Bund sorgt sich um Cybersicherheit

Die Schweiz funktioniert nicht ohne Elektrizitätswerke, Spitäler, Grossverteiler oder Anlagen zur Trinkwasseraufbereitung. Die IT-Systeme dieser kritischen Infrastrukturen werden täglich angegriffen. Trotzdem erlässt der Bund nur einen unverbindlichen Minimalstandard.

27. August 2018, 10:55 Uhr 09. September 2020, 16:04 Uhr

Die Systeme von Stromversorgern, Transportunternehmen oder Grossverteilern werden laufend angegriffen. Nun führt der Bund einen Minimalstandard für kritische Infrastrukturen ein. (Symbolbild) (Bild: KEYSTONE/GAETAN BALLY)

Im Dezember 2015 versank ein Teil der Ukraine nach einem Hackerangriff in Dunkelheit. Vor einem Jahr legte eine weltweite Cyberattacke britische Spitäler lahm, Patienten mussten verlegt werden.

Auch Schweizer Behörden und Unternehmen sind im Visier der Hacker: "Wir werden täglich angegriffen, sagte Werner Meier, Delegierter für wirtschaftliche Landesversorgung, am Montag vor den Bundeshausmedien. Wie es um die Verwundbarkeit der kritischen Infrastrukturen steht, wollte er nicht sagen.

Doch die Bedrohung ist gross genug, um den Bund zum Handeln zu bewegen. Ein Katalog konkreter Massnahmen soll den Organisationen helfen, die Cyberrisiken zu beurteilen und die Resilienz ihrer Systeme zu verbessern, wie Meier sagte.

Mauern reichen nicht

Der erste Schritt besteht in der Identifikation: Ein Unternehmen oder eine Behörde muss wissen, welche Daten, Computer und Anlagen überhaupt vorhanden sind und wer Zugriff darauf hat. Der Minimalstandard empfiehlt beispielsweise, ein Inventar für alle Softwarelizenzen und Apps zu erstellen und einen Verantwortlichen für Cybersecurity zu ernennen.

Im nächsten Schritt geht es um den Schutz der IT. Der Standard macht Empfehlungen zu Berechtigungen, zu Fernzugriffen oder zur Datenübertragung. Mauern allein nützen allerdings nichts: Cybersecurity-Experte Reto Häni warnt vor einem trügerischen Gefühl der Sicherheit. "Wenn jemand eindringen will in ein Computersystem, wird ihm das auch gelingen", sagte er.

Oft werden erfolgreiche Angriffe gar nicht erkannt. Im Fall des Rüstungskonzerns Ruag zum Beispiel blieb eine Hacker-Attacke lange Zeit unbemerkt. Der Standard empfiehlt daher ein kontinuierliches Monitoring oder die Durchführung von Verwundbarkeitsscans, um Sicherheitslücken zu erkennen.

Die weiteren Empfehlungen betreffen die Reaktion auf erfolgte Cybersecurity-Vorfälle und das Wiederherstellen beschädigter Systeme. Insgesamt umfasst der Minimalstandard über 100 Massnahmen. Eine einzelne könne nicht alle Probleme lösen, sagte Häni. Bei der Prävention und Abwehr von Cyberangriffen müssten viele Massnahmen ineinandergreifen.

Erschreckende Szenarien

Vorläufig handelt es sich um unverbindliche Empfehlungen. Dabei werden nahezu alle Unternehmen regelmässig angegriffen. Gemäss einer Studie des Beratungsunternehmens KPMG erleidet fast die Hälfte von ihnen dadurch einen finanziellen Schaden. Eine Behörden-Übung hat gezeigt, dass die Versorgung der Schweiz im Fall eines lange dauernden Stromunterbruchs schwierig würde. Die Schäden könnten Hunderte Milliarden Franken betragen.

Trotz der grossen Risiken verzichtet das Bundesamt für wirtschaftliche Landesversorgung (BWL) auf einen verbindlichen Standard. "Wir setzen auf Kooperation", erklärte Meier. Das BWL hat allerdings die Möglichkeit, einen Standard für verbindlich zu erklären. Einige Branchen tun das freiwillig. Der Standard für die Stromversorger ist bereits in Kraft. Die Wasser- und die Lebensmittelversorgung wollen nachziehen. (sda)

Wie ein Kommentar veröffentlicht wird – und warum nicht.

Wir halten dafür: Wer sich an den gedeckten Tisch setzt, hat sich zu benehmen. Selbstverständlich darf an der gebotenen Kost gemäkelt und rumgestochert werden. Aber keinesfalls gerülpst oder gefurzt.

Der Gastgeber bestimmt, was für ihn die Anstandsregeln sind, und ab wo sie überschritten werden. Das hat überhaupt nichts mit Zensur zu tun; jedem Kommentarschreiber ist es freigestellt, seine Meinung auf seinem eigenen Blog zu veröffentlichen.

Jeder Artikel, der auf vaterland.li erscheint, ist namentlich gezeichnet. Deshalb werden wir zukünftig die Verwendung von Pseudonymen – ausser, es liegen triftige Gründe vor – nicht mehr dulden.

Kommentare, die sich nicht an diese Regeln halten, werden gelöscht. Darüber wird keine Korrespondenz geführt. Wiederholungstäter werden auf die Blacklist gesetzt; weitere Kommentare von ihnen wandern direkt in den Papierkorb.

Es ist vor allem im Internet so, dass zu grosse Freiheit und der Schutz durch Anonymität leider nicht allen guttut. Deshalb müssen Massnahmen ergriffen werden, um diejenigen zu schützen, die an einem Austausch von Argumenten oder Meinungen ernsthaft interessiert sind.

Bei der Veröffentlichung hilft ungemein, wenn sich der Kommentar auf den Inhalt des Artikels bezieht, im besten Fall sogar Argumente anführt. Unqualifizierte und allgemeine Pöbeleien werden nicht geduldet. Infights zwischen Kommentarschreibern nur sehr begrenzt.

Damit verhindern wir, dass sich seriöse Kommentatoren abwenden, weil sie nicht im Umfeld einer lautstarken Stammtischrauferei auftauchen möchten.

Wir teilen manchmal hart aus, wir stecken auch problemlos ein. Aber unser Austeilen ist immer argumentativ abgestützt. Das ist auch bei Repliken zu beachten.

Wenn Sie dieses Vademecum nicht beachten, ist das die letzte Warnung. Sollte auch Ihr nächster Kommentar nicht diesen Regeln entsprechen, kommen Sie auf die Blacklist.

Redaktion Vaterland.li

Diese Regeln haben wir mit freundlicher Genehmigung von www.zackbum.ch übernommen.