Cyberrisiken als Bedrohung für kritische Infrastrukturen

20.09.2019
Beitrag von Daniel Caduff
Publiziert unter:  Cyberrisiken, Sicherheit, Infrastruktur
Originalversion

Kritische Infrastrukturen und kritische Versorgungsprozesse in der Schweiz sehen sich einer wachsenden Bedrohung gegenüber. Egal ob Stromversorgung, Trinkwasserversorgung, öffentlicher Verkehr, Lebensmittelversorgung oder Spitäler: Sie alle sind heute von Informatik- und Telekommunikation (IKT) abhängig.

Spektakuläre Angriffe kommen immer wieder vor und erzeugen ein hohes Medienecho. Seien es die Angriffe auf die Ukrainische Stromversorgung 2015, die durch die Schadsoftware «WannaCry» verursachten Ausfälle von Spitälern der britischen Gesundheitsbehörde NHS 2017, der Millionenverlust der Reederei Maersk durch die Malware «NotPetya» 2018 oder der erst kürzlich bekannt gewordene Angriff gegen das Schweizer Gebäudetechnikunternehmen MEIER TOBLER: Nichts und niemand ist heute sicher.

Die bekannten Angriffe sind jedoch nur die Spitze des Eisbergs. Stromversorger, Banken, oder High-Tech-Unternehmen in den Branchen Rüstung, Biotechnologie, Informatik, Chemie, etc. sind täglich mit einer Vielzahl an Cyberrisiken konfrontiert. Die Risiken beschränken sich dabei nicht nur auf Hackerangriffe durch Kriminelle oder staatliche Organisationen. Risiken können durch den Verlust der Integrität von Daten, den Verlust der Vertraulichkeit von Daten oder den Verlust der Verfügbarkeit von Daten entstehen.

Unabsichtliche Fehler von Mitarbeitenden oder nicht entdeckte Fehler in einer eingesetzten Software können z.B. ebenfalls zum Verlust von Daten führen. Ebenso können unabsichtliche Fehler bei Bauarbeiten z.B. Datenleitungen beschädigen und damit die Verfügbarkeit von Daten beeinträchtigen. Bei kritischen Infrastrukturen können solche Risiken dazu führen, dass die Versorgung und Funktionsfähigkeit des Landes gefährdet ist, oder direkte Gefahr für Leib und Leben besteht. Sensoren, die falsche Messdaten im Stromnetz übermitteln, können zu Fehlschaltungen und dadurch zu Kurzschlüssen oder grossflächigen Stromausfällen führen und grosse Schäden an den Anlagen verursachen. Ist z.B. eine Transformatorstation betroffen, so kann die Reparatur mehrere Wochen dauern. Falsch übermittelte Messdaten bei einer Herz-Lungen-Maschine im Spital oder bei einer Weiche im ÖV-Schienennetz können unmittelbare Lebensgefahr für die betroffenen Patienten bzw. Passagiere bedeuten.

Aber auch ohne direkte Lebensgefahr können die Risiken beträchtlich sein. Der Verlust der Vertraulichkeit von Bankkundendaten stellt für Banken ein grosses Reputationsrisiko dar. Verlieren die Kunden das Vertrauen in die Fähigkeit ihrer Bank ihre Daten zu schützen, so kann dies zum Abzug von Kundengeldern und dadurch dem Verlust der Geschäftsfähigkeit der Bank führen. Weitere mögliche Risiken betreffen z.B. Spionage (aus wirtschaftlichen oder militärischen Motiven) oder Erpressung.

Um diesen Risiken begegnen zu können, führte das Bundesamt für wirtschaftliche Landesversorgung BWL im Rahmen der vom Bundesrat 2012 beschlossenen Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) Verwundbarkeitsanalysen zu Cyberrisiken in verschiedenen lebenswichtigen Branchen durch. Untersucht wurden etwa die Stromversorgung, die Trinkwasser- und Lebensmittelversorgung oder auch der Strassen- und Schienenverkehr. Auf Basis der Ergebnisse entwickelte das BWL anschliessend den IKT-Minimalstandard zur Stärkung der IKT-Resilienz. Der Standard richtet sich insbesondere an die Betreiber von kritischen Infrastrukturen in der Schweiz. Er ist aber für jede Organisation und jedes Unternehmen anwendbar.

Der IKT-Minimalstandard basiert auf dem international anerkannten NIST-Framework und ist kompatibel mit weiteren Cybersecurity-Standards. Zusammen mit verschiedenen Wirtschaftsverbänden wurde der Minimalstandard für einzelne Branchen bereits weiter spezifiziert. Dedizierte Branchenstandards existieren aktuell für die Stromversorgung, die Trinkwasserversorgung und die Lebensmittelversorgung. Weitere befinden sich aktuell in Arbeit. Alle Standards und Hilfsmaterialien sind «Open Source» und können auf der Homepage des BWL heruntergeladen werden.

Daniel Caduff
Daniel Caduff
Leiter Geschäftsstellen IKT & Logistik a.i., Bundesamt für wirtschaftliche Landesversorgung BWL