Commandement Cyber, à chacun son métier
Le 23 avril 2024, j’ai eu le plaisir de prononcer un discours lors de l’ouverture de la manifestation de lancement du commandement Cyber.
Die Einladung zu Ihrem heutigen, gewichtigen Startanlass für ein neues Cyber-Kommando, mit der Möglichkeit ein Wort an Sie richten zu dürfen, hat mich besonders gefreut. Es ist ja nicht so, dass wir GRÜNEN als grosse Armeesupporter bekannt wären. Insofern gehen Sie also ein gewisses Risiko ein. Das rechne ich Ihnen hoch an.
Um Ihre Befürchtungen etwas in Zaum zu halten: Wir GRÜNEN haben die Abschaffung der Armee nicht im Parteiprogramm, und das war auch schon vor dem Ukraine-Krieg so. Was uns und auch mich persönlich antreibt, ist ein ganzheitliches Verständnis der Landesverteidigung. Eine Landesverteidigung, welche die Gesamtheit der politischen, zivilen, und militärischen Massnahmen zur Sicherung der staatlichen Unabhängigkeit und Abwehr äusserer Bedrohung umfasst. Lokale nachhaltig produzierte Nahrungsmittel, erneuerbare, einheimische Energieproduktion, eine starke, widerstandsfähige Wirtschaft, exzellente Aussenbeziehungen und eine gesunde, friedliche Gesellschaft gehören deshalb genauso in ein effektives Verteidigungsdispositiv wie die Armee.
La numérisation ainsi que les cyber-risques qui l’accompagnent touchent aujourd’hui chacun de ces domaines. En tant que « couche » essentielle elle se superpose au réseau électrique et est devenue indispensable au fonctionnement de la Suisse moderne. Elle touche donc l’autodétermination de ce pays. L’autodétermination signifie avoir des options stratégiques et pouvoir les mettre en œuvre. L’autodétermination ne signifie pas autarcie. La Suisse ne peut pas être complètement indépendante et autosuffisante, que ce soit dans le numérique ou analogique. L’autodétermination signifie la recherche des équilibres d’interdépendance sur le plan géopolitique, économique et technologique. Et cela vaut également pour l’armée. Elle doit s’intégrer dans le réseau militaire international de l’interopérabilité tout en étant capable de se défendre de manière aussi autonome que possible en cas d’urgence. Vous avez maintenant le grand privilège et la tâche exigeante de mettre en place un dispositif de cyberdéfense qui réponde à ces exigences pour l’armée. Je souhaiterais que vous vous laissiez guider, entre autres, par trois principes : Simplicité, collaboration et clarté des responsabilités. Permettez-moi de vous expliquer brièvement ce que je veux dire par cela.
Albert Einstein prägte offenbar das Bonmot: Mach die Dinge so einfach wie möglich, aber nicht einfacher. Komplexität ist Gift für Cybersicherheit. Je komplexer ein System, desto schwieriger ist es zu verstehen und unter Kontrolle zu halten. Technisch genauso wie organisatorisch. Beim gravierenden Cybervorfall XPlain ist beides zusammengekommen und hat zu einem katastrophalen Datenleak geführt. An Peinlichkeit war der Fall nur schwer zu übertreffen. Es ist aber nicht nur das Bestehende, das uns herausfordert. In der der jüngeren Vergangenheit konnten wir eindrückliche Innovationsschübe erleben. Ein aktueller ist mit der Generativen Künstlichen Intelligenz in vollem Gang. Das macht unsere Welt immer faszinierender. Und immer gefährlicher. Denn ohne dass wir die Legacy-Systeme gesamtheitlich je aufdatiert hätten, gesellen sich dauernd neue, schicke Technologien dazu. Dieser Druck, erzeugt durch reihenweise technologische Durchbrüche und ökonomische Interessen, wird nicht nachlassen. Deshalb gilt es Ansätze zu verfolgen, welche das Ganze verdaubar machen. Dazu brauchen wir resiliente Architekturen.
Das Militär kennt diese Ansätze: Galvanisch abtrennbare, redundante Einzelsysteme, die sich in ein Gesamtsystem einbinden, in überschaubarem Rahmen unterhalten und wo nötig nahtlos ersetzen lassen. Oder im Krisenfall sogar fallen gelassen werden können, ohne das Gesamtsystem substanziell zu schwächen. Besser ein Korb solcher Brötchen, statt ein grosser Laib Brot: Denn ein im Ofen verbranntes Weggli kann man wegstecken, wenn es den ganzen Laib verbrennt, dann bleibt nichts übrig. So simpel wie möglich, aber eben nicht simpler. Es ist ein hehres Ziel. Es ist ein Ziel, das auch die zivile Digitalisierung verfolgen muss, damit Cybersicherheit systemimmanent wird. Womit ich zum zweiten Punkt komme: Sharing is caring
Sie haben mit dem Cyber-Batallion bereits begonnen, Fachleute auszubilden. Dieses Fachwissen wird zwangsläufig auch für die Gesellschaft wichtigen Nutzen stiften. Das Thema Cybersicherheit wird nicht an Wichtigkeit verlieren, entsprechend ist dieser Fachkräftenachwuchs äusserst erwünscht. Über das Fachwissen hinaus, ist auch das Teilen von selber entwickelten Werkzeugen und Praktiken mit der zivilen Sphäre eminent wichtig. Digitaler Erkenntnisgewinn und Codezeilen kennen ja keine Grenzkosten und keinen Grenznutzen. Sie haben die besondere Verantwortung, jetzt die Wirkung des eingesetzten Steuerfrankens zu maximieren. Nicht nur, weil die Armee als Einzige substanziell mehr Bundesgeld erhält und alle anderen Bereiche zurückstecken müssen, sondern auch, weil Open Source Software resp. Public Money, Public Code – seit 1.1. dieses Jahres zum gesetzlichen vorherrschenden Paradigma für Softwareentwicklung des Bundes angehoben wurde. Das EMBAG – kurz für “Bundesgesetz über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben” ist ein wichtiger Digitalisierungsmeilenstein. In Rücksicht auf die Sicherheitsbedürfnisse der Armee und des Geheimdienstes haben wir beim EMBAG eine Ausnahme für sicherheitsrelevante Software definiert. Sie haben es in der Hand, mit dieser Klausel bei jeder Beschaffung und Neuentwicklung die Offenlegung zu verhindern. Ich lade Sie aber dazu ein, dies nicht zu tun und sich stattdessen freiwillig dem EMBAG zu unterstellen, wo immer das möglich und verantwortbar ist, denn das Parlament hat dieses Gesetz geschaffen, weil es überzeugt ist, dass der Staat und unsere Sicherheit von der gewonnenen Transparenz und Wiederverwendbarkeit von Software profitiert. Denn letztlich ähneln die technischen Ansätze im Sicherheitsbereich ja denen der Wirtschaft und der Zivilgesellschaft. Helfen Sie so mit, auch die zivile Schweiz im Cyberspace sicherer zu machen, ohne dabei den Fokus auf das Militärische zu verlieren!
Und damit gelange ich zur dritten Tugend: Schuster, bleib’ bei deinem Leisten.
Zu Beginn dieses Jahres wurden gerade drei cybersicherheitsrelevante Pflöcke eingeschlagen. Das NCSC, das National Cyber Security Center wurde in ein vollwertiges ziviles Bundesamt für Cybersicherheit – das BACS – umgewandelt. Ein neues Staatssekretariat für Sicherheit, das SEPOS, wurde geboren. Und mit dem Cyberkommando nimmt das Thema “Cyber” in der Armee nun definitiv Fahrt auf. Derzeit scheint es noch einiges an Klärungsbedarf zu geben, wer wofür zuständig sein wird. Glasklar ist, dass die Armee ihre eigene Cybersicherheit garantiert. Was ist aber mit der kritischen Infrastruktur, die nicht nur zivil sondern eben auch militärisch kritisch ist? Weil der zivile Cyberspace – anders als die physische Welt – bereits heute massiv und Rund um die Uhr durch eine immer raffinierter agierende Cyberangriffsindustrie unter Druck ist, muss die Antwort eine zivile sein. Auch damit die Wirtschaft und Zivilgesellschaft vorbehaltlos mit den Behörden interagieren kann und Zweifel allfälliger Nähe zum Nachrichtendienst oder dem Militär ausgeschlossen werden können. Das Zivile muss sich im Normalfall selber schützen, selber verteidigen können. Militärisches, subsidiäres Eingreifen in die zivile Sphäre darf nur im Katastrophen, im Kriegsfall geschehen. Diese Klarheit der Verantwortlichkeiten sollte der Bundesrat nun zügig schaffen. Das ist auch wichtig für uns im Bundeshaus. Wir müssen verstehen, wie und dass die Arbeitsteilung funktioniert. Ich möchte Ihnen also ans Herz legen, sich strikte auf das Militärische zu konzentrieren. Die Herausforderungen für Sie dürften sowieso enorm sein, insbesondere durch die Neubeschaffungen, welche in den kommenden Jahren eintrudeln werden. Die meisten Komponenten werden mit einem Rucksack an Cyber-Anforderungen daherkommen und ein Höchstmass Ihrer Aufmerksamkeit einfordern. Insofern dürfte es Ihnen nicht langweilig werden mit dem, was Sie für die Armee zu bewältigen haben.
Werte Damen und Herren, Gestalten Sie die Cyberabwehr so einfach wie möglich, aber nicht einfacher. Teilen Sie Erkenntnisgewinn, wo und wie Sie nur können. Und bleiben Sie bei Ihrem Leisten. Ich wünsche Ihnen einen fruchtbaren, bereichernden Startanlass. Herzlichen Dank für die Aufmerksamkeit.