Das neue Staatssekretariat für Sicherheitspolitik Sepos soll Cyberattacken verhindern. Doch wie das Amt arbeitet, haben Angreifer ein leichtes Spiel.
Die Schweiz leistet sich eigens ein neues Staatssekretariat für Sicherheitspolitik (Sepos) und der Bundesrat gab der Behörde vor gut einem Jahr einen der ersten Aufträge.
Dabei ging es darum, die Massnahmen anzugehen, welche die Landesregierung nach dem Hackerangriff auf Xplain beschlossen hatte.
Banales und Unverständliches
Dieser Tage legte Sepos nun den Bericht an die Bedarfs- und Beschaffungsstellen des Bundes vor, der die Grundlagen und mögliche Lösungsansätze aufzeigt, wie die Informationssicherheit bei externen Lieferanten verbessert und effizient geprüft werden könne.
Wer den Bericht ansieht, merkt aber rasch, dass da «wahre Experten» am Werk waren.
Es finden sich nämlich neben vielen Banalitäten zum wirksamen Einsatz von öffentlichen Mitteln oder zu konsequentem Zuweisen von Verantwortlichkeiten auch nach mehrmaliger Lektüre für Normalsterbliche kaum ein verständlicher Absatz.
EFK rügte Unverbindlichkeit
Externen könnte dabei der Eindruck entstehen, als wolle die Schweiz gerade mittels Durcheinander ihre Cyberresilienz verbessern.
Sicher war beim Hackerangriff Xplain auch kollektive Verantwortungslosigkeit die Ursache. Wie sich mit so einem Handbuch nun künftig Datenabflüsse bei Lieferanten vermeiden lassen, erschliesst sich nicht wirklich. Schon das Communiqué dazu ist nichtssagend.
Die Eidgenössische Finanzkontrolle EFK hatte ohnehin unlängst bei einer Untersuchung zum Schutz kritischer Infrastruktur der Schweiz erklärt, dass die bestehenden Vorgaben heutzutage unvollständig und teilweise zu wenig verbindlich seien.
Das neue Handbuch des Sepos setzt da quasi noch eins obendrauf.
Massnahmen beschlossen
Doch das ist bei dem neuen Staatssekretariat, welches im Verteidigungsdepartement VBS angesiedelt ist und von Markus Mäder geführt wird, noch nicht mal das eigentliche Problem.
Der Bundesrat hatte im August 2023 eine externe Stelle mit der Aufarbeitung der Ereignisse rund um den Datenabfluss bei der Xplain AG mandatiert.
Als die Erkenntnisse vorlagen, beschloss der Bundesrat umgehend Massnahmen zur Vermeidung künftiger Datenabflüsse.
Fast halbes Jahr zu spät
Eine dieser Anweisungen war, das Sepos zu beauftragen, bis Ende 2024 Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten zu erarbeiten.
«Diesem Auftrag wird hiermit nachgekommen», hiess es nun wörtlich in dem vom Sepos vorgelegten Bericht.
Doch das ist Monate zu spät. Warum, erklärte das Amt nicht.
So werden Missstände beim nächsten Cyberangriff sicher auch wieder unter den Tisch gekehrt. Die neue Behörde macht es sogar vor, wie es geht.
11.05.2025/kut.
