Bund legt Cyber-Minimalstandard für kritische Infrastrukturen fest
Ohne Elektrizitätswerke, ohne Anlagen zur Trinkwasseraufbereitung, ohne Bahn und Flughafen, ohne Spitäler und Grossverteiler funktioniert die Schweiz nicht. Obwohl IT-Systeme solcher Infrastrukturen täglich angegriffen werden, erlässt der Bund nur einen unverbindlichen Minimalstandard.
Nach einem Hackerangriff war ein Teil der Ukraine im Dezember 2015 in Dunkelheit versunken. Vergangenes Jahr legte eine weltweite Cyberattacke britische Spitäler lahm, Patienten mussten verlegt werden. Auch Schweizer Behörden und Unternehmen sind im Visier der Hacker, wie Werner Meier, Delegierter für wirtschaftliche Landesversorgung heute vor den Bundeshausmedien erklärte. „Wir werden täglich angegriffen.“ Wie es um die Verwundbarkeit der kritischen Infrastrukturen steht, wollte er nicht sagen. Die Bedrohung ist aber gross genug, um den Bund zum Handeln zu bewegen: Ein Katalog konkreter Massnahmen soll den Organisationen helfen, Cyberrisiken zu beurteilen und die Resilienz ihrer Systeme zu verbessern.
Erfolgreiche Angriffe oft gar nicht erkannt
Der erste Schritt besteht in der Identifikation: Unternehmen oder Behörden müssen wissen, welche Daten, Computer und Anlagen überhaupt vorhanden sind und wer Zugriff darauf hat. So empfiehlt der Minimalstandard etwa, ein Inventar für alle Softwarelizenzen und Apps zu erstellen und einen Verantwortlichen für Cybersecurity zu ernennen. Im nächsten Schritt geht es um den Schutz der IT. Der Standard macht Empfehlungen zu Berechtigungen, zu Fernzugriffen oder zur Datenübertragung. Walls alleine nützen allerdings nichts. Deshalb warnt Cybersecurity-Experte Reto Häni vor einem trügerischen Gefühl der Sicherheit: „Wenn jemand eindringen will in ein Computersystem, wird ihm das auch gelingen.“
Oft werden erfolgreiche Angriffe gar nicht erkannt. Im Fall des Rüstungskonzerns Ruag zum Beispiel blieb eine Hacker-Attacke lange Zeit unbemerkt. Daher empfiehlt der Standard ein kontinuierliches Monitoring oder die Durchführung von Verwundbarkeitsscans, um Sicherheitslücken zu erkennen. Weitere Empfehlungen betreffen die Reaktion auf erfolgte Cybersecurity-Vorfälle und das Wiederherstellen beschädigter Systeme. Insgesamt umfasst der Minimalstandard über hundert Massnahmen.
Eine einzelne könne nicht alle Probleme lösen, sagte Häni. Bei der Prävention und Abwehr von Cyberangriffen müssten viele Massnahmen ineinandergreifen.
Versorgung der Schweiz im Fall eines lange dauernden Stromunterbruchs schwierig
Vorläufig handelt es sich lediglich um unverbindliche Empfehlungen. Dabei werden nahezu alle Unternehmen regelmässig angegriffen. Gemäss einer Studie des Beratungsunternehmens KPMG erleidet fast die Hälfte von ihnen im Zuge solcher Angriffe einen finanziellen Schaden. Eine Behörden-Übung hat gezeigt, dass die Versorgung der Schweiz im Fall eines lange dauernden Stromunterbruchs schwierig würde. Die Schäden könnten Hunderte Milliarden Franken betragen.
Trotz solch grosser Risiken verzichtet das Bundesamt für wirtschaftliche Landesversorgung (BWL) auf einen verbindlichen Standard. "Wir setzen auf Kooperation", sagt Meier. Das BWL hat allerdings die Möglichkeit, einen Standard für verbindlich zu erklären. Einige Branchen tun dies bereits freiwillig: So ist der Der Standard für die Stromversorger ist bereits in Kraft. Die Wasser- und die Lebensmittelversorgung wollen nachziehen. (mai/sda)
Weitere Informationen: www.bwl.admin.ch