Die vernachlässigte Bedrohung

Cyberangriffe gefährden das souveräne Handeln von Staaten wie auch von Unternehmen. Essentielle Infrastrukturen wie die Energieversorgung oder der Verkehr sind in der Schweiz ungenügend gegen Risiken geschützt.

 

In den vergangenen Jahren ist der Bund vermehrt Opfer von Cyberangriffen geworden. Als der bundeseigene Rüstungskonzern Ruag im Jahr 2014 angegriffen wurde, flog die Tarnung von Schweizer Elitesoldaten1 auf, und unbekannte Mengen an geheimen Daten wurden gestohlen. Alle IT-Komponenten der gängigen Technologien haben und generieren stetig neue Schwachstellen. Angreifer nutzen diese aus. Einige der Schwachstellen sind bekannt2 oder werden es in kurzer Zeit sein. Es gibt aber auch solche, die nie bekannt werden. Ganz ausschliessen könnte man Cyberangriffe nur in einem vollständig unter eigener Kontrolle stehenden IT-Netzwerk inklusive aller notwendigen IT-Dienste, Applikationen, Zugriffe und Zutritte zu sämtlichen Systemkomponenten. Aus Kosten- und Effizienzgründen wird jedoch im allgemeinen auf solche Systeme verzichtet.

Identifizieren kann man Urheber von Cyberangriffen nur im Ausnahmefall, nämlich dann, wenn sie Amateure sind und grobe Fehler machen. Andernfalls ist eine Zuordnung nur möglich, wenn sie mehrmals die gleichen Methoden anwenden. Profis sind beinahe unmöglich zu identifizieren oder nur schon zu lokalisieren. Sie können ungehindert und unerkannt weltweit operieren. Auf internationale Abkommen zur Bekämpfung der Cyberkriminalität ist kein Verlass. Deren Instrumente funktionieren nicht oder sind langwierig und kompliziert. Ausserdem liegen sie oft nicht im Interesse der beteiligten Staaten.

Cyberangriffe werden von unterschiedlichsten Akteuren ausgeführt. Das Verteidigungsdepartement (VBS) unterscheidet zwischen Hobbyhackern, wohlorganisierten und professionellen Cyberkriminellen sowie Geheimdiensten und Staaten. Cybergrossmächte wissen alles über Hintertüren und Schwachstellen von IT-Systemen.

 Einsparungen auf Kosten der Sicherheit?

Vital für die Schweiz sind ihre kritischen Infrastrukturen. Auf diese müssen wir uns täglich verlassen können. Dazu gehören beispielsweise die Energieversorgung, Wasserversorgung, Verkehrswege und Kommunikationsmittel. Viele Kraftwerke, Staudämme und auch Verkehrsbetriebe weisen keine adäquate IT-Sicherungen auf. Immerhin könnten Schäden durch Cyberangriffe auf Energie- und Wasserversorgung innerhalb einer unkritischen Zeitspanne3 behoben werden, aber nur dann, wenn die Verkehrswege und Kommunikationsmittel intakt bleiben.

Die Kommunikationsmittel, insbesondere die der kritischen Infrastrukturen, sind sehr komplex. Bis vor kurzer Zeit waren diese für eine fast 100prozentige Verfügbarkeit in sich genügend redundant, oder sie konnten sich mindestens gegenseitig im Notfall aushelfen. Man denke da zum Beispiel ans Mobilfunknetz, auf das selbst die Armee ergänzend abstellt. Als Anfang Jahr das Swisscom-Netz mehrmals überlastet war, waren die Notfallnummern über längere Zeit nicht erreichbar. Das gibt zur Sorge Anlass. Diese Vorfälle nähren die Vermutung, dass die Sicherheit bei den Telekom-Anbietern je länger, je mehr in den Hintergrund rückt und nur noch die Kosten respektive das Preisgefüge im Markt für Endnutzer zählen. Wir müssen für die Sicherheit eine angemessene Redundanz aufrechterhalten. Der Trend in Industrie und Verwaltung zielt jedoch auf Vereinheitlichungen und Zentralisierungen zugunsten eines öffentlichkeitswirksam vorgegaukelten, aber kaum nachweisbaren Spareffektes. Das Ausfallrisiko bedingt aber Notfallvorkehrungen, die äusserst komplex sein können und nicht einfach auszutesten sind. Wir laufen zunehmend Gefahr, dass notwendige adäquate Anpassungen der Notfallpläne zu kompliziert sind und ausbleiben, zu spät kommen oder gar nicht mehr umzusetzen sind. Die Folge wären längere Ausfallzeiten und Folgeschäden. Generell wird es durch die zunehmende Komplexität immer schwieriger, Risiken realistisch einzuschätzen. Die Statistik hilft da nicht, denn jeder Vorfall ist anders und findet meist unter neuen Prämissen statt. Nur das lückenlose Durchdenken aller realistischen Eventualitäten und präventive oder reaktive Vorkehrungen gegen jeden einzelnen möglichen Vorfall bereiten uns angemessen auf einen Ernstfall vor.

Die SBB haben ihren Betrieb stark automatisiert. Aber auch sie sind auf IT-Ausfälle vorbereitet und kennen jeweils Notfallpläne zur Wiederherstellung des Verkehrs. Ob diese ausreichen, wird sich weisen. Beim Strassenverkehr denken heute viele über automatische Verkehrsführung mit selbstfahrenden Fahrzeugen nach. Doch bis jetzt denkt niemand an Notfallplanungen, die entscheidend wären, sollten dafür notwendige IT-Strassen-Führungszentren dereinst ausfallen. Heute reicht es, wenn die ausgefallene Ampelsteuerung einfach automatisch auf Gelb umschaltet. Der Autofahrer übernimmt dann selbst die Verantwortung…

«Ein Sprudelbad fürs Hirn!»
Monique Bär, Philanthropin und Gründerin der Arcas Foundation,
 über den «Schweizer Monat»