Tausende Menschen plötzlich ohne Strom – Cyber-Attacken auf die Energieversorgung treffen eine Gesellschaft ins Mark. Ein erschreckendes Szenario, das auch in der Schweiz Wirklichkeit werden kann. Wenn die Versorgungssicherheit weiterhin gewährleistet werden soll, muss jetzt gehandelt werden. Wo liegen die Handlungsfelder und wie können sich Kritische Infrastrukturen in der Schweiz vor Cyber-Gefahren schützen?
Gemäss dem aktuellen Forescout Global Threat Roundup Report wurden im Jahr 2023 weltweit über 420 Millionen Cyber-Angriffe dokumentiert. Vermehrt ins Visier der Cyber-Kriminellen geraten Kritische Infrastrukturen wie Kraftwerke, Telekommunikationseinrichtungen, das Transportwesen oder Spitäler. So erreichten in den vergangenen Jahren diverse Malware-Attacken enormes Ausmass und legten verwundbare Kritische Infrastrukturen lahm.
Nach einem solchen Angriff können grosse Teile der Wirtschaft und Bevölkerung betroffen sein, der ökonomische Schaden verursacht enorme Kosten. Zwar wurde die Schweiz bisher von Grossausfällen verschont. Doch die Gefahr spitzt sich auch hierzulande zu. Die IT-Systeme Kritischer Infrastrukturen werden auch in der Schweiz täglich angegriffen.
Auf verschiedenen Ebenen hat der Bund in den letzten Jahren Massnahmen ergriffen, mithilfe derer die Cyber-Risiken von Kritischen Infrastrukturen gemindert werden sollen. Mit dem «Minimalstandard zur Verbesserung der IKT-Resilienz» liegt seit sechs Jahren ein Katalog konkreter Empfehlungen vor, der im Sommer 2023 ergänzt worden ist. Der Minimalstandard ist eine gute Leitlinie, welche den Betreibern von Kritischen Infrastrukturen helfen soll, Cyber-Risiken zu beurteilen und die Resilienz ihrer Systeme zu verbessern. Unverzichtbar sind ausserhalb von Krisenzeiten vorbereitete präventive Massnahmen, die auf den Ebenen Management, Prozesse und Technik umgesetzt werden müssen.
Im Juni 2023 hat der Bundesrat die nationale Strategie zum Schutz Kritischer Infrastrukturen (SKI) aktualisiert. Sie beinhaltet acht Massnahmen zur Erhaltung und Verbesserung der Versorgungssicherheit in der Schweiz. Eine davon ist die periodische Überprüfung der Kritischen Infrastrukturen auf ernste Verwundbarkeiten und Risiken sowie auf Möglichkeiten zur Verbesserung der Resilienz. Zudem wurde das Bundesamt für Bevölkerungsschutz (BABS) beauftragt, ein periodisch aktualisiertes Verzeichnis von essenziellen Objekten und Betreiberfirmen zu führen, das sogenannte Inventar kritischer Infrastrukturen (SKI-Inventar).
Als Teilsektoren mit besonders hoher Kritikalität sind in der Strategie unter anderem die Erdöl-, Strom- und Wasserversorgung und der Strassenverkehr definiert. Insgesamt umfasst das festgelegte Spektrum der Kritischen Infrastrukturen neun Sektoren, unterteilt in 27 Teilsektoren (Branchen).
Schliesslich hat der Bund im November 2023 eine Meldepflicht für Cyber-Angriffe auf Kritische Infrastrukturen beschlossen und hierzu eine Änderung des Informationssicherheitsgesetzes (ISG) verabschiedet. Die Meldepflicht wird am 1. Januar 2025 in Kraft treten.
Die verschiedenen Anstrengungen des Bundes verdeutlichen den Ernst der Lage. Dennoch sind sich viele Betreiber von Kritischen Infrastrukturen einer erhöhten Anfälligkeit durch die Digitalisierung und der mit Cyber-Gefahren verbundenen Risiken noch zu wenig bewusst. Vor allem im Bereich der Supply Chain Security, also der Sicherheit in der Lieferkette, fehlt die Sensibilität gegenüber Risiken vielerorts. Hierbei besteht das Grundproblem in der Abhängigkeit von ausländischer Hard- und Software. Weisen Hard- und Softwarekomponenten lückenhafte Konfigurationen und Fehler auf, so gelangen sie unbemerkt via Lieferkette in die Schweiz.
Jeder Kritischer Infrastruktur-Sektor ist einer spezifischen Bedrohungslage ausgesetzt: Cyber-Angriffe können mit Erpressung, Datendiebstahl oder einem lahmgelegten Betrieb einhergehen. Nur wenn das Wissen über die spezifischen Bedrohungen vorhanden ist, lassen sich adäquate Sensibilisierungs- und Schutzmassnahmen entwickeln.
Wie können sich Schweizer Betreiber von Kritischen Infrastrukturen vor importierten Cyber-Gefahren schützen? Lesen Sie dazu unser aktuelles Wissens-Update «Kritische Infrastrukturen: wunde Punkte in der Cyber Security». Jetzt kostenlos als PDF herunterladen.