Bis vor wenigen Jahren haben Cyberattacken auf Unternehmen vor allem finanzielle Schäden verursacht. Heute können Hacks Menschenleben gefährden. Ferngesteuerte Autos und Cyberangriffe auf Herzschrittmacher sind zwei sinnbildliche Szenarien. Denn die zunehmende Vernetzung und der Ausbau des Internets der Dinge bieten eine grosse Angriffsfläche für Cyberkriminalität.
Um IT-Risiken zu minimieren, arbeiten Betreiber von kritischen Infrastrukturen wie Atomkraftwerken oder Spitäler mit staatlichen Fachstellen zusammen. Nachrichtendienst, Polizei und zivile Stellen tauschen Informationen über Cyberbedrohungen aus, koordinieren ihre Massnahmen und führen ein Frühwarnsystem. In der Melde- und Analysestelle Informationssicherung des Bundes (MELANI) laufen die Fäden zusammen. Letztes Jahr verschickte die Bundesstelle fast hundert Warnmeldungen an Betreiber von kritischen Infrastrukturen. Auch privatwirtschaftliche Unternehmen können schwerwiegende Cybervorfälle melden und werden im Ernstfall beraten.
Daniel Caduff ist stellvertretender Leiter der Geschäftsstelle IKT des Bundesamts für wirtschaftliche Landesversorgung.
Wie gut sind die kritischen Infrastrukturen in der Schweiz vor Cyberangriffen geschützt?
Daniel Caduff: Das kommt stak darauf an, von welcher Art von Angriffen wir sprechen. Gegen technisch schwach entwickelte Cyberattacken wie Phishing E-Mails sind Betreiber von kritischen Infrastrukturen nach meiner Einschätzung heute gut geschützt. Dennoch ist die Schweiz – genauso wie die meisten Länder der Welt – grundsätzlich abhängig von ausländischen Soft- und Hardwarelieferanten. Für den Fall, dass ausländische Nachrichtendienste einen grossangelegten Cyberangriff gegen diese Versorgungskette führen würden, kann ich es nicht ausschliessen, dass sie auch in die Systeme kritischer Infrastrukturen eindringen könnten.
Was können KMUs von Betreibern von kritischen Infrastrukturen lernen?
Wir beobachten oft, dass Betreiber von kritischen Infrastrukturen ihr Cyberrisikomanagement systematischer betreiben als typische KMUs. Diese sind früher oft vom Grundsatz «never touch a running system» ausgegangen. Wegschauen kann sich heute aber niemand mehr leisten. Dennoch haben viele KMUs grundlegende Fragen noch nicht geklärt. Stellen Sie sich vor, eine Cyberattacke wird um 3 Uhr morgens vom IT-Verantwortlichen bemerkt. Darf er ohne die Zustimmung der Firmenleitung die Systeme ausschalten, auch wenn dadurch teure Produktionsausfälle entstehen?
Wie reagieren KMU am besten darauf?
Solche blinden Flecken und Unklarheiten können entschärft werden, indem KMUs gewisse IT-Sicherheitsprozesse oder gleich den Betrieb der gesamten IT an spezialisierte Dienstleister auslagern. Gerade wenn das Unternehmen sehr klein ist, kann es sich selten rund um die Uhr gebührend schützen. Ob eine Auslagerung der IT aus wirtschaftlicher Sicht sinnvoll ist, hängt aber immer vom Risikoprofil der einzelnen Firma ab.
Immer mehr Prozesse und Systeme werden digital überwacht. Wie entziehen sich Betreiberinnen von kritischen Infrastrukturen den Gefahren aus der zusätzlichen Vernetzung?
Das wichtigste ist eine Unternehmenskultur, die Cybersicherheit als fortwährenden Prozess erachtet. Dazu braucht es spezialisierte Arbeitskräfte und technische Schutzvorrichtungen, die strukturiert überwacht und laufend aktualisiert werden. Auch das Frühwarnsystem von MELANI ist wichtig, damit sich ausgeklügelte Attacken nicht ausbreiten. Besonders kritische Anwendungen sollten ausserdem als isolierte Systeme betrieben werden. Dabei kommen IT-Infrastrukturen zum Einsatz, die extra für eine spezifische Umgebung entwickelt wurden und keinerlei Verbindungen zu sonstigen Geräten und Netzwerken aufweisen.
Mitte 2018 publizierte das Bundesamt für wirtschaftliche Landesversorgung einen Massnahmenkatalog mit 106 Punkten, die einen Minimalstandard in der Informationssicherheit für kritische Infrastrukturen definieren. Der Standard ist weder obligatorisch, noch wird die Umsetzung von einer zentralen Stelle überprüft. Warum nicht?Für Verbandsmitglieder der Strom- und Trinkwasserbranche ist der Standard im Sinn einer Selbstregulierung durch die Branche mittlerweile verbindlich. Sobald wir die Richtlinien für andere Branchen detailliert ausgearbeitet haben, werden sie diese aller Voraussicht nach ebenfalls zum Branchenstandard erklären. Für eine zentrale Kontrollstelle fehlt aber die rechtliche Grundlage – und ob eine solche staatliche Kontrolle sinnvoll wäre, ist eine andere Frage. Schliesslich kann es für die Sicherheit kontraproduktiv sein, wenn die Verantwortung für das einwandfreie Funktionieren der kritischen Infrastrukturen auf staatliche Akteure verteilt wird.
Welchen Stellenwert hat künstliche Intelligenz bei der Cyberabwehr?
Künstliche Intelligenz kann sowohl dazu verwendet werden, Schwachstellen zu testen und zu schliessen, als auch sie zu identifizieren und ins System einzudringen. Wir werden also ein Wettrüsten zwischen den Angreifern und den Verteidigern sehen, wie wir das bei vielen neuen Technologien erlebt haben. Heute können sich aber erst grosse Organisationen mit einem Milliardenbudget grossangelegte KI-Projekte leisten.