225'000 Menschen plötzlich ohne Strom. Cyber-Attacken auf die Energieversorgung treffen eine Gesellschaft ins Mark. Ein erschreckendes Szenario, das auch in der Schweiz Wirklichkeit werden kann. Wenn die Versorgungssicherheit der Schweiz weiterhin gewährleistet werden soll, muss jetzt gehandelt werden. Wo liegen die Handlungsfelder und wie können sich Kritische Infrastrukturen (KI) in der Schweiz vor importierten Cyber-Gefahren schützen?
Kritische Infrastrukturen wie Kraftwerke oder Spitäler geraten vermehrt ins Visier von Cyber-Kriminellen. So versank im Dezember 2015 ein Teil der Ukraine nach einem Hackerangriff auf Elektrizitätswerke in Dunkelheit. Eine knappe Viertelmillion Menschen waren auf einen Schlag ohne Strom. Weltweites Ausmass erreichte die «WannaCry»-Attacke im Mai 2017. Der Trojaner infizierte nicht nur Grossunternehmen, sondern legte auch 21 britische Spitäler lahm. Anfangs 2020 wurde das IT-Netzwerk des Verbands Europäischer Übertragungsnetzbetreiber von Hackern kompromittiert, glücklicherweise ohne Einfluss auf die Stromversorgung in Europa. Die Beispiele zeigen: Kritische Infrastrukturen sind verwundbar. Nach einem Angriff sind grosse Teile der Wirtschaft und Bevölkerung betroffen, der ökonomische Schaden verursacht Kosten in Milliardenhöhe. Zwar wurde die Schweiz bisher von Grossausfällen verschont. Doch die Gefahr spitzt sich auch hierzulande zu.
«Auch in der Schweiz werden die IT-Systeme Kritischer Infrastrukturen täglich angegriffen», so Werner Meier, Delegierter für wirtschaftliche Landesversorgung, anlässlich einer Pressekonferenz vor zwei Jahren. Die Bedrohung ist gross genug, um den Bund zum Handeln zu bewegen. Mit dem «Minimalstandard zur Verbesserung der IKT-Resilienz» liegt seit 2018 ein Katalog konkreter Empfehlungen vor. Der Minimalstandard ist eine gute Leitlinie, welche den KI-Betreibern helfen soll, Cyber-Risiken zu beurteilen und die Resilienz ihrer Systeme zu verbessern. Unverzichtbar sind ausserhalb von Krisenzeiten vorbereitete präventive Massnahmen, die auf den Ebenen Management, Prozesse und Technik umgesetzt werden müssen. Trotz der grossen Risiken überlässt das Bundesamt für wirtschaftliche Landesversorgung (BWL) die Verantwortung für die Umsetzung der entsprechenden Schutzmassnahmen den KI-Unternehmen. Somit liegt die Verantwortung nun bei den einzelnen Akteuren, Projekte aufzulegen, um ihre Infrastruktur gegenüber dem Standard zu verifizieren.
Dass sich der Bund verpflichtet fühlt, KI-Unternehmen beim Thema Cyber Security unter die Arme zu greifen, zeigt vor allem eines: Viele KI-Betreiber sind sich einer erhöhten Anfälligkeit durch die Digitalisierung und der mit Cyber-Gefahren verbundenen Risiken noch zu wenig bewusst. Vor allem im Bereich der «Supply Chain Security», also der Sicherheit in der Lieferkette, fehlt die Sensibilität gegenüber Risiken vielerorts. Hierbei besteht das Grundproblem in der Abhängigkeit von ausländischer Hard- und Software. Denn Schweizer KI-Betreiber stützen sich mehrheitlich auf Lösungen aus den USA und Asien. Weisen Hard- und Softwarekomponenten lückenhafte Konfigurationen und Fehler auf, so gelangen sie unbemerkt via Lieferkette in die Schweiz.
Wie können sich Schweizer KI-Betreiber vor importierten Cyber-Gefahren schützen? Lesen Sie dazu unser aktuelles Wissens-Update «Kritische Infrastrukturen: Wunde Punkte in der Cyber Security». Jetzt kostenlos als PDF herunterladen.