Markus Seiler: Sind Sie sicher, dass das Gerät sicher ist? (zeigt auf das Smartphone des Journalisten)
Die NSA hört sicher mit.
Markus Seiler: Dann lernen die Amerikaner wenigstens mal was.
Und was genau kann die NSA von der Schweiz lernen?
Wie eine offene Gesellschaft funktioniert. Einiges, was die Obama-Administration gefordert hat, könnte schnell erledigt werden, wenn sie unseren Gesetzesentwurf zum neuen Nachrichtendienstgesetz lesen würden.
Dann hoffen wir doch, die NSA hört mit. Etwas ganz anderes. Herr Seiler, sind Sie ein ängstlicher Mensch?
Nein.
Überhaupt nicht?
Mit meiner Angst kann ich ganz gut umgehen.
Müssen wir denn Angst haben? Wie gross ist die Gefahr einer Hacker-Attacke auf die Schweiz?
Die Gefahr ist real, solche Angriffe passieren täglich.
Wie gross ist die Gefahr eines Luft- oder Bodenangriffs?
Diese Gefahr ist heute praktisch inexistent. Aber wer weiss schon, was in zehn Jahren ist.
Ich frage, weil Sie die 3,1 Milliarden für den Gripen angesichts der veränderten Bedrohungslage schmerzen müssen. Wäre das Geld bei Ihnen nicht besser aufgehoben? Sie könnten damit eine schlagkräftige Cyber-Abwehr aufbauen, die rund um die Uhr tätig sein dürfte.
Ich hätte einige Ideen, was ich mit einem Bruchteil des Geldes machen würde. Aber gleich drei Milliarden für den Nachrichtendienst auszugeben – ich weiss nicht. Ich will nicht in einem Staat leben, der solche Summen für den Nachrichtendienst ausgibt. Damit ginge die Freiheit jedes Einzelnen von uns früher oder später bachab. Wir brauchen den Gripen, weil wir uns auch in zehn Jahren schützen wollen. Zudem braucht der Aufbau einer neuen Luftwaffe Zeit. Deshalb müssen wir heute handeln, wenn wir auch in Zukunft gewappnet sein wollen.
Die Hacker-Attacken sind real, sagen Sie. Müsste das Budget nicht zugunsten des Nachrichtendienstes umgeschichtet werden?
Natürlich ist das Verteidigungsdispositiv bei Cyber-Attacken eine hochkomplexe Angelegenheit. Wenn Sie eine Firma führen – und bis anhin den Schutz vor Cyber-Attacken vernachlässigt haben –, leben Sie gefährlich.
Aber eben: Wir stark und wie gross muss eine Cyber-Abwehrtruppe des Bundes sein, um überhaupt etwas bewirken zu können? Reichen die 28 bewilligten Stellen?
In der Schweiz ist jeder für seine eigene Sicherheit verantwortlich. Selbstverantwortung kann der Bund der Bevölkerung nicht abnehmen. Jede Person und jede Firma muss das Nötige unternehmen, um sich zu schützen.
Es geht hier aber um den Bund, nicht um private Personen.
Was der Bundesrat für die Schweiz will, ist, dass die Verantwortung für den Schutz von Bundesinstitutionen dezentral übernommen wird. Und das sind eben diese 28 Stellen. Ein Teil davon ist dem Nachrichtendienst zugesprochen worden. Diese Spezialisten sollen bei der Erkennung von Cyber-Attacken helfen, Malware erkennen und deren Urheber identifizieren.
Es wurde auch Kritik laut. Die Strategie des Bundes sei verfehlt, monieren Experten. Es reiche schlicht nicht, was der Bund aufgleise.
Diese Experten hätten am liebsten einen hübschen Glaspalast mit einem Schild, auf dem steht: Ghostbusters. Das ist eine Illusion von Sicherheit. Das funktioniert so nicht.
Wieso nicht?
Die Schweiz ist nun mal föderalistisch organisiert. Unser Land hat sich zu Recht dafür entschieden, die Cyber-Abwehr beim Bund dezentral zu gestalten.
Mit anderen Worten: Bereits existierende Behörden erhalten mehr Mittel?
So ist es. Der Cyber-Angriff eines ausländischen Nachrichtendienstes auf ein strategisches Ziel in der Schweiz ist etwas komplett anderes als Cyber-Crime wie die Phishing-Mails aus Nigeria. Man kann das nicht über einen Kamm scheren.
Von welchen Ländern geht die grösste Gefahr aus?
Vor allem von den Ländern, die im Bereich der Informatik technologische Leitstaaten sind.
Welche?
Dazu äussere ich mich nicht.
Mit welchen Staaten arbeitet die Schweiz heute schon eng zusammen?
Die Frage, mit welchen ausländischen Nachrichtendiensten wir zusammenarbeiten dürfen, wird einmal im Jahr vom Bundesrat behandelt. Unsere Partnerdienst-Politik halten wir jedoch geheim. Was ich sagen kann: Wir arbeiten mit den Staaten zusammen, die gleiche Interessen wie wir verfolgen – oder mit ähnlichen Problemen wie wir konfrontiert sind. Die meisten Cyber-Attacken sind ohnehin international gesteuert. Nicht zuletzt deshalb drängt sich eine Zusammenarbeit mit ausländischen Nachrichtendiensten auf.
Die NSA-Affäre wirft die Frage auf, wie die Kooperation mit ausländischen Nachrichtendiensten künftig geregelt wird.
Bundesrat Ueli Maurer sagte vor einem halben Jahr ganz klar, dass wir keine Kooperation mit der NSA pflegen. Das andere betrifft die Partnerdienst-Politik. Darüber kann ich keine Auskunft geben.
Politisch heikel ist es, dass die Schweiz gemäss neuem Nachrichtendienstgesetz auch im Ausland aktiv werden möchte. Mit anderen Worten: Werden Sie künftig auch präventiv ausländische Server abschiessen?
Wir sind doch keine Cowboys. Das wäre die Ultima Ratio. Wenn aus dem Ausland strategisch wichtige Ziele des Bundes angegriffen würden und die diplomatischen Mittel keine Lösung bringen, dann müsste der Bundesrat entscheiden, wie und in welcher Form dieser Angriff abgewehrt werden kann. Dass wir dann aktiv in ausländische Server eindringen, ist durchaus vorstellbar.
Werden unsere Cyber-Krieger in diesem Fall auch DDoS-Attacken fahren dürfen?
Das ist ein denkbares Szenario.
Der Bundesrat wird einen solchen Cyber-Angriff also künftig bewilligen.
Noch besteht diese Möglichkeit nicht. Aber genau deshalb schaffen wir mit dem neuen Nachrichtendienstgesetz die Grundlage für entsprechende Massnahmen. Das Gesetz befindet sich in der Vernehmlassung. Die Politik muss entscheiden, unter welchen Voraussetzungen der Nachrichtendienst aktiv werden darf. Es braucht dafür eine politische Legitimation und eine rechtliche Bewilligung.
Das braucht Zeit. Haben wir diese im Fall einer Cyber-Attacke?
Wenn eine kritische Infrastruktur angegriffen wird, haben wir nicht Wochen und Monate Zeit, uns zu schützen. Deshalb braucht es ein System, das schnell und praktikabel ist.
Wie soll das aussehen?
Es muss sichergestellt werden, dass die Organe, die einen Angriff bewilligen, schnell agieren könnten. Auch dafür müssen wir die rechtlichen Grundlagen schaffen.
Ein beliebtes Ziel der Hacker ist die Energie-Infrastruktur. Wie schützt sich die Schweiz hier?
Jeder Anbieter einer kritischen Infrastruktur wird vom Bund angehalten, für angemessene Sicherheit zu sorgen. Das heisst: Die Elektrizitätswerke und die Verteiler müssen sicherstellen, dass ihre Netze hackersicher sind. Der Bund lässt sich über den Stand der Dinge informieren, verzichtet aber auf explizite Vorgaben und eine Meldepflicht im Falle eines Angriffs. Wir stellen mit MELANI eine Plattform zu Verfügung, auf der sich diese Anbieter austauschen und vernetzen können. Gerade weil die Angriffe sehr ähnlich und die Software meist die gleiche ist, können die einzelnen Unternehmen voneinander lernen.
Der Bund wünscht sich aber eine noch engere Kooperation mit den Unternehmen.
MELANI ist ein gute Plattform – uns ist sie vertraulich. Gerade börsenkotierte Unternehmen haben kein Interesse daran, dass ein Cyber-Angriff auf ihre Infrastruktur publik wird. Zudem stehen wir in Kontakt mit verschiedenen Verbänden wie Economiesuisse und Bankenvereinigung.
Noch zum Schluss: Der Nachrichtendienst soll bald auch Post- und Fernmeldeverkehr präventiv überwachen und private Räume verwanzen dürfen. Werde ich in Zukunft meine intimsten Geheimnisse mit Ihnen, Herr Seiler, teilen müssen?
Wenn Sie ein Terrorist sind oder wenn es sich um einen schweren Fall von Spionage handelt oder wenn Sie versuchen Massenvernichtungswaffen zu beschaffen, dann vielleicht. Sonst müssen Sie sich keine Sorgen machen.
Wir werden sehen.
Wir sind nicht die NSA.
Lesen Sie hier mehr zu Cyber-Angriffen.