Blackout – so hiess das Schreckensgespenst der Energieversorger bis vor wenigen Jahren. Mittlerweile geistert ein neues Worst-Case-Szenario durch die Branche: Blackout durch Cyberattacke. Neben der Logistik- und der Automobilindustrie gehört die Energiebranche nämlich weltweit zu den bevorzugten Zielen von Cyberkriminellen.

Bereits 2017 gab ein Fünftel der Schweizer Stromversorger bei einer Befragung durch die Eidgenössische Elektrizitätskommission Elcom an, schon einmal von einem Hackerangriff betroffen worden zu sein. Diese Zahl dürfte mittlerweile weitaus grösser sein, verzeichnen Hacker und andere Cyberkriminelle dank der Corona-Pandemie doch Hochkonjunktur. Und der jüngste Cyberangriff auf die amerikanische Colonial Pipeline hat die Verletzlichkeit kritischer Infrastrukturen auch bei breiten Bevölkerungsschichten wieder einmal ins Rampenlicht gerückt.

Nichts geht mehr ohne Strom

Fakt ist: Wenn die Stromversorgung ausfällt, läuft fast gar nichts mehr in der Schweiz. An der Stromversorgung hängt nicht nur die Wirtschaft, sondern auch Bereiche wie die Lebensmittelversorgung oder das Gesundheitswesen.

Dies ist ein HZ Insurance-Artikel

Weitere Artikel von HZ Insurance finden Sie auf der Übersichtsseite.

Anzeige

Mit der fortschreitenden Digitalisierung werden die Stromnetze zunehmend durch intelligente Informations- und Kommunikationstechnologien gesteuert und überwacht. Damit steigt das Risiko, dass die Verfügbarkeit, Integrität oder Vertraulichkeit der Daten kompromittiert wird. Gefährdet ist neben IT-Systemen auch die sogenannte Operational Technology (OT). Dazu zählen diejenigen Systeme in den Energieunternehmen, die physische Prozesse in den Netzen und Anlagen steuern, wie zum Beispiel Leitsysteme oder das Internet of Things.

Geheimnisvolles Risk Management

Das Managen von Cyberrisiken sollte also auch für die hiesigen Stromversorger zum Alltag gehören. Denn eine Attacke kann im Extremfall zu einem grossflächigen Stromausfall mit schwerwiegenden Folgen führen. Gemäss Swissgrid-Sprecher Kaspar Haffner war bis dato aber noch kein Unterbruch von Anlagen der nationalen Netzbetreiberin auf eine Cyberattacke zurückzuführen. «Grundsätzlich gehört das Schweizer Übertragungsnetz zu den sichersten und zuverlässigsten auf der ganzen Welt», betont er.

Damit dies weiterhin so bleibt, pflegt Swissgrid ein aktives Risikomanagement. Wie dieses aussieht, darüber schweigt sich die Netzbetreiberin aber aus. Genauso wie die Axpo, die als eine der grössten Verteilnetzbetreiberinnen ebenfalls über viel kritische Infrastruktur verfügt. Sicherheit habe für Axpo oberste Priorität, lässt die Medienstelle verlauten, doch zu deren Architektur könne man sich nicht äussern, die Thematik sei zu sensitiv.

Empfehlungen aber kein Gesetz

Gemäss dem Verband Schweizer Elektrizitätsversorger VSE stehen die Schweizer Stromversorger beim Managen von Cyberrisiken international ähnlich da wie Deutschland oder Österreich. Bis heute gibt es hierzulande allerdings noch keine gesetzliche Verpflichtung, dass sie sich gegen Cyberangriffe schützen müssen. Aus diesem Grund hat der VSE einen Katalog von Empfehlungen erstellt, der sich an alle rund 350 Mitglieder richtet. Mit dem Handbuch soll der Grundschutz der technischen Steuerungssysteme sichergestellt werden. «Die Empfehlungen umfassen insbesondere den Schutz von intelligenten Messsystemen wie auch von Operational Technology Systemen», erklärt VSE-Sprecher Sandro Pfammatter.

Anzeige

Bei der Ausarbeitung war neben Swissgrid und verschiedenen grossen Verteilnetzbetreibern auch der Bund beteiligt. Swissgrid würde es begrüssen, wenn auf staatlicher Seite mehr Kapazität für die Frühwarnung und für die Unterstützung im Fall von komplexen Cyberangriffen zur Verfügung stehen würde. «Eine gesetzliche Meldepflicht bei sicherheitsrelevanten Ereignissen würde die nötige Transparenz fördern, um betroffene Firmen rechtzeitig informieren zu können und aus Vorkommnissen Verbesserungsmassnahmen abzuleiten», ist Kaspar Haffner überzeugt.

Nicht versichertes Grossrisiko

Im Fall von Cyberangriffen auf kritische Infrastrukturen und daraus entstehenden Sachschäden an Sachwerten und möglicherweise auch an Personen bietet die Versicherungsindustrie für Extremfälle keine vollumfängliche Deckung, da es sich – wie bei der Pandemie auch – um ein Grossrisiko handelt. Der SVV hat ein Szenario erstellt, das sich an den cyberinduzierten Stromausfall in der Ukraine im Dezember 2016 anlehnt. Damals legte eine Malware zahlreiche Umspannstationen lahm. Käme die Schweizer Elektrizitätsversorgung zum Erliegen und würde es in einer Kettenreaktion zu Sachschäden innerhalb des Netzwerks kommen, beliefe sich der konservativ gerechnete Schaden auf bis zu 12 Milliarden Schweizer Franken.

Anzeige

Gerade deshalb ist auch die Assekuranz bereit, einen bedeutenden Beitrag zum Aufbau einer Cyberresilienz der Schweizer Infrastrukturlandschaft zu leisten. «Wir sind an einer Risikoabdeckung interessiert, aber bei Grossrisiken erfährt die Versicherbarkeit Grenzen, weil alle Risiken geografisch und zeitlich miteinander eintreffen. Also besteht bei diesen Toprisiken eine grosse Wahrscheinlichkeit, dass es den Bund braucht», konstatiert Urs Arbter, stellvertretender Direktor des SVV.

Trotz der bundesrätlichen Abfuhr an eine staatliche Pandemieversicherung ist Urs Arbter überzeugt, dass eine Public-Private Partnership das ideale Versicherungsmodell wäre. «Vor allem in der Aufbauphase braucht es den Staat als Rückversicherung. Je länger die Ansparphase dauert, um so kleiner und weniger wichtig wird die Rolle des Bundes.» Bis genügend Mittel auf der Seite liegen, dürfte es fünf bis zehn Jahre dauern. In Anbetracht dessen, dass die Cyberkriminalität boomt und zurzeit noch keine Versicherungslösung existiert, eine lange Zeit.

Anzeige