German (PDF) - Center for Security Studies (CSS) - ETH Zürich

Executive Summary
Auftrag und Inhalt
Gemäss eines Auftrag des Bundesrats wurde die Melde- und Analysestelle Informationssicherung (ME-
LANI) 2006 evaluiert. Aufgrund der positiven Ergebnisse wurde entschieden, MELANI in der bisherigen
Form weiterzuführen. Seither haben sich einige wichtige Neuerungen ergeben. Deshalb hat die strategische
Leitung von MELANI, das Informatikstrategieorgan Bund (ISB), das Center for Security Studies
(CSS) der ETH Zürich mit einer erneuten Evaluation und dem Entwurf von Weiterentwicklungsoptionen
beauftragt. Die vorliegende Studie umfasst a) die Wirksamkeitsprüfung von MELANI, b) einen Vergleich
des MELANI-Modells mit anderen internationalen Modellen zur Informationssicherung sowie c) daraus
abgeleitete Weiterentwicklungsoptionen und Empfehlungen.
Wirksamkeitsprüfung MELANI
Um zu erfahren, wie die Qualität der Arbeit von MELANI bewertet wird, wurden eine online-Umfrage
bei allen Mitgliedern des geschlossenen Kundenkreises und Interviews mit Vertretern aus ausgewählten
Sektoren durchgeführt. Das Ergebnis zeigt, dass MELANI die Erwartungen seiner Kunden in hohem Mass
erfüllt. Die spezifischen Dienstleistungen von MELANI werden gut bis sehr gut bewertet. In besonderem
Mass wird die Arbeit von MELANI von den Vertretern des Finanzsektors anerkannt.
Drei idealtypische Modelle zur Informationssicherung
Aus Ansätzen zur Informationssicherung in anderen Ländern lassen sich drei idealtypische Modelle mit
spezifischen Stärken und Schwächen ableiten: 1) Das Modell „IT-Sicherheitsbehörde“ bezeichnet einen
ausdifferenzierten und hierarchisch gegliederten Verwaltungsapparat mit umfassenden Aufgaben im Bereich
der Informationssicherung; 2) Das „Blumenmodell“ hat einen Fokus auf Zusammenarbeit zwischen
dem öffentlichen und dem privaten Sektor und Autonomie in den verschiedenen Sektoren (das Organigramm
kann als Blume gezeichnet werden); 3) Beim „GovCERT+“ Modell stehen CERT-
Dienstleistungen für die Verwaltung und die Betreiber kritischer Infrastrukturen im Vordergrund.
MELANI im internationalen Vergleich
Heute ist MELANI am ehesten mit dem Modell eines GovCERT+ vergleichbar. Als gewichtigste Schwächen
des GovCERT+-Modells gelten die schwache Förderung des Informationsaustausches zwischen den
Unternehmen sowie der Mangel an klaren Kriterien für die Mitgliedschaft im GK. Auch MELANI ist mit
diesen Schwierigkeiten konfrontiert. Hauptstärke des GovCERT+-Modells ist, dass mit wenig Mitteln
relativ viel erreicht werden kann. Jedoch sind die MELANI gegenwärtig zur Verfügung stehenden Mittel
auch für ein GovCERT+-Modell äusserst knapp.
Weiterentwicklungsoptionen MELANI
In Anlehnung an die idealtypischen Modelle werden vier mögliche Zukunftsoptionen skizziert: 1) Weiterführung
von MELANI bei gleichbleibenden Mitteln; 2) Konsolidierung der bisherigen Arbeit durch Ausbau
der CERT-Funktion; 3) Umgestaltung von MELANI zu einer umfassenden Plattform für Informationsaustausch:
4) Pragmatische Umsetzung der dritten Option für ausgewählte Sektoren. Die Weiterentwicklungsoptionen
unterscheiden sich hinsichtlich des benötigten Aufwandes, in Bezug auf die Aufgaben,
für welche MELANI verantwortlich wäre und in Bezug auf die Struktur des geschlossenen Kundenkreises.
Empfehlungen
Um eine der Optionen auswählen zu können, sollte eine Strategie des Bundes zur Informationssicherung
erarbeitet werden, welche den Grundauftrag und die Ziele von MELANI definiert. Als Sofortmassnahme
gegen die identifizierten Schwächen sollte in Betracht gezogen werden, für ausgewählte Sektoren (insbesondere
Finanzsektor) eine Plattform für den Informationsaustausch zu erstellen.
i