Cybersicherheit Bund sorgt sich um Cybersicherheit

Die Schweiz funktioniert nicht ohne Elektrizitätswerke, Spitäler, Grossverteiler oder Anlagen zur Trinkwasseraufbereitung. Die IT-Systeme dieser kritischen Infrastrukturen werden täglich angegriffen. Trotzdem erlässt der Bund nur einen unverbindlichen Minimalstandard.

Im Dezember 2015 versank ein Teil der Ukraine nach einem Hackerangriff in Dunkelheit. Vor einem Jahr legte eine weltweite Cyberattacke britische Spitäler lahm, Patienten mussten verlegt werden.

Auch Schweizer Behörden und Unternehmen sind im Visier der Hacker: "Wir werden täglich angegriffen, sagte Werner Meier, Delegierter für wirtschaftliche Landesversorgung, am Montag vor den Bundeshausmedien. Wie es um die Verwundbarkeit der kritischen Infrastrukturen steht, wollte er nicht sagen.

Doch die Bedrohung ist gross genug, um den Bund zum Handeln zu bewegen. Ein Katalog konkreter Massnahmen soll den Organisationen helfen, die Cyberrisiken zu beurteilen und die Resilienz ihrer Systeme zu verbessern, wie Meier sagte.

Mauern reichen nicht

Der erste Schritt besteht in der Identifikation: Ein Unternehmen oder eine Behörde muss wissen, welche Daten, Computer und Anlagen überhaupt vorhanden sind und wer Zugriff darauf hat. Der Minimalstandard empfiehlt beispielsweise, ein Inventar für alle Softwarelizenzen und Apps zu erstellen und einen Verantwortlichen für Cybersecurity zu ernennen.

Im nächsten Schritt geht es um den Schutz der IT. Der Standard macht Empfehlungen zu Berechtigungen, zu Fernzugriffen oder zur Datenübertragung. Mauern allein nützen allerdings nichts: Cybersecurity-Experte Reto Häni warnt vor einem trügerischen Gefühl der Sicherheit. "Wenn jemand eindringen will in ein Computersystem, wird ihm das auch gelingen", sagte er.

Oft werden erfolgreiche Angriffe gar nicht erkannt. Im Fall des Rüstungskonzerns Ruag zum Beispiel blieb eine Hacker-Attacke lange Zeit unbemerkt. Der Standard empfiehlt daher ein kontinuierliches Monitoring oder die Durchführung von Verwundbarkeitsscans, um Sicherheitslücken zu erkennen.

Die weiteren Empfehlungen betreffen die Reaktion auf erfolgte Cybersecurity-Vorfälle und das Wiederherstellen beschädigter Systeme. Insgesamt umfasst der Minimalstandard über 100 Massnahmen. Eine einzelne könne nicht alle Probleme lösen, sagte Häni. Bei der Prävention und Abwehr von Cyberangriffen müssten viele Massnahmen ineinandergreifen.

Erschreckende Szenarien

Vorläufig handelt es sich um unverbindliche Empfehlungen. Dabei werden nahezu alle Unternehmen regelmässig angegriffen. Gemäss einer Studie des Beratungsunternehmens KPMG erleidet fast die Hälfte von ihnen dadurch einen finanziellen Schaden. Eine Behörden-Übung hat gezeigt, dass die Versorgung der Schweiz im Fall eines lange dauernden Stromunterbruchs schwierig würde. Die Schäden könnten Hunderte Milliarden Franken betragen.

Trotz der grossen Risiken verzichtet das Bundesamt für wirtschaftliche Landesversorgung (BWL) auf einen verbindlichen Standard. "Wir setzen auf Kooperation", erklärte Meier. Das BWL hat allerdings die Möglichkeit, einen Standard für verbindlich zu erklären. Einige Branchen tun das freiwillig. Der Standard für die Stromversorger ist bereits in Kraft. Die Wasser- und die Lebensmittelversorgung wollen nachziehen.

SDA