Kommentar - NDB-Chef Seiler soll gemäss NZZ gesagt haben, “es wäre illusorisch, zu denken, der Staat oder eine staatliche Stelle könnten allein die Cyber-Sicherheit der Schweiz gewährleisten”. Seiler hat wohl recht, dass eine Zentralisierung der Cyber-Abwehr “abwegig” ist. Sie ist kaum möglich.

Unter Fachleuten dürften einige Aussagen im NZZ-Interview vom 15.05.2016 kaum umstritten sein. Was die Abwehr von Cyber-Angriffen angeht, müssen sich Firmen tatsächlich weitgehend selbst vor Hackerangriffen schützen. Zwar wäre eine gewisse Zentralisierung technisch nicht gänzlich ausgeschlossen, aber kaum relistisch und wenig wirksam. Bei einigen Angriffen heisst das Stichwort sogar eher mehr Dezentralisierung, wenn es etwa um eine Verbreiterung von Abwehr gegen bestimmte Risiken geht. Es wäre tatsächlich illusorisch zu glauben, der Staat könne “allein die Cyber-Sicherheit der Schweiz gewährleisten”.

Widerspruch?

Einerseits stellt der NDB-Chef wie gesagt zu Recht fest, dass keine staatliche Stelle (alleine) Schutz gewährleisten könne. Besonders Besitzer kritischer Daten müssten die Verantwortung wahrnehmen. Andererseits bemängelt er, dass der NDB “keine Gegenangriffe führen” dürfe, um Angreifer auszuspionieren und lahmzulegen. Das verbiete das Gesetz. Kann nun der Staat doch Schutz bieten oder nicht? Zumindest dann, wenn Gegenangriffe nun doch als Lösung dargestellt werden sollten, wäre ein gewisser Widerspruch auszumachen. Gemeint war wohl, dass ein Instrument beworben werden soll, das in gewissen Fällen “Angreifer lahmlegen” können soll. Insofern könnte man die Aussage nicht kritisieren.

Es mag Politik und Gesellschaft noch wenig bewusst sein, wie heikel Angriffe und Gegenangriffe im sogenannten Cyberraum sein könnnen. Das liegt sicherlich daran, dass “Cyber” immer noch ein neues Schlagwort ist. Da können sowohl erwiesene als auch sinnfremde Aussagen gleichermassen plausibel klingen. Symbolische Aussagen wie “Cyberangreifer sollen ausgeschaltet” werden sind rasch gemacht. Die Realität und die Praxis sind jedoch hoch komplex.

Man darf die Behauptung wagen, dass klassische militärische Gegenangriffe eines neutralen Landes sehr heikel wären und dass dies auch für Cyber-Angriffe nicht anders wäre. Wichtiger: Man darf es als äusserst unwahrscheinlich betrachten, dass ein Gegenangriff ein wirksames Mittel zur Abwehr sein soll. Die Erfolgs-Wahrscheinlichkeit dürfte gering sein. Weit höher sein dürfte hingegen die Wahrscheinlichkeit, dass dieser schief geht, wenn nicht sogar ausser Kontrolle gerät. Grosse (auch politische) Kollateralschäden sind möglich.

Warum?

“Attribution”-Problem: Ein intelligenter Angreifer ist auch heute noch kaum oder sehr schwierig auszumachen. Hingegen können selbst normale Computer, vergleichbar mit Botnets, unbeabsichtigt an einem Angriff beteiligt sein. Kompromittierte Hosts einer unschuldigen Drittpartei können unbemerkt involviert sein. Hinzu kommt, dass Angriffe sehr unterschiedlich sind. Nicht alle sind spektakuläre DDoS-Fälle. Der Ruag-Fall war offenbar sowohl ausgeklügelt wie auch einfach, was die “Eintrittspforte” betraf. Ferner können Cyber-Angriffe international und sehr komplex ablaufen. Ob das für ein kleines Land ein Vorteil oder Nachteil ist, bleibt vorläufig unklar. Grundsätzlich funktioniert die Abwehr bereits heute meist mit Mitteln, welche spezialisierte Firmen anbieten. Der Staat dürfte hier auch künftig kaum eine Rolle spielen - vermutlich zu Recht - ein (Gegen-)Beweis wäre erst noch zu erbringen.

Diskussion: Gibt es wirksamere (Teil-)Lösungen?

Ferner sei die Frage erlaubt, ob Cyber-Abwehr - nicht nur in der Schweiz - zu einem Nachrichtendienst gehören soll. Dass niemand auf die Idee kommt, “physische” Abwehr (also militärische Waffengewalt) einem Nachrichtendienst zuzuweisen, “Cyber”-Abwehr aber schon, scheint heute (noch) normal zu sein. Wie erwähnt dürfte dies auch hier damit zusammen hängen, dass wir uns ganz am Anfang des “Cyber”-Zeitalters befinden. Selbst Erwiesenes ist zumindest noch nicht Allgemeingut. Wer versteht schon genau, worum es geht?

Nach der Logik der obenstehenden Aussage könnte man geneigt sein, Cyber-Abwehr der Armee zuzuordnen. Das Problem, dass hochspezialisierte klassische Militär-Systeme das Milizpersonal fordern und überfordern, dürfte hier verstärkt der Fall sein. Cyber-Angriffe scheinen nur selten klassische militärische Attribute aufzuweisen. Die Ursachen und Motive von Attacken dürften ebenso vielfältig und komplex sein, wie dies (andere) Kriminalität oder andere gesellschaftliche Phänomene bis hin zu Wirtschafts-Spionage sind und waren.

Der Aufbau einer erweiterten, unabhängigen “Melanie” (die Seiler in anderem Zusammenhang übrigens auch erwähnt), möglichst im Wirtschafts-Departement oder im Departement des Innern angesiedelt, wäre zu prüfen. Das könnte die (kleine) Rolle des Staates sein. Mit Ressourcen und Kooperationen aus Forschung, Wirtschaft und Verwaltung dürfte sich die Cyber-Sicherheit signifikant erhöhen lassen. Auch hier: einen Beweis oder Gegenbeweis gibt es nicht direkt, wirksame und anerkannte Praktiken aber sehr wohl. Diese sind zu suchen in Methoden zur Erforschung und zum “Wissen schaffen”, wie sie bei andern neueren Phänomenen im Hightech-Bereich auch erfolgreich angewandt werden.

Vielleicht setzen sich auch in der “digitalen Welt” zunehmend bewährte bis beste Praktiken durch, die anderswo üblich sind. Mit besserer Forschung und Zusammenarbeit von Wissenschaft, Wirtschaft, Behörden und Gesellschaft können untaugliche von wirksamen Mitteln zunehmend besser auseinandergehalten werden.

(d/cmd/wue/red. wue)