Bund alarmiert Stromversorger sind ungenügend gegen Cyber-Attacken geschützt

Das Schweizer Stromnetz ist leicht aus dem Internet heraus anzugreifen. Die Versorger hinken ihren selbst gesetzten Sicherheitsansprüchen dabei weit hinterher. Der Bund sieht «grundlegenden Handlungsbedarf» und will nun aktiv werden. 

Schweizer Stromversorger sind gemäss einer neuen Umfrage des Bundes nur ungenügend gegen Attacken aus dem Internet geschützt. Besonders schlecht gerüstet sind die Firmen beim Erkennen von Angriffen und bei der Reaktion auf Vorfälle.

Die Resultate der erstmaligen Umfrage dieser Art bei 124 Unternehmen verschiedener Grösse seien im Schnitt «ernüchternd», schrieb das Bundesamt für Energie (BFE) in einem Bericht zur Cyber-Sicherheit für die Schweizer Stromversorgung von Ende Juni. Über diesen berichtete am Freitag die «Neue Zürcher Zeitung».

Auf einer Skala von 0 bis 4 erreichten die Firmen, von denen 113 Netze betrieben, 79 Messstellen führten und 54 Strom produzierten, im Schnitt einen Wert von knapp unter 1. Die Branche selbst strebte eigentlich mit selber verabschiedeten Minimalrichtlinien einen Wert von 2,6 an.

Besonders schlecht gerüstet waren dem Bericht zufolge Firmen, wenn es um das Erkennen von Angriffen sowie um das Reagieren und Wiederherstellen nach einem Vorfall geht. Leicht besser sah es demnach bei der Prävention aus.

Stärkeres Engagement des Staates

Je eher Cyber-Sicherheitsvorfälle erkannt würden, desto besser sei dies für die Wirksamkeit von Reaktionsmassnahmen, hiess es im Bericht. Das Schadenspotenzial einer früh gestoppten Attacke sei deutlich geringer, da sich diese nicht noch länger innerhalb der Unternehmung verbreiten könne.

Gemäss dem Bericht des Bundes besteht «grundlegender Handlungsbedarf». Er schlägt unter dem Strich ein stärkeres Engagement des Staates bei der Cyber-Sicherheit im Strombereich vor.

So fordert der Bericht rasch gesetzliche und einheitliche Rahmenbedingungen für die Firmen. Zudem sollen eine Prüfbehörde und ein Meldewesen für Vorfälle etabliert werden. Weiter regen die Experten des Bundes einen regelmässigen, institutionalisierten Wissensaustausches an zu aktuellen Cyber-Gefahren.

Europa ist Voraus

In den umliegenden Ländern und generell in Europa steht es dem Bericht zufolge weit besser um die Cyber-Sicherheit im Stromsektor. Viele der für die Schweiz aktuell diskutierten Massnahmen seien dort bereits umgesetzt, hiess es.

Die Strombranche will die Vorkehrungen laufend verbessern und die Aufmerksamkeit aller Akteure hochhalten. Die Cyber-Security-Bedrohungslage verändere sich stets und die Elektrizitätsunternehmen müssten ihre Massnahmen daran anpassen, teilte der Verband Schweizerischer Elektrizitätsunternehmen (VSE) der Nachrichtenagentur Keystone-SDA auf Anfrage mit. Die Vorkehrungen der Unternehmen hätten bisher einen Ausfall der Stromversorgung durch eine Cyber-Attacke verhindert.

In der Strombranche wollte man die konkreten Schlussfolgerungen aus dem Bericht des Bundes zunächst nicht kommentieren. Hierzu fehlten die detaillierteren Ergebnisse der Umfrage, hiess es.

Branche will keine zu starren Regeln

Zu einem stärkeren Engagement des Staates und strengeren Gesetzen in Bezug auf die Cyber-Sicherheit erklärte der Verband, dass das Schadenspotenzial für die Unternehmen sehr unterschiedlich sei. Entsprechend müssten auch die Anforderungen an das Schutzniveau differenziert ausfallen. Zudem dürften starre Abläufe, Vorgaben und Schemata bei regulatorischen Anforderungen eine Weiterentwicklung der Schutzmassnahmen nicht behindern.

Die Teilnahme an der Umfrage des Bundes war freiwillig. Es machten rund 18 Prozent der Schweizer Netzbetreiber mit, die Hälfe aller Stromproduzenten sowie Messestellenbetreiber, die rund 40 Prozent aller existierenden Messpunkte abdeckten.

Die Umfrage erfolgte anhand eines durch das Bundesamt für Wirtschaftliche Landesversorgung (BWL) und den Branchenverband Schweizer Elektrizitätswirtschaft (VSE) etablierten Minimalstandards. Er gilt seit 2018.

ot, sda