Bei der IT-Sicherheit fühlt sich niemand so richtig verantwortlich. Selbst bei kritischen Infrastrukturen nicht. Das liesse sich ändern.
Alle reden über Cybersicherheit, doch niemand nimmt sie ernst. Dieser Eindruck ist letzte Woche entstanden, als eine externe Überprüfung der IT-Systeme in Schweizer Spitälern schwere Mängel zutage brachte. Dabei ist das Gesundheitswesen nicht alleine: Bei der Stromversorgung stellte sich die Branche in einer Selbsteinschätzung vor drei Jahren gleich selbst ein schlechtes Zeugnis aus. Auch in anderen kritischen Bereichen kämpfen Firmen und Organisationen immer wieder mit Cyberangriffen.
Wer nun meint, die Schweiz sei in Sachen Cybersicherheit einfach nicht auf der Höhe der Zeit – im Unterschied zum Beispiel zu den USA –, der täuscht sich. Spitäler fallen auch in Amerika oder in Grossbritannien immer wieder kriminellen Cyberangriffen zum Opfer.
Mit ein Grund für die desolate Lage im Gesundheitswesen ist das fehlende Geld. Doch das alleine reicht als Erklärung nicht aus. Auch finanziell bessergestellte Branchen wie der Telekomsektor haben Probleme mit der Cybersicherheit. In den USA haben chinesische Angreifer in den letzten Monaten gleich neun Telekomfirmen gehackt. Sie konnten monatelang unbemerkt Spionage betreiben.
Cyberangriffe können Menschenleben gefährden
Wir haben uns inzwischen an die Meldungen über Cyberangriffe und Datenlecks gewöhnt. Die Phrase «Alles lässt sich hacken» mag früher noch ein Schaudern ausgelöst haben. Inzwischen klingt sie beinahe abgedroschen. Hackerangriffe sind die neue Normalität.
Doch diese Haltung ist verheerend. Das Risiko ist zu gross, als dass man resignieren dürfte. Cyberangriffe können Unternehmen in den Konkurs treiben, sie schaden der Volkswirtschaft und bringen im schlimmsten Fall Menschenleben in Gefahr. Die weltweit aktiven Ransomware-Banden sind zu einer der grössten Bedrohungen für die nationale Sicherheit vieler Länder geworden. Und die zunehmenden Spannungen zwischen den Weltmächten erhöhen die Gefahr, weil Cyberangriffe aus politischen Gründen wahrscheinlicher werden.
Doch es gibt einen positiven Aspekt: Cyberangriffe lassen sich verhindern. Zwar nicht in jedem Fall, aber bereits einfache Schutzmassnahmen würden die meisten der heutigen Attacken vereiteln oder zumindest deutlich erschweren. Gerade bei den kritischen Infrastrukturen, von denen das Funktionieren des Landes abhängt, braucht es grössere Anstrengungen.
Die grosse Frage ist, welche Mittel wirklich helfen. Neu ist das Problem ja nicht. Für die Schweiz ist oft zu hören, dass es eine stärkere Regulierung brauche. Im Vergleich etwa zur EU sind die Vorschriften hierzulande weit weniger streng.
Doch verbindliche Vorgaben alleine nützen wenig. Die Betroffenen müssen sie ernst nehmen und umsetzen. Und der Regulator muss die Einhaltung kontrollieren. Die Schwierigkeit bei der Regulierung ist, dass sie nicht eine kostspielige Bürokratie erzeugt, sondern eine neue Sicherheitskultur befördert.
Der Bund sollte externe Sicherheitstests ausschreiben
Externe Sicherheitsüberprüfungen können dazu beitragen. Sie zeigen generell auf, wie gut kritische Infrastrukturen vor Cyberrisiken geschützt sind, egal, wie detailliert die Vorgaben sind. Der Bund sollte externe Tests in Auftrag geben und die Resultate zumindest summarisch öffentlich machen. Damit würde das Problem in den Fokus der Politik und der verantwortlichen Branchen rücken.
Regelmässige externe Sicherheitsüberprüfungen können auch die zuständigen Regulatoren aufrütteln. Sie schöpfen heute ihre Kompetenzen im Bereich Cybersicherheit nicht aus. Und externe Sicherheitstests zwingen die Branchen dazu, die Verantwortlichkeiten zu klären. Heute kommt es oft zu einer Verantwortungsdiffusion: Jeder findet, der andere müsse etwas tun – und am Schluss geschieht gar nichts.
Externe Sicherheitsüberprüfungen haben den Vorteil, dass der Bund den kritischen Infrastrukturen nicht vorschreiben muss, was genau sie zu tun haben. Dennoch entsteht die Verpflichtung, etwas zum Schutz der IT-Systeme zu tun. Zusammen mit Transparenz bei den Resultaten kann so eine neue Sicherheitskultur entstehen.
