In der vergangenen Sondersession wurde von Nationalrat Claude Béglé (CVP/VD) eine Interpellation (19.3461) eingereicht, die unter anderem fragt, wie die verschiedenen Bemühungen gegen Cyberangriffe seitens Unternehmen, Hochschulen sowie von staatlicher Seite konzertiert werden können. Mit ähnlichen Absichten fragt Ständerat Damian Müller (FDP/LU) mit einer Interpellation (19.3139) nach Schweizer Attachés bei strategisch wichtigen Schweizer Botschaften, um Cyber-Bedrohungen zu minimieren – denn diese machen vor internationalen Grenzen bekanntlich nicht halt.
Den Handlungsbedarf hat auch der Bundesrat erkannt: Ein noch zu schaffendes Kompetenzzentrum soll demnächst die Tätigkeit als erweiterte Nachfolgeorganisation von MELANI, der Melde- und Analysestelle Informationssicherung, die Arbeit als Anlaufstelle für Fragen zu Cyberrisiken auch für die KMU und die Bevölkerung aufnehmen. Die strategische Leitung übernimmt eine Delegierte oder ein Delegierter für Cyberfragen – Ms oder Mr Cyber.
Zunehmende Fälle von «Ransomware»
Die Besorgnis ist verständlich, denn seit Anfang Jahr häufen sich die Meldungen: Die Daten von grossen und kleinen Unternehmen im In- und Ausland wurden von Verschlüsselungstrojanern – sogenannter «Ransomware» - verschlüsselt und somit unlesbar gemacht. Dadurch wird die Wiederherstellung der Geschäftstätigkeit der betroffenen Unternehmen äusserst schwierig.
Dank MELANI - bestehend aus der strategischen Gesamtleitung und dem Swiss Governmental Computer Emergency Response Team (GovCERT) beim ISB im EFD und dem Operation Information Center OIC beim NDB im VBS – können die Betreiber der schweizerischen kritischen Infrastrukturen heute schon rasch auf übergreifende Cyber-Vorfälle reagieren. Die Stelle arbeitet mit Partnern zusammen, welche im Umfeld der Sicherheit von Computersystemen und des Internets tätig sind. Zugleich erhalten die Unternehmen frühzeitig wichtige Informationen.
Stromversorgung im Fokus
Doch was unternehmen die Unternehmen selber, damit es nicht zu einer Beeinträchtigung durch Cyberangriffe kommt? Diese Frage stellt sich insbesondere in infrastrukturkritischen Bereichen wie der Stromversorgung. Als Angreifer kommen bei Zielen der Energieinfrastruktur staatliche Akteure mit dem Ziel der Spionage oder Sabotage in Frage. Als Beispiel mögen die beiden Cyberangriffe auf Stromversorger in der Ukraine (Weihnachten 2015 und 2016) dienen. Am wahrscheinlichsten sind jedoch Angriffe der organisierten Kriminalität mit dem Ziel, Geld zu erbeuten, zum Beispiel durch Erpressung. Eine gewisse Gefahr geht auch von Angriffen von Terroristen, politischen Aktivistengruppierungen und von Hobbyhackern aus.
In der kommenden Session wird im Nationalrat die 2017 von Nationalrätin Edith Graf-Litscher (SP/TG) eingereichte Motion 17.3496 behandelt. Sie fordert einen verpflichtenden Grundschutz für kritische Strominfrastrukturen. An sich ein hehres Anliegen. Der Bundesrat unterstützte 2017 grundsätzlich die Stossrichtung der Motion, dass kritische Strominfrastrukturen ein geeignetes Schutzniveau aufweisen sollen. Er wollte vorerst jedoch die weitere Entwicklung der laufenden Arbeiten (insbesondere in Zusammenhang mit den 2012 und 2017/8 verabschiedeten nationalen Strategien zum Schutz kritischer Infrastrukturen (SKI) und zum Schutz der Schweiz vor Cyberrisiken (NCS)) abwarten.
Energiebranche ist gewappnet
Wenn heute noch viele, insbesondere kleinere Unternehmen Cyberrisiken schlicht ignorieren, weil deren Abschätzung für sie zu komplex ist und sie hohe Kosten fürchten, gilt dies nicht für die Energiebranche. "Alle Betreiber kritischer Infrastrukturen orientieren sich am IKT Minimalstandard des Bundesamtes für wirtschaftliche Landesversorgung, auch die Energiebranche", sagt Ivo Maritz, Leiter Cyber Security der BKW. "Zusätzlich hat der Verband der Schweizerischen Elektrizitätsunternehmen entsprechende Branchenempfehlungen zur Cybersicherheit verabschiedet, so ein Handbuch zur Sicherheit von Steuerungssystemen sowie zur Sicherheit von intelligenten Messsystemen, denen auch die BKW folgt."
Im Rahmen der nationalen Cyberstrategie NCS II des Bundes hat die BKW bei der Vorbereitung der umzusetzenden Massnahmen mitgewirkt. Die BKW selbst hat das Thema früh erkannt und seit 2015 eine Cybersecurity Strategie mit drei Hauptstossrichtungen entwickelt und ab 2017 kontinuierlich nachhaltig umgesetzt. Was für Stossrichtungen sind dies? "Erstens geht es darum, innerhalb des Unternehmens Bewusstsein für die Problematik zu schaffen und Akzeptanz für die Massnahmen zu erzielen", erläutert Ivo Maritz. "Zweitens wurden Schutzmassnahmen in der Informatik (IT) sowie bei den industriellen Steuerungssystemen (OT) ergriffen, um drittens Widerstandsfähigkeit zu erreichen, Angriffe zu erkennen und bewältigen zu können."
Konkrete Schutzmechanismen der BKW
Was bedeutet dies konkret für das Unternehmen, zum Beispiel bei technischen Anlagen wie den Netzen, Kernkraftwerken, Flusswasserkraftwerken oder den Kraftwerken Oberhasli? "Zahlreiche Schutzmechanismen bei der IT und der OT wurden installiert und Überwachungstechnologien eingerichtet. Namentlich werden die Logbücher rund um die Uhr überwacht und Schwachstellen verfolgt und rasch geflickt", erklärt Maritz. "Wird trotz all dieser Schutzmassnahmen ein Angriff erkannt, wird dieser isoliert und behoben." Natürlich gebe es nie eine hundertprozentige Sicherheit. Aber angesichts aller bekannten und potentiellen Risiken sei die BKW hervorragend aufgestellt – und weiterer Regulierungsbedarf sei aus unserer Sicht deshalb fehl am Platz.