Ein gezielter Cyber-Angriff auf ein Stromunternehmen könnte in der Schweiz unter Umständen ein landesweites Blackout bewirken. Dass es nicht so weit kommt, ist Aufgabe der Behörden und der Stromversorger. Diese nehmen die Gefahr zunehmend ernst.
In den vergangenen Wochen haben sich erstmals die rund 700 Stromversorger in der Schweiz durch einen Experten der Melde- und Analysestelle Informationssicherung (Melani) über die Risiken der Informationstechnologien informieren lassen. Dass das Elektrizitätsnetz zu den grossen Infrastrukturrisiken gehört, ist unbestritten.
So hat erst kürzlich eine nationale Risikoanalyse des Bundessamtes für Bevölkerungsschutz (BABS) gezeigt, dass ein Stromblackout zu den grössten Risiken der nächsten Jahre in der Schweiz zählt.
Naturkatastrophe wahrscheinlicher als Cyber-Angriff
Der Gefahr eines gezielten Cyber-Angriffs wird nicht erst seit dem Hacker-Angriff auf die iranische Atomanlage vor fünf Jahren mehr Beachtung geschenkt. Wahrscheinlicher ist aber immer noch, dass eine Naturkatastrophe die Stromversorgung «ausschaltet».
«Das Risiko, dass bei uns ein Atomkraftwerk durch einen gezielten Cyber-Angriff manipuliert wird, ist klein», sagt denn auch Max Klaus, Stellvertretender Leiter der Melani. Diese Anlagen seien nicht direkt am Internet angeschlossen, sondern verfügten über einen geschlossenen Computerkreis. Zudem werden sie von grossen Stromunternehmen betrieben, die in den letzten Jahren viel in die Informatiksicherheit investiert haben.
Kleine können grosse Schäden anrichten
Viel grösser sei dagegen das Risiko, dass ein Cyber-Angriff auf ein Stromunternehmen beispielsweise einer kleinen Gemeinde erfolge. Denn das könnte zu einer Kettenreaktion führen, die Stromversorgung aus dem Gleichgewicht bringen und damit regional oder im Extremfall sogar landesweit ein Blackout verursachen.
«Im Rahmen der Überwachung der Versorgungssicherheit ist für uns das Risiko von Cyber-Attacken ein Thema geworden», sagt Renato Tami, Geschäftsführer der Eidgenössischen Elektrizitätskommission ElCom. Es gebe in der Schweiz rund 700 Netzbetreiber. Dabei stellten sich nicht bei allen die gleichen Anforderungen an die Abwehrsicherheit.
Und eine absolute Sicherheit gebe es natürlich nicht: «Man könnte da unendlich viel Geld investieren. Aber letztlich geht es uns darum, dass möglichst effizient mit demProblem umgegangen wird. Denn Sicherheitskosten werden auch auf den Strompreis abgewälzt», so Tami.
Attacken hat es bereits gegeben
Attacken auf Stromunternehmen hat es in der Schweiz bereits gegeben. Aber erfolgreich waren die Angriffe bisher nicht. Risikounternehmen, nicht bloss im Bereich der Stromversorgung, sondern auch Banken oder Bahnen, haben Zugriff auf eine Informationsplattform von Melani. Dort werden die Angriffe gemeldet und es wird auch vor solchen gewarnt.
«Praktisch jeden Tag erhalten wir Meldungen. Teilweise können wir auch von unserem internationalen Netzwerk profitieren oder von nicht-öffentlichen Quellen von Polizei oder Nachrichtendiensten», sagt Klaus. Über die Plattform könne so beispielsweise auch vor kritischen Sicherheitslücken gewarnt werden.
Dass die Abwehr teils schwierig ist, hat auch schon die Bundesverwaltung erfahren müssen. Beim Angriff auf das Eidgenössischen Departement für auswärtige Angelegenheiten (EDA), das drei Mal Ziel von Hackern geworden war, musste externe Hilfe beigezogen werden. Grösseres Unheil konnte aber abgewendet werden.
Kein IT-Sicherheitsgesetz geplant
Ein IT-Sicherheitsgesetz, wie es derzeit in Deutschland zur Diskussion steht, ist in der Schweiz indes nicht geplant. Grundlage für die Informationssicherheit ist unter anderem die Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS), die im Juni 2012 zusammen mit der Nationalen Strategie zum Schutz kritischer Infrastrukturen (SKI-Strategie) vom Bundesrat verabschiedet wurde.
Mit dieser Strategie äusserte die Regierung die Absicht, in Zusammenarbeit mit Behörden, Wirtschaft und den Betreibern kritischer Infrastrukturen die Cyber-Risiken zu minimieren.
Zu den Massnahmen gehört, mittels systematischer Zusammenarbeit mit relevanten Leistungserbringern und Systemlieferanten zusätzliche Fähigkeiten und Kapazitäten aufzubauen. Dazu wurde der Verein Swiss Cyber Experts gegründet, ein Public Private Partnership mit Spezialisten aus Privatwirtschaft und der Bundesverwaltung, der auch vom Wirtschaftsdachverband Economiesuisse unterstützt wird.
Periodisch aktualisiert, überprüft und bei Bedarf angepasst
Zuständig für die Umsetzung der SKI-Strategie, die in enger Koordination mit den Massnahmen der NCS umgesetzt werden, ist das Bundesamt für Bevölkerungsschutz (BABS). Beide nationalen Strategien werden periodisch aktualisiert, überprüft und bei Bedarf bis Ende 2016 angepasst, wie Stefan Brem, Chef Risikogrundlagen und Forschungskoordination im BABS, sagt.
In der nationalen SKI-Strategie waren 2012 28 Teilsektoren aus zehn Sektoren als kritisch eingestuft worden. Kritisch bedeutet, dass Störungen in der Regel schwerwiegende Auswirkungen auf Bevölkerung und Wirtschaft haben und dominoartig auf andere kritische Infrastrukturen übergreifen können.
(sda/ccr)