17. Juni 2021

Aufbau bei voller Fahrt

Blog-bild-06

Bundesverwaltung // Am 30. Januar 2019 hat der Bundesrat die Schaffung eines Nationalen Zentrums für Cybersicherheit (NCSC) beschlossen. Dieses wurde auf bestehenden Strukturen aufgebaut, musste aber in kurzer Zeit neue Dienstleistungen entwickeln und die eigene Organisationsform finden.

«Der Bundesrat wird beauftragt, […] ein Cybersecurity-Kompetenzzentrum auf Stufe Bund zu schaffen und dafür die notwendigen Massnahmen einzuleiten. Diese Organisationseinheit hat die Aufgabe, die zur Sicherstellung der Cybersecurity notwendigen Kompetenzen zu verstärken und bundesweit zu koordinieren». Mit dieser Ende 2017 als Motion fast einstimmig überwiesenen Forderung hat das Parlament dem Bundesrat klar zu verstehen gegeben, dass es einen Ausbau und eine Zentralisierung im Bereich Cybersicherheit erwartet. Es hat damit den Druck auf die geplante Neuorganisation des Bundes erhöht und sicher dazu beigetragen, dass der Bundesrat etwas mehr als ein Jahr später die Schaffung des Nationalen Zentrums für Cybersicherheit (NCSC) beschlossen hat.

Das NCSC war damit von Anfang an mit hohen Erwartungen konfrontiert. Es musste rasch und mit relativ wenig vorhandenen Ressourcen aufgebaut werden und gleichzeitig fähig sein, das breite Spektrum an Themen mit Bezug zur Cybersicherheit abzudecken und eine sinnvolle Rollenaufteilung mit anderen Bundesstellen zu finden. Eine solche Ausgangslage bringt vielfältige Herausforderungen politischer, administrativer und organisatorischer Na- tur mit sich. In den zwei Jahren des Aufbaus des NCSC waren es vor allem politische, administrative und organisatorische Fragen, welche geklärt werden mussten.

Ungeklärte Anforderungen an das NCSC Die zentrale politische Herausforderung des NCSC besteht in den bereits durch die Forderung des Parlaments verdeutlichten Erwartungen der Politik, der Wirtschaft und der Bevölkerung. Dabei geht es weniger darum, dass die Erwartungen hoch sind, sondern um die Schwierigkeit, dass die politischen Debatten über die Rolle des Bundes in der Cybersicherheit erst am Anfang stehen. Abgesehen von der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) fehlen klare Richtlinien, welche Rolle der Bund bei der Cybersicherheit übernehmen soll. Es gibt bislang keine klaren gesetzlichen Vorgaben für den Aufgabenbereich und den Handlungsspielraum des NCSC. Solche zu erarbeiten, wird Zeit in Anspruch nehmen. Es ist nötig und richtig, dass solche staatspolitisch wichtigen Fragen im Parlament mit der angemessenen Sorgfalt diskutiert und anschliessend festgelegt werden. Dies führt jedoch zur Situation, dass der Aufbau des NCSC erfolgt, bevor wichtige Fragen abschliessend geklärt sind.

Das NCSC sucht daher über den Delegierten des Bundes für Cybersicherheit, Florian Schütz, aktiv den Austausch mit Politik und Wirtschaft und justiert so sein Aufgabenportfolio an den vorhandenen Erwartungen. Zudem orientiert es sich stark an der nationalen Strategie. Entsprechend hat es im Januar 2020 den operativen Betrieb der nationalen Anlaufstelle für die Wirtschaft und Bevölkerung aufgenommen. Diese nimmt Meldungen zu Cybervorfällen entgegen, analysiert diese und gibt den Betroffenen im Sinne einer ersten Hilfe Tipps zum weiteren Vorgehen. Damit leistet das NCSC einen wichtigen Beitrag zur in der Strategie vorgesehenen Erweiterung des Schutzes vor Cyberrisiken auf KMU und Bevölkerung.

Aufgabenabgrenzung innerhalb des Bundes Eine weitere Herausforderung besteht in der Klärung der Schnittstellen zu anderen Verwaltungseinheiten des Bundes. Das Thema Cybersicherheit war beim Beschluss zur Schaffung des NCSC keineswegs eine grüne Wiese im Bund. Verwaltungseinheiten verschiedener Departemente kümmern sich in ihrem Aufgabenbereich und aus ihrer Perspektive um das Thema. Cybersicherheit wurde und wird im Bund stets als Querschnittsthema aufgefasst, welches nur über den Einbezug von Fachwissen verschiedener Stellen bewältigt werden kann.

«Eine solche Ausgangslage bringt vielfältige Herausforderungen politischer, administrativer und organisatorischer Natur mit sich.»

Der Bundesrat hat 2019 festgelegt, dass das NCSC auf den bestehenden Strukturen der gut etablierten Melde- und Analysestelle MELANI aufgebaut werden soll, was den Aufbau des Zentrums vereinfacht und beschleunigt hat. Gleichzeitig hat er einen Cyberausschuss des Bundesrates und zwei interdepartementale Koordinationsgremien (Kerngruppe Cyber und Steuerungsausschuss NCS) geschaffen. Damit hat er verdeutlicht, dass er zwar die Forderungen nach einer stärkeren Zentralisierung im Bund berücksichtigt, gleichzeitig aber daran festhält, dass die Cybersicherheit weiterhin breit durch die zuständigen Stellen in ihrem Fachbereich vorangebracht werden soll.

Operative Aufgabenerfüllung muss schon während des Aufbaus funktionieren
Die letzte wichtige Herausforderung ist eine, die sich von Anfang an klar abgezeichnet hat. Da das NCSC sehr rasch seine operativen Aufgaben wahrnehmen musste, braucht es einen laufenden Aufbau. Es müssen Strukturen geschaffen und gefüllt werden, ohne dass bereits von Anfang an klar ist, wie viele Ressourcen eingesetzt werden können und welche Aufgaben eventuell noch dazu kommen. Dies setzt hohe Anforderungen an die Flexibilität und die Einsatzbereitschaft der Mitarbeitenden und der Führung voraus. Erfreulicherweise hat sich aber herausgestellt, dass diese Herausforderung gut zu bewältigen ist, da sich die Chance, eine nachhaltig effektive Organisation mitaufzubauen, als hoher Motivationsfaktor erweist. Das NCSC darf zudem feststellen, dass es trotzt Fachkräftemangel im Bereich Cybersicherheit bisher stets gelungen ist, sehr gut qualifiziertes Personal in relativ kurzer Zeit zu rekrutieren.

Nach zwei Jahren des Aufbaus lässt sich sicher ein positives Fazit ziehen. Das NCSC nimmt heute wichtige Aufgaben wahr und konnte dazu beitragen, dass der Bund ein klareres Profil im Bereich Cybersicherheit aufweist. Natürlich sind die erwähnten Herausforderungen noch längst nicht vollständig gelöst und es werden sicher weitere dazu kommen. Dank dem Fundament, das in den letzten Jahren geschaffen worden ist, kann der weiteren Entwicklung aber optimistisch entgegengeblickt werden.


Manuel Suter
Manuel Suter

Manuel Suter arbeitet für die Geschäftsstelle des Nationalen Zentrum für Cybersicherheit NCSC. Er verantwortet die politischen Geschäfte des NCSC und koordinierte die Umsetzung der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) 2018 – 2022.