Neue Cyberaufsicht kämpft mit Anlaufschwierigkeiten
Die neue Fachstelle des Bundes für Informationssicherheit hat ihre Arbeit aufgenommen, doch die Zusammenarbeit mit dem Bundesamt für Cybersicherheit harzt. Die Eidgenössische Finanzkontrolle kritisiert unklare Prozesse, Reibungsverluste und Lücken beim Informationsaustausch.
Gut zwei Jahre nach der Neuorganisation der Sicherheitsstrukturen des Bundes hapert es noch an der Zusammenarbeit der zuständigen Stellen. Zwar hat die Fachstelle des Bundes für Informationssicherheit (FS BIS) im Staatssekretariat für Sicherheitspolitik (SEPOS) ihre Arbeit aufgenommen und die vorgesehenen Aufgaben übernommen. Doch im Alltag sorgen Differenzen mit dem Bundesamt für Cybersicherheit (BACS) weiterhin für Verzögerungen und zusätzlichen Aufwand, wie die Eidgenössische Finanzkontrolle (EFK) in einem Bericht (PDF) festhält.
Der Bundesrat hatte die Zuständigkeiten im Bereich der Cybersicherheit Anfang 2024 neu geordnet. Auslöser waren die zunehmenden Bedrohungen durch Cyberangriffe, Desinformation und hybride Konflikte. Gleichzeitig entstanden das Staatssekretariat für Sicherheitspolitik, das Bundesamt für Cybersicherheit sowie das Kommando Cyber der Armee. Während das BACS als operative Fachbehörde Cybervorfälle analysiert und bearbeitet, steuert die Fachstelle im SEPOS die Informationssicherheit des Bundes auf strategischer Ebene.
Die Finanzkontrolle bescheinigt der neuen Fachstelle grundsätzlich die nötigen Voraussetzungen zur Erfüllung ihres gesetzlichen Auftrags. Gleichzeitig zeigt die Prüfung, dass die Zusammenarbeit mit dem BACS noch nicht reibungslos funktioniert. Einzelne Stimmen regten deshalb an, die Aufgaben wieder beim BACS zu bündeln. Doch die EFK hält diesen Weg für falsch. Eine weitere Reorganisation würde ihrer Einschätzung nach vor allem neue Unsicherheiten und Verzögerungen schaffen. Stattdessen sollten die beiden Behörden ihre Zusammenarbeit vertiefen und bestehende Prozesse verbessern.
Aufbau abgeschlossen, Probleme bleiben
Besonders kritisch beurteilt die EFK die Zusammenarbeit der beiden Behörden beim sogenannten Vorgabenmanagement. Dabei geht es um die Entwicklung, Koordination und Durchsetzung von Sicherheitsvorgaben für die Bundesverwaltung.
Zwar haben SEPOS und BACS eine Dienstleistungsvereinbarung abgeschlossen. In der Praxis funktioniert diese aber nur teilweise, wie die EFK feststellt. Vereinbarte Unterstützungsleistungen stünden nicht im vorgesehenen Umfang zur Verfügung, Arbeitsabläufe seien noch nicht vollständig etabliert und operative Teams hätten sich wiederholt nicht auf die Aufteilung von Aufgaben einigen können.
Die Folge sind zusätzliche Abstimmungsschlaufen und Verzögerungen. Laut EFK drohen dadurch unklare Verantwortlichkeiten und eine ineffiziente Umsetzung von Sicherheitsvorgaben. Die Finanzkontrolle fordert deshalb, dass beide Organisationen ihre Rollen klarer definieren und bestehende Differenzen auf Führungsebene bereinigen.
Meldungen erreichen nicht immer die richtige Stelle
Probleme sieht die EFK auch bei der Meldung von Cybervorfällen. Das BACS betreibt mit dem "Cyber Security Hub" die zentrale Plattform, über die Behörden, Unternehmen und Betreiber kritischer Infrastrukturen Cyberangriffe melden können. Verwaltungseinheiten können dort auswählen, ob das SEPOS zusätzlich über einen Vorfall informiert werden soll. Erfolgt diese Weiterleitung nicht, erhält ausschliesslich das BACS die Meldung. Weil dem Bundesamt die rechtliche Grundlage fehlt, Informationen eigenständig an das SEPOS weiterzugeben, ist nicht sichergestellt, dass die Fachstelle einen vollständigen Überblick über alle sicherheitsrelevanten Ereignisse erhält.
Für die Finanzkontrolle ist das problematisch. Die Fachstelle soll nicht nur bei der Bewältigung von Vorfällen unterstützen, sondern auch Sicherheitsvorgaben für die gesamte Bundesverwaltung laufend an neue Bedrohungen anpassen. Ohne vollständige Informationen könne sie diese Aufgabe nur eingeschränkt erfüllen.
Auch bei konkreten Vorfällen zeigt sich laut Bericht Verbesserungsbedarf. Während die Zusammenarbeit bei einem Sicherheitsproblem rund um ein cloudbasiertes Kollaborationstool gut funktionierte, verlief die Abstimmung in anderen Fällen ungenügend. Teilweise wussten die beteiligten Stellen nicht, welche Massnahmen die jeweils andere Behörde bereits eingeleitet hatte.
Positiv hebt die EFK hervor, dass die Fachstelle inzwischen zusätzliches Fachpersonal gewonnen und Grundlagen geschaffen hat, um systematisch aus Cybervorfällen zu lernen.
Übrigens: Im Oktober 2025 stellte das BACS ein Konzept vor, das die Koordination bei Cyberangriffen auf kritische Infrastrukturen verbessern soll - mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Update: Bald fahren Uber-Robotaxis durch Zürich
Netskope gibt MSPs neue Self-Service-Tools an die Hand
Neue Cyberaufsicht kämpft mit Anlaufschwierigkeiten
Schweizer Start-up hilft Unternehmen beim Berechnen ihrer Quantenrisiken
Infinigate und Igel partnern für sicheren Endpoint-Zugang
Update: Winterthur findet neuen CIO in den eigenen Reihen
RedIT expandiert in die Ostschweiz
Update: Nationalrat besteht auf Identifikationspflicht beim Domainkauf
Zwei Start-ups präsentieren Lösungen für weniger Bildschirmzeit
