Lahmgelegte Flughäfen und Spitäler, Attacken auf den Bund und Energieversorger – ob aufgrund von IT-Pannen oder Hackerangriffen, das Cyber-Risiko in der Schweiz hat zugenommen. Ivan Bütler, IT-Sicherheitsexperte und Kursleiter des CAS Cyber Security an der OST – Ostschweizer Fachhochschule, erklärt im Interview, warum unsere IT-Abhängigkeit ein Problem ist, welche Rolle die Cyber-Resilienz dabei spielt und was die Schweiz im Bereich Cyber Security verbessern könnte.
Ein globaler IT-Ausfall im Juli hat gezeigt, wie abhängig gewisse Organisationen wie Flughäfen und Banken von einem einzigen IT-Unternehmen sind – auch in der Schweiz. Ist unsere IT-Abhängigkeit ein Problem?
Ivan Bütler: Ja absolut. Wie wir am Beispiel der IT-Panne des Unternehmens CrowdStrike gesehen haben, kann ein Ausfall gewisser Systeme den Flugverkehr stark beeinträchtigen. Aber auch andere kritische Infrastrukturen wie das Finanz- und Transportwesen oder die Lebensmittelversorgung sind von IT-Systemen abhängig.
Sollte die IT stärker als kritische Infrastruktur betrachtet werden, wie es beispielsweise bei der Energie der Fall ist?
Wir leben im Zeitalter der globalen Digitalisierung. Alle Bereiche unserer Gesellschaft und Geschäftsprozesse werden digitalisiert und entsprechend wird die Cyber-Sicherheit dieser Bereiche immer wichtiger und bedeutender. Ein Ausfall des Internets oder zentral genutzter Systeme von Microsoft, Google oder Apple, aber auch von Drittanbietern wie CrowdStrike können uns stark beeinträchtigen. Wir alle sind gefordert, die Zukunft so zu gestalten, dass wir unabhängiger und widerstandsfähiger gegenüber Ausfällen von IT-Systemen werden. In diesem Zusammenhang spielt der Begriff «Cyber-Resilienz» eine wichtige Rolle. Es handelt sich dabei um die Widerstandsfähigkeit, im Falle eines Cyber-Ereignisses weiter funktionieren zu können. Die Cyber-Resilienz hat sich in der Schweiz mit der Aktualisierung der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) des Bundes manifestiert.
«Bei der Bewältigung und Aufarbeitung von Cyber-Ereignissen ist eine gute Kommunikation sehr wichtig – hier kommt uns der Föderalismus in den Weg. In der Schweiz darf zum Beispiel die Polizei nicht ohne weiteres Daten über Kantonsgrenzen hinweg austauschen. Das macht es für die Strafverfolgung sehr schwierig, Cyber-Ereignisse aufzuklären, denn Hackerinnen und Hacker kennen diese Grenzen nicht.»
Ivan Bütler
IT-Sicherheitsexperte und Kursleiter des CAS Cyber Security an der OST – Ostschweizer Fachhochschule
Braucht es mehr Regulierung, um solche Pannen zu vermeiden?
Solche Regulierungen sind bereits heute in der Entwicklung und Umsetzung. In der NCS waren viele Massnahmen als Empfehlungen formuliert. Heute geht der Staat einen Schritt weiter und schreibt gewisse Massnahmen vor – sie sind also nicht mehr freiwillig. Beispielsweise hat der Bund Kriterien für den Betrieb von kritischen Infrastrukturen, wie beispielsweise der Stromversorgung verabschiedet. Damit steigert man die Fähigkeit, auf Cyber-Risiken zu reagieren. Die Prozesse werden dadurch aber auch teurer und aufwendiger. Die Sicherstellung von IT-Sicherheitsmassnahmen erhöhen die Produktions- und Instandhaltungskosten der betroffenen Unternehmen und wir reduzieren unsere Wirtschaftlichkeit gegenüber Ländern, die diese Massnahmen nicht einfordern. Es muss also besonnen und wohl überlegt definiert werden, in welchen Landesteilen eine Massnahme obligatorisch wird und Geldstrafen folgen, sollten diese nicht eingehalten werden.
Macht die Schweiz genug, um gegen Cyber-Angriffe gewappnet zu sein?
Die Schweiz könnte mehr machen. Wir orientieren uns stark an den Anforderungen aus Deutschland und der Europäischen Union, generell an Europa. Bei der Bewältigung und Aufarbeitung von Cyber-Ereignissen ist eine gute Kommunikation sehr wichtig – hier kommt uns der Föderalismus in den Weg. In der Schweiz darf zum Beispiel die Polizei nicht ohne weiteres Daten über Kantonsgrenzen hinweg austauschen. Das macht es für die Strafverfolgung sehr schwierig, Cyber-Ereignisse aufzuklären, denn Hackerinnen und Hacker kennen diese Grenzen nicht. Trotzdem denke ich, dass das Thema in der Schweiz sehr ernst genommen wird und wir uns stetig verbessern.
Die Schweiz ist meiner Meinung nach exponiert und gefährdet. Das haben verschiedene erfolgreiche Hackerangriffe auf die Schweiz gezeigt. Am besten geschützt ist meines Erachtens der Schweizer Finanzsektor. Hier haben die Unternehmen von sich aus und schon seit längerer Zeit viel Aufwand und Energie in die Cyber-Sicherheit investiert.
In der Schweiz steigt die Zahl der gemeldeten Cybercrime-Vorfälle. Was sind die Gründe dafür?
Zum einen steigt die Verwundbarkeit, weil immer mehr Geräte online sind. Daher ist es normal, dass es vermehrt Cyber- und Hacker-Ereignisse gibt. Hinzu kommt die Pflicht der Unternehmen, Cyber-Vorfälle zu melden. Diese Meldepflicht führt ebenfalls zu einem Anstieg in der Statistik. Vorher war die Dunkelziffer höher.
Wie schätzen Sie das Cyber-Risiko für die Schweiz ein?
Die Schweiz ist meiner Meinung nach exponiert und gefährdet. Das haben verschiedene erfolgreiche Hackerangriffe auf die Schweiz gezeigt. Am besten geschützt ist meines Erachtens der Schweizer Finanzsektor. Hier haben die Unternehmen von sich aus und schon seit längerer Zeit viel Aufwand und Energie in die Cyber-Sicherheit investiert. In anderen Bereichen hinken wir hinterher. Zum Beispiel sind heute viele Spitäler ein leichtes Ziel für Hackerangriffe.
Was kann der Bund gegen das erhöhte Cyber-Risiko unternehmen?
Der Bund muss das Land und die Unternehmen mit Informationen versorgen, damit sie sich besser gegen aktuell laufende Attacken schützen und wappnen können. Der Bund stellt auch wichtige Regelungen zur Verfügung, die eingehalten werden müssen. Er ist also Dreh- und Angelpunkt, wenn es um verbindliche Massnahmen geht, aber auch bei Ermittlungen durch die Strafverfolgungsbehörde.
CAS Cyber Security
Die Digitalisierung und die Vernetzung aller Lebensbereiche erfordern, dass Infrastrukturen, Systeme und Applikationen besser vor Missbrauch und Angriffen aus dem Cyberspace geschützt werden. Im CAS Cyber Security lernen die Teilnehmenden, wie sie Netzwerke und Unternehmens-Systeme absichern, Sicherheitslücken erkennen sowie Angriffe identifizieren und abwehren können. Damit leistet der CAS einen Beitrag zur Steigerung der Cyber-Resilienz.