Cyberangriffe nehmen auch in der Schweiz zu. Kriminelle, die ein Blackout herbeiführen wollen, finden in Kleinwasserkraftwerken leichte Ziele. Für den Kampf gegen systemrelevante Sicherheitslücken fehlen qualifizierte Cyber-Cracks.
8,5 Billionen Franken. Auf diese unvorstellbar hohe Summe belaufen sich laut Cybersecurity Ventures die Schäden, die 2024 weltweit durch Cyberkriminalität verursacht wurden. Würde Cyberkriminalität wie das Bruttoinlandprodukt (BIP) eines Landes gemessen, entspräche sie – nach demjenigen der USA und Chinas – dem Volumen der drittgrössten Volkswirtschaft der Welt.
Die Schäden sind zehnmal so hoch wie das für 2024 prognostizierte BIP der Schweiz. Nicht mit eingerechnet sind hier die geschätzten Schäden von 15 Milliarden Dollar durch die weltweite Betriebsstörung von Rechnersystemen. Da sie keinen kriminellen Hintergrund haben, werden solche Störungen nicht mit eingerechnet. Der Grund für den hohen Störungsschaden war wohl die nicht ausgetestete Software-Aktualisierung des Cybersicherheitsanbieters Crowdstrike von vergangenem Sommer. Beim grössten IT-Zwischenfall der Geschichte blieben weltweit Flugzeuge am Boden, Spitäler standen praktisch still. 8,5 Millionen Windows-Computer, zumeist in kritischen Infrastrukturen mit hohen Sicherheitsanforderungen, waren ausser Betrieb.
Zum Vergleich: Im Gegensatz zu den Cyberschäden beliefen sich die Kosten von Naturkatastrophen im Jahr 2024 auf 350 Milliarden Franken. Im Gegensatz zu Murgängen und verschütteten Dörfern schafft es die gelähmte Infrastruktur eines Stromproduzenten allerdings seltener in die Öffentlichkeit. Dabei sind die durch aggressive Cyberakteure verursachten Kosten weltweit um den Faktor 25 höher.
Schweizer Cybersicherheit: Luft nach oben
Das gesellschaftliche und institutionelle Bewusstsein für die verheerenden Folgen von Cyberausfällen ist gering. Dazu passt, dass die Schweiz im Global Cybersecurity Index 2024 weiter abgerutscht ist. Die herausgebende International Telecommunication Union (ITU) bewertet darin die rechtlichen, technischen und organisatorischen Massnahmen sowie die Entwicklung von Cybersicherheitskapazitäten und Kooperationen eines jeweiligen Landes. Das ITU-Ranking beruht, neben dem Fokus auf Regulierung, auch auf Selbstdeklaration. In dieser Rangliste liegt die Schweiz zurzeit hinter von der ITU als vorbildlich eingestuften Ländern wie Ghana, Tansania oder Serbien.
Dabei hat Bundesbern in den letzten Jahren wegweisende Entscheide gefällt, um die Cybersicherheit der kritischen Infrastrukturen zu verbessern. Am 1. Januar 2024 wurde das Bundesamt für Cybersicherheit (Bacs) gegründet, das aus dem seit 2020 operativen Nationalen Zentrum für Cybersicherheit hervorgegangen ist. Das Bacs ist verantwortlich für die koordinierte Umsetzung der nationalen Cyberstrategie.
In der Wintersession 2024 hat das Parlament die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen beschlossen. Ihre Umsetzung wird in der Cybersicherheitsverordnung festgelegt, die nächstens in Kraft tritt. Das Bundesamt für wirtschaftliche Landesversorgung hat einen IKT-(Informations-und-Kommunikationstechnik-)Minimalstandard entwickelt, der seit dem 1. Juli 2024 für die wichtigsten Stromversorger der Schweiz verbindlich ist. Dieser Standard definiert, abhängig von der Bedeutung eines Betriebs für das Gesamtsystem, unterschiedlich strenge Schutzniveaus.
Warum aber schlagen sich all diese politischen und regulatorischen Präventionsmassnahmen nicht im ITU-Ranking nieder? Für Nick Mayencourt, Programmdirektor der diesjährigen Swiss Cyber Security Days, ist das keine Überraschung. Es sei positiv, dass an der Schnittstelle von Verwaltung und privaten Anbietern endlich ein Dialog eingesetzt habe. Der institutionelle Bewusstseinswandel hänge auch damit zusammen, dass die Warnungen aus seiner Branche zunehmend gehört würden. Die Angriffsflächen im Schweizer Cyberspace sind jedoch laut Mayencourt unverändert gross: «Wir können bei den dringenden Anstrengungen zur Härtung unserer kritischen Systeme wenig Fortschritte messen. Von digitaler Souveränität sind wir noch ein gutes Stück entfernt.»
Stromversorgung bleibt Achillesferse
Als Beispiel für die nach wie vor bestehenden Sicherheitslücken nennt Mayencourt die Schweizer Stromversorgung. Swissgrid sei hier «eine positive Anomalie», sagt er. Die Sicherheitskultur des nationalen Netzwerkbetreibers sei vorbildlich, aber leider nicht repräsentativ.
Konkret bedeutet das: Sollten Cyberkriminelle in der Schweiz ein Blackout herbeiführen wollen, würden sie kaum die Festung Swissgrid angreifen. Wahrscheinlich beschaffen sie sich Informationen über die Hardware in den noch immer etwa 1000 Kleinwasserkraftwerken der Schweiz. Dabei finden sie etwa heraus, welche Turbinen oder Generatoren in Betrieb sind. Stammen sie allenfalls von den gleichen Lieferanten? Die Angreifer dürften schnell feststellen, dass die oft veraltete Steuerungstechnik bei vielen Werken mit dem Internet und dem gesamten Stromnetz verbunden ist. An dieser Schnittstelle können sie eindringen und ihren Zugriff auf besser geschützte Infrastruktur ausweiten.
Der Cyber-GAU kann jederzeit passieren. Die kritischen Infrastrukturen der Schweiz sind durchdigitalisiert, das Gesamtsystem ist verletzlich. Cyberbewusste Betriebe wie Swissgrid setzen deshalb bewusst Hacker auf Schwachstellen in ihren Systemen an. Doch laut Mayencourt reicht ethisches Hacking allein nicht. Es zeige nur die Verletzlichkeiten auf. Ebenso wichtig sei es, ein permanentes Monitoring einzurichten, um sofort reagieren und damit Kaskadeneffekte verhindern zu können. Mit regelmässigen Updates bekommt man laut Mayencourt viele potenzielle Gefahrenherde unter Kontrolle. Laut dem Nationalen Testinstitut für Cybersicherheit sind 60 Prozent aller Cyberangriffe auf nicht aktualisierte Software zurückzuführen und könnten billig vermieden werden.
Mehr staatliche Regulierung, viel mehr Cyberexperten
Mit der Meldepflicht für Cyberangriffe und dem IKT-Minimalstandard für die wichtigsten Stromversorger hat der Bund einen Meilenstein erreicht. Warum aber schreibt er nicht gleich allen Betrieben Sicherheitsaudits vor? Mayencourt ist nicht der Einzige, der ausdrücklich «mehr staatliche Führung» fordert, um Sicherheitsüberprüfungen per Gesetz durchzusetzen.
Dafür plädiert auch Aleksejs Okolovskis, Gründer der Swiss Cyber Security Platform: «Durch Rahmenverträge mit qualifizierten privaten Anbietern auf dem Markt könnten wir regulatorische Vorgaben mit pragmatischer Expertise verbinden», sagt er. Grundsätzlich gilt: Je kleiner der Betrieb, desto grösser die Anfälligkeit. Die Auslagerung der IT-Sicherheit kleiner Stromproduzenten mit knappen Budgets an sicherheitsüberprüfte private Dienstleister ist eine Option.
Doch wenn die Schweiz ihre kritischen Infrastrukturen messbar härten will, muss sie dafür viel mehr Personal bereitstellen. Qualifizierte Experten für Cybersicherheit sind rar und international begehrt. Okolovskis ist auch Präsident der Schweizer Filiale von ISC2, einer weltweit tätigen Trainings- und Zertifizierungsorganisation für Cybersicherheit. Er möchte diesen Mangel kurzfristig mit Weiterbildungen und der Rekrutierung internationaler Fachkräfte auffangen.
Im Kampf gegen den «Cyber Talent Gap» brauche es zudem einen unverzüglichen nationalen Schulterschluss: «Wenn alle relevanten Akteure – Bund, Kantone, Wirtschaft und Bildungsinstitutionen – an einem Strang ziehen, bringen wir schnell mehr qualifizierte Fachkräfte in den Markt», sagt er. Die USA bezifferten 2024 ihren sofortigen Bedarf an solchen gutartigen Cybercracks auf mindestens eine Viertelmillion. Der Schweiz fehlen also gegen 10 000 Spezialisten.
Ausbildungszertifikate sollten dabei auch aufgrund der Dringlichkeit nur eine untergeordnete Rolle spielen. Okolovskis betont zwar, dass die sogenannte CISSP-Zertifizierung des ISC2 seit 30 Jahren Industriestandard für hoch qualifizierte Fachkräfte sei. Mayencourt hingegen findet, schnelle Lösungen für zeitkritische Sicherheitsprobleme seien wichtiger als Zertifikate: «Ich gebe einen dringenden Auftrag lieber dem versierten Praktiker als jemandem mit allen formalen Qualifikationen, der das Problem nur beschreibt.»
Tatsache ist: Die Angreifer schlafen nicht, die Angriffe auf die schwächsten Glieder der kritischen Infrastrukturen nehmen zu. Will sich die Schweiz schützen, muss sie in die Ausbildung von Cyberspezialisten investieren.
