Der 2014 gegründete Verein ist bei der bekannten PR-Agentur Furrer Hugi in Bern angesiedelt, wo die Geschäftsstelle von Partner Mark A. Saxer und Beraterin Myriam Burkhard geführt wird. Vereinsmitglieder sind zahlreiche, vornehmlich grosse Unternehmen wie beispielsweise IBM, PricewaterhouseCoopers (PWC), RUAG und T-Systems. Der Verein wird vom Wirtschaftsverband Economiesuisse unterstützt und verfügt über einen hochrangig zusammengesetzten politischen Beirat. Der Verein soll es Unternehmen und Verwaltung ermöglichen, «im Falle eines schweren Cyber Incidents auf hochspezialisierte Experten zuzugreifen.»
Public Private Partnership ohne Transparenz?
Lobbying der Privatwirtschaft beim Bund ist alltäglich und eine solche PPP kann angesichts der zahlreichen Bedrohungen im digitalen Raum durchaus sinnvoll sein. Aber was steht im erwähnten Rahmenvertrag? Wie viel Geld fliesst im Rahmen der PPP zwischen MELANI und Swiss Cyber Experts?
Da der Rahmenvertrag nicht veröffentlicht worden war, bat ich bei der MELANI um dessen Zustellung. In der Folge teilte mir der Rechtsdienst im Eidgenössischen Finanzdepartement (EFD) mit, meine Anfrage werde als Gesuch gemäss Öffentlichkeitsgesetz (BGÖ) behandelt. Rund zwei Wochen später wurden mir dann der Rahmenvertrag (PDF) – ohne Anhänge und damit unvollständig – sowie der Jahresvertrag 2015 (PDF) zugestellt.
Wieso der Rahmenvertrag nicht veröffentlicht worden war, ist unklar. Bei einer solchen PPP sollte Transparenz selbstverständlich sein, gerade auch nach den zahlreichen Affären und Skandalen im staatlichen Beschaffungswesen. Mark A. Saxer sowie Andreas Hugi, Managing Partner und Mitgründer von Furrer Hugi, war diesbezüglich leider keine inhaltliche Stellungnahme zu entlocken. In anderen Angelegenheiten tritt Andreas Hugi glaubwürdig als Verfechter von Transparenz auf.
Rahmenvertrag – bislang ohne Anhänge –, Jahresvertrag 2015
Gemäss Rahmenvertrag (PDF) liegt keine eigentliche Partnerschaft vor, sondern die Schweizerische Eidgenossenschaft erteilt dem Verein Swiss Cyber Experts einen Auftrag mit einer Laufzeit von vorläufig fünf Jahren. In diesem Rahmen können MELANI und andere Bundesstellen insbesondere bei Zwischenfällen rasch und ohne zusätzlichen Einzelvertrag auf das «ICT-Expertenwissen (Know-how)» beim Verein Swiss Cyber Experts zugreifen. Pro Jahr besteht ein Kostendach von maximal CHF 100’000.00 netto. Gemäss Jahresvertrag 2015 (PDF) ist ein Pauschalbetrag von CHF 10’000.00 netto vereinbart.
Folgeaufträge für jene Vereinsmitglieder, die bei Zwischenfällen das Expertenwissen liefern, sind selbstverständlich nicht ausgeschlossen. Die mögliche Akquise solcher Aufträge sowie die Beziehungspflege zwischen Bundesstellen und Unternehmen stellt vermutlich die eigentliche Existenzberechtigung für den Swiss Cyber Experts dar. Furrer Hugi wird schliesslich von den beteiligten Unternehmen für die «Umsetzung von Massnahmen für die Vertretung ihrer Interessen und für die Gestaltung ihrer Beziehungen zu […] Behörden […]» bezahlt. Diese Leistungen dürften ohne weiteres mehr als den diesjährigen Pauschalbetrag von CHF 10’000.00 kosten und Wert sein.
Noch etwas mehr Licht in die Public Private Partnership?
Bestandteil des Rahmenvertrages sind unter anderem auch drei Anhänge, darunter der Leistungskatalog (Anhang II) und eine «Verschwiegenheitsvereinbarung der Vereinsmitglieder» (Anhang III). Diese Anhänge wurden mir vom EFD bislang wie erwähnt nicht zugestellt. Ohne Kenntnis dieser Anhänge ist eine Gesamtbeurteilung der vertraglichen Grundlagen der PPP zwischen MELANI und dem Verein Swiss Cyber Experts nicht möglich.
Ich habe das EFD deshalb gebeten, mir auch diese Anhänge zukommen zu lassen, damit noch etwas mehr Licht in diese Public Private Partnership kommt und sich Interessierte selbst eine Meinung bilden können …
Nachtrag vom 17. August 2015
Inzwischen habe ich die oben erwähnten drei Anhänge freundlicherweise erhalten:
- Anhang I: Incident Management Prozess (PDF)
- Anhang II: Leistungskatalog (PDF)
- Anhang III: Vertraulichkeitserklärung (PDF)
Bild: Flickr/Yuri Samoilov, «Virus», CC BY 2.0 (generisch)-Lizenz.