Echte Bedrohungen und falsche Einschätzungen?

Die Schweiz ist wie jedes andere Land gewissen «Bedrohungen» ausgesetzt. Die Art der Bedrohungen der letzten Tage und Wochen scheint viele zu befremden. Dementsprechend wird auch der Fokus bei der Wahl der «Gegenmittel» unterschiedlich ausgerichtet…

In grossen Lettern war gestern zu vernehmen: «Hacker greifen EDA-Computer an». Diese Meldung überrascht. Nicht etwa, weil Hacker hier virtuell ein eidgenössisches Department angegriffen haben.

Nein, es ist die Meldung davor, die zusammen mit der gestrigen Meldung überrascht. Noch am Sonntag liess die SDA nämlich verlauten, dass eine «Computerpanne» das EDA, das EFD und das EDI lahm legten.

Unklare Kommunikation

Demnach soll ein Hardware-Problem schuld an dieser «Computerpanne» gewesen sein. Was sich bei diesen Meldungen nicht reimt, sind die folgenden Aspekte:

• Die IT der Bundesverwaltung wird wie bei jedem grösseren Unternehmen bestimmt redundant ausgelegt sein. Das heisst, fällt irgendwo etwas aus, kommt es nicht zu einem Totalausfall, sondern eher zu einer Einschränkung des Betriebs, weil andere Komponenten den Ausfall teilweise kompensieren. Oder anders gesagt: Ist es wirklich möglich und glaubwürdig, dass der Ausfall einer Hardware-Komponente gleich drei Departemente lahm legt? Falls ja, dann wäre das mehr als bedenklich…
    
• In einer Medienmitteilung bestätigt das EDA, Ziel einer Viren-Attacke gewesen zu sein. Es wird dabei keinerlei Bezug auf die SDA-Meldung von Sonntag genommen.
    
• Die SDA-Meldung vom Sonntag wurde bisher seitens Bund weder bestätigt noch dementiert. Was ist nun mit der «Computerpanne» im EFD und EDI? Sollte es sich um eine Falschmeldung seitens SDA handelt, wäre ein Dementi angebracht. Oder sind diese beiden Departemente und vielleicht noch andere auch von der Viren-Attacke betroffen, nur wird nun einfach das EDA «vorgeschoben»?
    

Ironie des Schicksals: In der September-Ausgabe der Kundenzeitschrift «Eisbrecher» berichtete das Bundesamt für Informatik (BIT) noch darüber, wie wichtig ein so genanntes «Schwachstellen-Scanning» von Systemen und Applikationen sei. Dieser Bericht kam wohl zu spät…

Cyberkriminalität betrifft viele

Wie auch immer, was hier dem EDA und allfälligen weiteren Departementen widerfahren ist, kennt man auch in der Privatwirtschaft. Dazu der folgende Rundschau-Beitrag vom 9. September 2009 des bloggenden André Marty, welcher ansonsten von Attacken aus dem Nahen Osten berichtet:

Derweil diskutiert, oder besser gesagt, diskutierte der Bundesrat eifrig über den neuen sicherheitspolitischen Bericht. Dieser wurde bekanntlich wegen Mängel, namentlich dem Weglassen der Auslandeinsätzen und der zukünftigen Grösse der Armee, zurück an den Absender geschickt und dürfte in einem halben Jahr wieder auf der bundesrätlichen Traktandenliste auftauchen.

Kein Geld – für welche Bedrohungen?

Vorgängig liess Bundesrat Maurer einen Versuchsballon aufsteigen. Sein Motto lautete: Entweder ihr gebt mir mehr Geld oder ich muss den Russen mitteilen, dass der Krieg aus finanziellen Gründen nicht stattfinden kann. Vielleicht sind es aber auch nicht die Russen. Eben: Der sicherheitspolitische Bericht liegt ja noch nicht vor, weshalb ja eigentlich noch gar nicht gesagt werden kann, welche Mittel für welchen Zweck bereitgestellt werden müssen.

Trotzdem vertritt er penetrant dieses Motto und lässt auch verlauten, dass Soldaten das Postauto zum Schiessplatz nehmen müssten, weil zuwenig Fahrzeuge und Treibstoff zur Verfügung stünden. Bedenkt man, dass doch immerhin das Postauto in Betracht gezogen wird, kann es diesen Soldaten ja nicht schlecht gehen. Noch vor wenigen Jahren war nämlich der Marsch und nicht die Fahrt zum Schiessplatz Usanz…

Wie die letzte NZZ am Sonntag zu berichten weiss, geht es höheren Militärangestellten ohnehin nicht schlecht. 210’000 Franken Kosten für einen Verteidigungsattché in London, dessen Nutzen in Frage gestellt ist, erlaubt in jedem Fall einen feudalen Lebensstil.

Falscher Mitteleinsatz…

Dass noch Geld vorhanden ist und die Armee nicht vor dem «Grounding» steht, beweist auch die letzte Lieferung der Luft-Luft-Lenkwaffe AIM-9X von vergangenem Freitag nach Payerne. «Die gelieferte Infrarot-Luft-Luft-Lenkwaffe AIM-9X Sidewinder ist ein Modell der neusten Generation», schreibt dazu das VBS.

Wie neu dieses «Upgrading» der F/A-18 für läppische 115 Millionen Franken ist, welches im Rahmen des Rüstungsprogramms 2003 bewilligt wurde, darf man sich ein halbes Jahrzehnt später allerdings schon fragen…

Das VBS schreibt weiter: «Die Anzahl der bestellten Lenkwaffen AIM-9X ist militärisch vertraulich klassifiziert. Unter Berücksichtigung des sicherheitspolitischen Umfelds und der finanziellen Rahmenbedingungen wurde nur eine minimale Anzahl Einsatzlenkwaffen zur Sicherstellung der Kernkompetenz beschafft.»

Schuldig bleibt hierzu das VBS die Antwort auf die Frage, was denn mit mehr Einsatzlenkwaffen hätte erreicht werden sollen. Oder wird bei der Armee immer etwas mehr bestellt, damit es dann ungebraucht in 30 Jahren ausgemustert werden kann?

…oder fehlende Kompetenz?

Auch der Umstand, dass nun der frühere Fast-Beamte Jens Alder, ehemaliger Swisscom-CEO und Fachoffizier (so steht das in der Medienmitteilung!), ungetarnt Ordnung in den Software-Dschungel des VBS bringen soll, zeigt, dass wenigstens in den letzten Jahren durchaus entsprechende finanzielle Mittel vorhanden waren.

Doch wenn selbst das VBS schreibt, dass «ungenügende Managementkapazität sowie fehlendes Know-how und Personal» zu «Kosten- und Terminüberschreitungen, überforderte Leistungsbereiche und nicht erfüllte Kundenbedürfnisse» führten, dann ist das zwar ein kräftiger Seitenhieb gegen alt-Bundesrat Samuel Schmid und den ehemaligen Chef der Armee Christophe Keckeis.

Es zeugt aber auch von Inkompetenz, welche nicht nur alleine beim politisch Verantwortlichen zu suchen ist. In der entsprechenden Bundesverwaltung sollte die dafür notwendige Kompetenz eigentlich vorhanden sein…

Damit nähern wir uns wieder dem anfänglichen Thema an: Im VBS, oder ganz allgemein beim Bund, hat man offensichtlich noch nicht verstanden, dass die heutigen «Bedrohungen» mit den konventionellen Mitteln nicht bekämpft werden können. Oder etwas sarkastisch ausgedrückt: Will denn der Bundesrat mit neuen Kampfflugzeugen gegen die Viren-Attacke im EDA und anderswo vorgehen?

Hilflose Armee

Wenn bundesrätliches Notrecht gesprochen wird, dann muss die «äussere oder innere Sicherheit» bedroht sein. Das war bekanntlich in den letzten Monaten einige Male der Fall.

So kam es denn im Rahmen der Bankenkrise zur Anwendung des bundesrätlichen Notrechts. Hier war der besten Soldat nicht etwa beim VBS zu finden, sondern beim EFD und bei der schweizerischen Nationalbank. Sie ermöglichten es, dass die damals vom Untergang bedrohte UBS nicht gleich die gesamte schweizerische Volkswirtschaft mit in den Abgrund reissen sollte.

Auch die Tinner-Akten, welche aufgrund einer Anordnung basierend auf dem bundesrätlichen Notrecht vollständig zu vernichten gewesen wären, wurden nicht mittels einer Panzerhaubitze aus den Reihen des VBS pulverisiert.

Dank Mani Matter wissen wir ja auch, dass ohnehin ein Streichholz gereicht hätte. Die paar hundert Seiten hätten vielleicht sogar einigen Soldaten erlaubt, einen Cervelat zu bräteln, um so gestärkt in die Unterkunft marschieren zu können.

Übrigens, die Cervelat wurde zwar ohne bundesrätliches Notrecht, aber dennoch ebenfalls nicht durchs VBS gerettet, obschon es dazu leiden-schaftliche Diskussionen in National- und Ständerat gab…

Sicherheitsfokus richtig kalibrieren

Es wird wohl noch einige Viren-Attacken gegen Private wie auch gegen die öffentliche Hand brauchen bis man feststellt, dass der Sicherheitsfokus in unseren Breitengraden auf ganz andere Themen zu lenken wäre.

Zwischenzeitlich haben tausende von privaten Anwendern und Unternehmen weiterhin Milliarden von Franken in die Sicherheit ihrer Hard- und Software und insbesondere ihres Firmenwissens zu investieren.

Oder hilft vielleicht die bei Novartis in riesigen Mengen beschaffte H1N1-Grippeimpfung gegen Viren aus dem Cyberspace?