Zu den Grundsatzentscheiden des Bundesrates zur Cybersecurity
Am 3. Juli hat der Bundesrat Grundsatzentscheide zum Aufbau eines Kompetenzzentrums Cybersicherheit gefällt. Das Advisory Board Cybersecurity der SATW begrüsst die Entscheide zum Aufbau eines Kompetenzzentrums, zur Einsetzung einer Mrs. bzw. eines Mr. Cyber und zum geplanten Ausschuss mit Vorstehern des EFD, VBS und EJPD. Allerdings gehen die geplanten Massnahmen angesichts der sich stetig weiterentwickelnden Bedrohungslage zu wenig weit. Deshalb fordert das Gremium in einem offenen Brief an Bundespräsident Alain Berset ergänzende Massnahmen.
Offener Brief
Grundsatzentscheide des Bundesrates zur Cybersecurity: Die Richtung stimmt, doch das Vorgehen ist zu zögerlich und die Massnahmen sind ungenügend
Sehr geehrter Herr Bundespräsident Berset
Am 3. Juli hat der Bundesrat Grundsatzentscheide zum Aufbau eines Kompetenzzentrums für die Prävention und Bekämpfung von Cyberrisiken gefällt. Die Schweizerische Akademie der Technischen Wissenschaften SATW bearbeitet das Thema Cybersecurity seit 2015 als eines ihrer Schwerpunktprogramme. Mit dem Advisory Board Cybersecurity steht der SATW eine hochkarätige, in Wirtschaft, Wissenschaft und Politik breit abgestützte Expertengruppe in Milizarbeitsweise unterstützend zur Seite, um dieses für die Schweiz zentrale Thema zielgerichtet voranzubringen und Antworten auf die dringlichen Fragen des Cyberschutzes zu geben.
Das Advisory Board begrüsst grundsätzlich den Entscheid des Bundesrates zum Aufbau eines Kompetenzzentrums sowie die geplante Positionierung einer Mrs. bzw. eines Mr. Cyber. Den geplanten Ausschuss mit Vorstehern des EFD, VBS und EJPD beurteilen wir als wichtig und zentral. Im Entscheid des Bundesrates gibt es aus unserer Sicht jedoch auch Aspekte, die für die cyberphysische Weiterentwicklung der volkswirtschaftlichen, gesellschaftlichen und kulturellen Werte der Schweiz hinderlich sind:
- Fehlende Führungsfunktion: Im Bundesratsentscheid ist für das Kompetenzzentrum lediglich eine Koordinations- und keine Führungsfunktion vorgesehen. Dadurch wird eine der grossen Schwächen der NCS 1.0 nicht behoben.
- Fehlende Sofortmassnahmen: Durch den Entscheid werden bis Ende 2018 koordinierte Aktivitäten auf nationaler Ebene nur in sehr begrenztem Ausmass stattfinden. Angesichts der sich stetig weiterentwickelnden Bedrohungslage kann es sich die Schweiz nicht leisten, mit der konkreten Umsetzung der Anfang 2018 verabschiedeten NCS 2.0 zuzuwarten. Es besteht die Gefahr, dass mühsam erkämpfte Standortvorteile (Vertrauen, Stabilität und Zuverlässigkeit), wichtige Wettbewerbsvorteile im Umfeld der Digitalisierung, geschwächt werden.
- Fehlende Ressourcen: Aus dem Entscheid geht nicht hervor, in welchem Umfang dringend nötige, zusätzliche Ressourcen zum Umgang mit Cyberrisiken in den Departementen gesprochen werden. Die Ressourcenfrage muss zur Schaffung von Handlungsfreiräumen zwingend geklärt sein.
Aus oben genannten Gründen fordert das Advisory Board der SATW den Bundesrat zu folgenden Aktivitäten auf:
- Das Kompetenzzentrum muss im Rahmen NCS 2.0 und der zu definierenden interdepartementalen Verantwortlichkeiten Weisungsbefugnis haben. Eine reine Koordinationstätigkeit reicht für eine wirksame und zeitgerechte Umsetzung nicht aus.
- Die/der Mrs./Mr. Cyber ist mit hoher Priorität zu ernennen und soll das Amt spätestens im ersten Quartal 2019 antreten. Sie/er muss direkt an den BR rapportieren und direkten, schnellen Zugang zum definierten BR-Ausschuss haben.
- Der MELANI und der Koordinationsstelle NCS werden als wichtigste Sofortmassnahme zusätzliche Stellen im nötigen Umfang zugewiesen, um die Umsetzungsplanung der NCS 2.0 zu beschleunigen und weitgehend bis spätestens Ende 2018 abzuschliessen.
- In den Budgets 2019 von (mindestens) EFD, VBS und EJPD sind ausreichende finanzielle Mittel und ein Personalkontingent für 2019 bereitzustellen, damit mit der Umsetzung der NCS 2.0 2019 begonnen werden kann.
Die SATW als bedeutendes neutrales Schweizer Netzwerk im Bereich der Technikwissenschaften ist gerne bereit, ihre Expertise zur Konzeption und Realisierung der genannten Forderungen einzubringen und sich aktiv an den weiteren Schritten zu beteiligen.
Gerne möchten wir einen persönlichen Termin mit Ihnen vereinbaren, um Ihnen unsere Sicht der Thematik zu erläutern und das weitere Vorgehen sowie den Beitrag der SATW zu definieren. Am Gespräch nimmt neben den beiden Unterzeichnenden eine kleine Delegation des Advisory Boards Cybersecurity SATW teil.
Wir hoffen auf Ihr Interesse und freuen uns über einen persönlichen Austausch mit Ihnen.
Mit vorzüglicher Hochachtung
Eric Fumeaux, Vize-Präsident SATW
Adolf J. Dörig, Präsident Advisory Board Cybersecurity SATW
Folgende Mitglieder des Adivsory Board Cybersecurity SATW haben an der Formulierung dieses offenen Briefs mitgewirkt:
- Prof. Dr. Karl Aberer, Vice-president for Information Systems, EPFL
- Umberto Annino, Head Security Governance, SIX und Präsident Information Security Society Switzerland ISSS
- Dr. Alain Beuchat, Chief Information Security Officer, UBS
- Dr. Matthias Bossardt, Head Cyber Security Services, KPMG
- Roger Halbheer, Chief Security Advisor in EMEA, Microsoft
- Martin Leuthold, Head of Network & Security, Member of the Management Board, SWITCH
- Prof. Dr. Hannes P. Lubich, Dozent für ICT System Management, Fachhochschule Nordwestschweiz FHNW
- Prof. Dr. Adrian Perrig, Professor and Head of Institute of Information Security, ETH Zürich
- Prof. Dr. Bernhard Tellenbach, Professor and Head of Research Area, ZHAW Zürcher Hochschule für Angewandte Wissenschaften
- Prof. Dr. Stephanie Teufel, Professor und Director iimt, Universität Freiburg
- Daniel Walther, Chief Information Security Officer, The Swatch Group Services Ltd
- Dr. Andreas Wespi, Manager Software Solution, IBM Research Lab