20 Jahre Melani: Die Weiterentwicklung zum Bundesamt

Was hat sich in den 16 Jahren verändert, bis 2020 auf Basis von Melani das National Cyber Security Centre aufgebaut wurde?

Pascal Lamia: Als ich 2008 die Gesamtleitung von Melani übernommen habe, fanden bereits kleinere Konsolidierungen statt. Eine meiner ersten Entscheidungen war, dass wir ein eigenes technisches Kompetenzzentrum brauchen. Das war der Aufbau und die Gründung des GovCERT-Teams am 1. April 2008.

Man hat dieses Team Schritt für Schritt aufgebaut, hat zusätzliche Mitarbeitende bekommen und das Know-how ausgebaut, aber parallel dazu sind natürlich auch die Cyberkriminellen immer noch besser und schneller geworden. Das war ein stetiges Nachrüsten, auch technisch von unserer Seite. Von aussen sind natürlich die Erwartungen der kritischen Infrastrukturen und insbesondere auch von der Politik massiv gestiegen. Da hiess es dann plötzlich: “Jetzt habt ihr das Technische auch noch bei euch und ihr habt mehr Leute, warum könnt ihr die Vorfälle nicht verhindern?”

Marc Henauer: Die Erwartungen sind definitiv gestiegen. Gerade in Bezug auf die Komplexität hat sich sehr viel geändert. Um mit der Abwehr Schritt halten zu können, hat auch die kriminelle Seite ihre Prozesse in den letzten 20 Jahren mehr und mehr automatisiert und digitalisiert.

Aber die Hauptbedrohung bleibt gleich. Das Ziel der Cyberkriminellen wird es immer sein, mit möglichst geringem Aufwand an möglichst viel Geld zu kommen. Dort mitzuhalten und das zu verfolgen, ist unsere Aufgabe.

So wie ein Melani-Vertreter einst in der ‘Tagesschau’ erklären musste, was Phishing genau ist, erklärten wir später, was der Business Case hinter Ransomware ist. Heute beobachten wir ein ganzes Tummelfeld an Cyberkriminalität. Wir müssen die Lage viel breiter verfolgen. Und gerade da ist das Informationsaufkommen explodiert.

Aus Melani entstand zuerst das NCSC, nachher das Bundesamt für Cybersicherheit. Wie hat sich die Anzahl der Mitarbeitenden seit 2004 verändert?

Marc Henauer: Bei der Gründung waren es zwei Personen vom Informatiksteuerungsorgan des Bundes (ISB). Hinzu kamen zwei Angestellte für das Lagezentrum von Melani im Dienst für Analyse und Prävention, welche vom ISB finanziert wurden. Zusätzlich dazu gab es noch anderthalb Stellen bei Switch-Cert, die für die technischen Analysen zuständig waren, bis diese Aufgaben 2008 in Melani integriert wurden.

Ruedi Rytz

Ruedi Rytz gehört zu den Gründervätern von Melani. Er war Informationssicherheitsbeauftragter Bund im damaligen Informatiksteuerungsorgan Bund (ISB) und dort für Grundlagen und das Thema Information Assurance zuständig. In Rahmen dieser Tätigkeit hat Rytz die Melde- und Analysestelle Informationssicherung aufgebaut und während den ersten vier Jahren geleitet. 2008 ist er dann ins Bundesamt für wirtschaftliche Landesversorgung gewechselt. Seit August 2024 ist er wieder zurück beim Bundesamt für Cybersicherheit.

Ruedi Rytz: Die Strategie beim ISB sah zunächst vor, dass die technischen Analysen von Switch erledigt werden. Gleichzeitig war das Lagezentrum beim damaligen Dienst für Analyse und Prävention im Eidgenössischen Justiz- und Polizeidepartement (EJPD) angesiedelt, der dann zum Nachrichtendienst des Bundes (NDB) überging. Zudem wurde Anfang 2008 entschieden, dass wir diese Kompetenzen zur technischen Analyse bei Melani selber haben und aufbauen müssen.

Wie sah der Bestand der Mitarbeitenden beim Übergang von Melani zum NCSC aus?

Florian Schütz: Die erste nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken galt ab 2012, und 2018 folgte die zweite. In Letzterer wurden erstmals alle Cyber-Belange aufgeführt – auch diejenigen der Armee. Das ging mit der Aufgabe einher, dass der Ressourcenbedarf ausgewiesen werden musste. Aufgrund der Ergebnisse der zweiten nationalen Strategie wurde dann entschieden, dass für all diese Belange eine Gesamtkoordination nötig wird. So wurden die Mitarbeitenden das erste Mal alle unter einem Schirm zusammengefasst.

In den Jahren von 2019 bis 2021 haben wir Anträge geschrieben, um die Stellen, die vom Parlament gesprochen worden sind, auch entsprechend zu verteilen. Das war natürlich eine politische Diskussion, so gab es bestimmte Präferenzen von einzelnen Departementen und Ämtern. Es wurde geschaut, was ist fachlich sinnvoll und wie gut man damit arbeiten kann. Das betraf sowohl die Informationssicherheitsbeauftragten, das Security Operation Center beim Bundesamt für Informatik und Telekommunikation (BIT), den Nachrichtendienst, die Bundespolizei als auch Stellen beim Bundesamt für wirtschaftliche Landesversorgung (BWL).

Mit dem Übergang von Melani zum NCSC im Jahr 2020 wurden auch die ersten Cyber-Stellen aus dem ISB ins NCSC überführt, konkret handelte es sich dabei um sechs Vollzeitstellen aus dem GovCERT-Team. Hinzu kamen zwei Leitungen, zwei Stellen für die Koordination der NCS und das Team im Bereich der Vorgaben, das waren noch einmal sechs Stellen. Das heisst, zu diesem Zeitpunkt waren bei Melani respektive dem NCSC de facto 16 Leute angestellt.

War die neue Gesamtkoordination die grösste Änderung beim Wechsel von Melani zum NCSC?

Florian Schütz: Ich habe viele Debatten über meine Rolle mitbekommen, bei denen meine Weisungsbefugnis in Frage gestellt wurde. So hat mir das Parlament zwar eine gewisse Weisungsbefugnis gegeben, aber auf der anderen Seite stand das Setup zur Debatte. Dass eine Position sehr eigenständig ist und eigentlich nur über das Departement gesteuert wird, war damals eine Gratwanderung. Es galt, Vertrauen aufzubauen in den verschiedenen Einheiten, bei der Armee und der Bundespolizei beispielsweise.

Meine Rolle hat sich dann relativ schnell herauskristallisiert, denn die drei Säulen in unserer Strategie standen fest. In der Cyber-Strafverfolgung haben wir heute noch zwei Hauptbehörden, das ist einerseits die Bundesanwaltschaft und andererseits das Fedpol auf Stufe Bund. Im Bereich der Cyber-Defense, also militärische und nachrichtendienstliche Arbeit, gab es auch zwei Hauptorganisationen, den Nachrichtendienst und die Armee. Im Bereich der Cybersicherheit von kritischen Infrastrukturen, der Sensibilisierung von Bevölkerung, Wirtschaft und Bildung hatten wir aber noch keine Strukturen.

Das aber konnte Melani bieten: Eine Struktur, die in diesem Bereich schon sehr stark zugunsten der Wirtschaft tätig war und zwar ohne nachrichtendienstlichen, militärischen oder Strafverfolgungsauftrag. Auf der anderen Seite standen Elemente wie Standardisierung oder Sensibilisierung, die noch dazu gekommen sind.

Die Überlegungen, wie man den Sicherheitsbereich konsolidieren und in anderen Bereichen stärken kann, haben wiederum zur Gründung des Kommandos Cyber Anfang 2024 beigetragen. Damit wurden auch die militärischen Strukturen noch einmal stabiler aufgestellt.

Was würden Sie als den grössten Impact in dieser NCSC-Zeit bezeichnen?

Florian Schütz: Die anderen können mir gerne widersprechen, aber ich denke, die Maturität ist gestiegen. In meinem Assessment hatte Melani eine ganz bestimmte Herausforderung: Die Stelle hat schwach skaliert. Der Bedarf hat zwar stetig zugenommen, aber die Leistung musste qualitativ auf dem gleichen Niveau bleiben. Die Schweiz ist ein kleines Land, das heisst, wir können nicht in die Breite, sondern müssen in die Tiefe gehen. Gleichzeitig ist es eine Herausforderung, die Bedürfnisse des Kundenstammes zufriedenzustellen. In den Experten-Communities hatte Melani zwar immer einen guten Ruf. Von aussen hiess es aber schnell, wir seien langsam, träge und nur schwer fassbar. Für mich war es deshalb besonders wichtig, dass wir hart gegenüber uns selbst sind und auch auf negatives Feedback hören.

Als ich meinem ersten Halbjahresbericht verfassen durfte, habe ich ein sehr kritisches Vorwort aus meiner Aussensicht geschrieben. Das kam nicht überall gut an. Aber mir war wichtig zu zeigen, dass wir selbstkritisch und offen für Inputs sind. Wir sind eine Behörde und somit für die Bevölkerung da. Ich glaube, diese Herangehensweise hat es uns ermöglicht, das NCSC weiter auszubauen.

Der zweite Punkt ist, dass Melani sehr stark mit der Unterstützung von kritischen Infrastrukturen assoziiert wurde. Dabei hat die Behörde auch oft reaktiv gehandelt und wurde entsprechend so wahrgenommen, obwohl es auch proaktive Ansätze gab, wie beispielsweise bei der Threat Intelligence. Im Idealfall komme ich gar nicht erst in die Situation, dass es einen Zwischenfall geben kann, indem ich ein System möglichst korrekt baue. Das heisst, wir fragen uns, was braucht es eigentlich, um in einem wirtschaftlich sinnvollen Setting eine Lösung zu finden, die eine kleine Angriffsfläche hat, gleichzeitig resilient und auch noch sinnvoll gebaut ist.

Gibt es rückblickend sonst noch Unterschiede zwischen dem NCSC und dem Bacs?

Florian Schütz: Das NCSC bestand für fast vier Jahre. Ich denke, diese Zeitspanne war ein bisschen lang. Bei meinem Start 2019 war ich vielleicht ein bisschen naiv, denn ich kannte den Bund nur aus der Zusammenarbeit von aussen. Damals war ich noch in der Privatwirtschaft tätig und habe bei Zalando in Berlin die Abteilung für IT-Risk and -Security ausgebaut.

Als ich in die Verwaltung gewechselt bin, habe ich den gleichen Ansatz wie in der Privatwirtschaft verfolgt. Das heisst, Ressourcen zusammenziehen, Prozesse standardisieren, automatisieren und Synergien gewinnen. So funktioniert eine Bundesbehörde aber nicht. Das musste ich zuerst lernen.

Der Prozess mit der Ämterkonsultation ist darauf aufgebaut, dass jeder etwas zu einem Geschäft sagen kann. Das führt auf der negativen Seite zum Teil dazu, dass sich jemand äussert, der nicht vom Fach ist. Auf der anderen Seite führt es selbstverständlich zu mehr Resilienz im politischen System, die höher zu gewichten ist als der letzte Tropfen Effizienz. Das sind alles Prozesse, die ich lernen musste.

Ich denke, in diesem Bereich verstecken sich auch die grössten Unterschiede zwischen dem Bacs und dem NCSC. Das NCSC stand damals quer in der Landschaft. Meine Mitarbeitenden waren im Generalsekretariat des EFD angestellt, ich als Vorgesetzter war direkt dem Bundesrat unterstellt. In dieser Zeit hatten wir keine eigene Personalabteilung, keine eigenen Rechtsdienste. Wir haben alles ausserhalb unserer Organisationseinheit bezogen, was nur bedingt in unsere Strukturen gepasst hat.

Zum Teil gab es Schwierigkeiten bei der Rekrutierung, weil das HR eine gewisse Distanz hatte. Oder es gab Diskussionen zur Finanzierung, obwohl wir eigene Budgets hatten. Das waren formelle Hürden, die es uns nicht einfach machten. Jetzt haben wir alles selbst in der Hand, das Bacs hat ein eigenes Budget, eine eigene Personalabteilung und einen eigenen Rechtsdienst. Das erlaubt es uns, effizienter zu arbeiten.

Jetzt existiert das Bundesamt für Cybersicherheit fast ein Jahr. Können Sie eine erste Bilanz ziehen?

Florian Schütz: Aus der Innensicht kann ich sagen, dass sich sehr viel beruhigt hat. Mit der Überführung in ein Bundesamt Ende letztes Jahr ging auch ein Departementswechsel einher. Das lief nicht alles so strukturiert, wie man es vielleicht erwartet, und hat auch Unruhe bei den Mitarbeitenden ausgelöst. Wie bei allen Wechseln kamen auch hier Fragen zur Zukunft der Behörde auf.

Florian Schütz

Florian Schütz amtet aktuell als Direktor des Bundesamtes für Cybersicherheit. Er hat im August 2019 als Delegierter des Bundes für Cybersicherheit seine Tätigkeit aufgenommen und mit dem Aufbau des NCSC begonnen. Schütz stand bereits 2004 während seines Studiums in Kontakt mit Melani. Später konnte er auf Seiten des Rüstungsbetriebs Ruag an der ersten Strategie mitarbeiten.

Wir hatten Diskussionen mit dem NDB und dem BWL. Das, würde ich sagen, hat sich im laufenden Jahr kontinuierlich geklärt. Die Leute wissen, woran sie arbeiten und sie wissen, in welcher Struktur sie sind. Wir haben für das neue Bundesamt auch eine Strategie geschrieben. Dort konnten wir noch einmal klären, wofür wir eigentlich hier sind und was unser Auftrag ist. Was uns immer noch beschäftigt, ist, dass der Anspruch steigt.

Das zeigt grundsätzlich, dass wir etwas gut machen, bedeutet aber auch, dass wir mehr Mittel benötigen. Dies ist eine Herausforderung. Deshalb arbeiten wir an unserem Portfolio, aber auch an mehr Effizienz. Gleichzeitig steigt aber auch der Anspruch an die Mitarbeitenden, weshalb wir kontinuierlich in ihre Entwicklung investieren.

Wenn wir jetzt diese Dunkelziffer und die Anzahl der steigenden Vorfälle betrachten, hat das Bundesamt für Cybersicherheit genug Ressourcen? Oder braucht es noch mehr?

Florian Schütz: Ressourcen hat man nie genug. Ich persönlich habe etwas Mühe damit, wenn man immer über fehlende Ressourcen jammert. Unser Anspruch ist es, mit den vorhandenen Mitteln das Bestmögliche zu leisten. Darum investieren wir auch viel in Automatisierung und versuchen, diejenigen Mitarbeitenden zu akquirieren, die uns dabei helfen können.

Zudem haben wir viel in eine sektorspezifische Sensibilisierung investiert. So muss man im öffentlichen Sektor die Verantwortlichen teilweise immer noch darüber informieren, wie ein sicheres Passwort auszusehen hat. Einem Unternehmen muss man das wahrscheinlich nicht mehr erklären. Wenn eine Firma das aber immer noch nicht weiss, dann ist das eher ihr Problem, wenn ich das so plakativ sagen darf.

Für Unternehmen ist es beispielsweise wichtig, dass sie wissen, wie sie ihre eigenen Produktionsprozesse sichern können. Das bedeutet, dass wir die verantwortliche Person im Unternehmen überzeugen müssen, einen Security-Check einzubauen, obwohl dieser kostet. Wir versuchen, uns sektorspezifisch aufzustellen und sehen einen grossen Bedarf.

Aktuell besteht das GovCERT-Team aus elf Mitarbeitenden. Wenn sich jetzt die Dunkelziffer der Vorfälle, die wir heute noch nicht genau abschätzen können, als so gross wie befürchtet erweisen sollte, müssen wir alle Unternehmen, insbesondere die Betreiber kritischer Infrastrukturen, rund um die Uhr unterstützen können. Aber genau abschätzen können wir das heute noch nicht. Auf der anderen Seite wird es meine Aufgabe sein, sicherzustellen, dass wir den gesetzlichen Auftrag erfüllen können.

Florian Schütz: Ich kann die Abgänge gerne schnell einordnen. Einerseits waren persönliche Gründe dafür verantwortlich. Die Mitarbeitenden des GovCERT-Teams haben jedoch schon früh angesprochen, dass sie einen solchen Wechsel nicht unbedingt mitmachen möchten. Dabei gab es ideologische oder strukturelle Bedenken sowie Ängste vor der Bürokratie bei einem Wechsel zu einem Bundesamt. Es gab ein sehr breites Spektrum an Argumenten. Doch das Team hat relativ klar gesagt, dass es auch in Zukunft gerne zusammenarbeiten möchte.

Wir hatten einen sehr transparenten Austausch mit dem Team. Pascal Lamia war als Chef des Teams auch sehr nah an dieser Entscheidung dran. Wir haben zwar versucht, die Mitarbeitenden zu überzeugen, aber haben auch signalisiert, dass wir einem Wechsel selbstverständlich nicht im Wege stehen. Wir haben jetzt das Glück, dass eine Mitarbeiterin aus einem anderen Bereich und ein ehemaliger Mitarbeiter des GovCERT-Teams die Co-Abteilungsleitung übernommen haben. So gab es einen reibungslosen Übergang.

Das neue Team – zu dem es durchaus auch öffentliche Kritik gab – funktioniert heute sehr gut. So hat es beispielsweise die Bürgerstock-Konferenz mit allen Partnern im NCSC federführend mitgetragen und das Cyber-Dispositiv extern geleitet. Für diese Arbeit hat sich das Team auch extrem hohen Respekt aus dem Ausland verdient. Die Abteilungsleitung hat exzellente Leute rekrutiert. Und das, was an Erfahrung noch fehlt, was andere über Jahrzehnte aufbauen konnten, kann durch Engagement, Fachkenntnisse und strukturiertes Denken erarbeitet werden.

Pascal Lamia

Pascal Lamia ist im Jahr 2000 zum Bund gestossen. Zu Beginn war auch er im Umfeld der Sicherheitsvorgaben im Informatiksteuerungsorgans des Bundes (ISB) angestellt. 2008 konnte er die Melde- und Analysestelle Informationssicherung (Melani) von Ruedi Rytz übernehmen. Nach der Übernahme hat Lamia die Organisation bis zur Transformation zum National Cyber Security Centre (NCSC) geführt. Dabei war er sowohl für die Gesamtleitung von Melani als auch für die Integration ins NCSC verantwortlich. Zudem hat Lamia die Schritte für die Schaffung des Bundesamtes für Cybersicherheit vorbereitet. Heute leitet er die operative Cybersicherheit im Bacs.

Pascal Lamia: Die betroffenen Mitarbeitenden waren alle schon sehr lange dabei und hatten entsprechend eine gewisse Seniorität erreicht. Ich begrüsse es, dass sie mit den SBB einen Arbeitgeber im Bereich der kritischen Infrastruktur gefunden haben. Sie nehmen ihr Mindset mit und wollen auch weiterhin eine möglichst hohe Sicherheit gewährleisten. Unterdessen haben wir auch schon Projekte mit der Bahn gestartet, bei denen wir sehr eng mit den SBB zusammenarbeiten.

Sich das gleiche Know-how wieder zu sichern, war praktisch chancenlos. Man muss aber auch die Vorteile sehen, der Wechsel hat uns neue Chancen und Möglichkeiten eröffnet. Die neuen Mitarbeitenden wollen ebenfalls etwas zur Sicherheit beitragen und bringen gleichzeitig einen neuen Groove mit. Sie sind gewillt, zu lernen. Die neue Leitung des GovCERT hat es sehr schnell geschafft, eine gewisse Ruhe einkehren zu lassen. Der Wechsel war eine Riesenaufgabe, die wir aber sehr gut gemeistert haben.

Florian Schütz: Die neuen Mitarbeitenden im GovCERT-Team sind sehr gut. Dadurch, dass die Leute sehr offen sind, haben wir einen Riesenvorteil. Auch die Zusammenarbeit über die verschiedenen Behörden ist viel einfacher geworden. Das ist meiner Meinung nach auch der Grund, weshalb wir diese Grossevents jetzt so gut durchführen konnten. Die Leute haben die Herausforderungen angenommen und haben mit den Partnern zusammengearbeitet.

Dort merke ich schon, dass ein Wechsel auch immer etwas Gutes hat. Eine Firma, die ihre Mitarbeitenden nie wechselt, ist wahrscheinlich nicht sehr innovativ oder in einem innovativen Markt tätig. So ist weder zu viel Stabilität, noch zu wenig, genau richtig. Ich glaube, das hat uns geholfen, eine gute Mischung aus angestammtem Wissen, neuem Personal und frischen Ideen zu schaffen. Ich denke, in der Retrospektive ist das wesentlich besser gelaufen, als man sich das vorher vorgestellt hat.