutschland kennt seit 2011 eine Cybersecurity-Strategie und ein Cyber-Abwehrzentrum als Informationsdrehscheibe.

Armeechef diskret im Publikum

Ende März fand an der ETH Zürich eine Tagung statt zur Schweizer «Cyber-Defense». Im Publikum sass auch Korpskommandant André Blattmann, der Chef der Schweizer Armee. War der höchste Soldat des Landes nervös geworden und wollte sich höchstpersönlich ein Bild von der öffentlichen Debatte machen? Der Armeechef hatte im Herbst 2010 in seinem ersten grossen Interview dem «Migros-Magazin» verraten, dass er den Krieg im Internet als «aktuell gefährlichste Bedrohung» für die Schweiz betrachte. Eigentlich müsste er zufrieden sein, dass der Bundesrat sich des Themas endlich angenommen hat.

Cyber-Risiken statt Cyber-Abwehr

Doch was er hörte, gefiel dem Armeechef sichtlich nicht. Roger Halbheer, der Chief Security Advisor von Microsoft, betonte, dass seine Firma bei Angriffen auf Infrastruktur des Bundes besser helfen könnte, wenn die öffentliche Hand sie bei Attacken schneller informieren würde. Und Myriam Dunn-Cavelty (ETH Zürich) hinterfragte die grundsätzlichen Begrifflichkeiten. Konzepte wie «Cyber-Abschreckung» oder «Cyber-Abwehr» krankten an einem Denkfehler: Der Feind im digitalen Raum ist unsichtbar. Die Begriffe vom Kalten Krieg könnten nicht einfach unkritisch übernommen werden. Wen genau will die Schweizer Armee denn «abwehren» oder «abschrecken»? Die Schweiz müsse sich vor «Cyber-Risiken» schützen – keinen digitalen Krieg führen. Die Kritik nützte: Das Dokument trägt nicht länger den Titel «Cyber-Defense», sondern heisst jetzt offiziell: Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken.