Die Volkswirtschaft

Plattform für Wirtschaftspolitik

Dieser Artikel ist Teil des Schwerpunkts «Mehr Sicherheit im Cyberraum»

Wege zu mehr Sicherheit

Kriminelle agieren im Cyberraum immer professioneller und bedrohen einen nachhaltigen digitalen Wandel. Als Wirtschaftsstandort muss sich auch die Schweiz verstärkt mit dem Thema Cyberkriminalität auseinandersetzen. Andere Länder und die EU haben bereits Meldepflichten und Sicherheitsstandards durchgesetzt.

Geht bei der Cybersicherheit weiter als die Schweiz: Singapur hat für kritische Infrastrukturen wie etwa Banken Standards und Meldepflichten eingeführt. (Bild: Keystone)

Abstract lesen...

Berichte und Studien zur Sicherheit der digitalen Infrastrukturen sind sich einig, dass der Cyberraum unsicherer wird. Während die digitale Transformation in allen Bereichen zu einer zunehmend grösseren Angriffsfläche führt, agieren Cyberkriminelle und Spione immer professioneller. Es wird zunehmend schwieriger, die Bedrohungslage einzuschätzen und zu bestimmen, was ein angemessenes Sicherheitsniveau ist. Es ist davon auszugehen, dass eine Mehrheit der Unternehmen noch nicht genug in Cybersicherheit investiert. Dies zeigt auch eine Studie der Information Security Society Schweiz (ISSS). Braucht es Standards für kritische oder auch für digitale Infrastrukturen oder für alle? Andere Länder wie auch die EU gehen diesbezüglich weiter als die Schweiz. Die Diskussion ist lanciert und muss dringend weitergeführt werden.

In einem Punkt sind sich die mittlerweile unzähligen Berichte und Studien über die Sicherheit der digitalen Infrastrukturen einig: Der Cyberraum wird zunehmend unsicherer.[1] Was variiert, sind die angegebenen Zuwachsraten und die Gewichtung der verschiedenen Cyber-Angriffsmuster und der dazugehörigen kriminellen Geschäftsmodelle. Letztlich ist das ein klarer Hinweis dafür, dass eine umfassende Quantifizierung der Vorfälle und des Lagebildes zwar dringend nötig, aber zurzeit offenbar nicht möglich ist. Die Erkenntnis setzt sich durch, dass wir momentan zu wenig über das wissen, was wir nicht wissen – und das stellt zurzeit das denkbar grösste Risiko dar.

Was hingegen bekannt ist: Die Anzahl identifizierter neuer Malware und Botnetze steigt stündlich, ebenso die Anzahl unbekannter Schwachstellen, die im Netz herumgereicht werden. Nicht weniger besorgniserregend ist die Tatsache, dass die Angreifer auch mit bereits bekannten Schwachstellen immer wieder Erfolg haben. Rein statistisch ist davon auszugehen, dass die grosse Mehrheit von Unternehmen und Organisationen bereits einmal digital angegriffen worden ist.

Doch wie steht es um das Risikoverständnis und die Gegenmassnahmen der Unternehmen? Wie kann der Schutz der Gesellschaft, der Wirtschaft und der Betreiber kritischer Infrastrukturen wie etwa in den Bereichen Energie und Verkehr verbessert werden? Und welche Rolle hat dabei der Staat? Sicherheitsstandards, Mindestvorgaben sowie Meldepflichten sind bei der Beantwortung dieser Fragen entscheidend.

Cybervorfälle nehmen zu

Soweit das Zahlenmaterial überhaupt verlässlich ist, sprechen die Zahlen eine klare Sprache: Kriminalität und Spionage sind mittlerweile die dominierende Motivation hinter weit über drei Viertel aller Cybervorfälle, wobei die Grenze zwischen kriminellen und staatsnahen Akteuren zusehends verschwimmt. Der Rest verteilt sich auf politisch motivierten Cyberaktivismus und Cyberkrieg. Damit sind Angriffe mit kriminellem Hintergrund gegenüber 2015 sprunghaft angestiegen. Wie professionell und lukrativ kriminelle Cyberattacken sein können, zeigt der Angriff auf den von Swift abgewickelten Interbanken-Zahlungsverkehr. Der Schaden für die Zentralbank von Bangladesch betrug je nach Quelle wohl über 80 Millionen Dollar.

Die Angreifer arbeiten mittlerweile hochgradig arbeitsteilig. Dank «Cyber-Attack as a Service» finden selbst technisch unbedarfte Akteure ausgeklügelte und massgeschneiderte Dienstleistungen im Darknet, um einen Cyberangriff auszuführen. Die Angebotsvielfalt ist eindrücklich: Für 20 Dollar pro Stunde kann man bereits schlagkräftige Infrastrukturen mieten. Waren früher sogenannte Advanced Persistent Threats vorwiegend Regierungen vorbehalten, sind sie heute bereits auf dem Weg, zu einer Konsumware des Darknets zu werden. Die Eintrittshürde für Kriminelle ist dadurch deutlich gesunken. Der Verkauf von gestohlenen Daten, erpresserische Geschäftsmodelle durch sogenannte Ransomware und vor allem «Distributed-Denial-of-Service-Angriffe», kurz DDos, versprechen hohe Gewinne. Bei den DDos handelt es sich um Serverüberlastungsangriffe, die durch Massenanfragen einen Dienst lahmlegen können.

Die Professionalität der spezifischen Angriffe dürfte durch die unkontrollierte Weiterverbreitung von noch nicht bekannten Schwachstellen, sogenannten Zero-Day-Exploits, und durch hoch entwickelte Angriffswerkzeuge weiter zunehmen. Früher sorgsam von Nachrichtendiensten und Militär gehütet, haben diese heiklen Cyberangriffswaffen in den letzten zwei Jahren durch Datenlecks bei den Nachrichtendiensten den Weg an die Öffentlichkeit gefunden. Der Ruf wird lauter, dass die entsprechenden Staatsstellen allfällige Angriffsflächen den Produzenten sofort melden und nicht für eigene Spionagezwecke benutzen.

Die Verwundbarkeit nimmt weiter zu

Ein weiterer Grund für die steigende Cyberkriminalität ist der digitale Wandel aufseiten der Angegriffenen. Im gleichen Ausmass, wie die Unternehmen digitale Ökosysteme im Vertrieb und im Betrieb auf- und ausbauen, nehmen der Grad und die Komplexität der digitalen Vernetzung zu. Gemäss einer Studie zur Digitalisierung in Schweizer KMU[2] betreiben bereits knapp drei Viertel der befragten Betriebe Digitalisierungsprojekte. Die gleiche Studie zeigt auch, wo die Risiken der Zukunft liegen: Die grosse Mehrheit der Unternehmen sieht das fehlende Know-how und den hohen Investitionsbedarf als zentrale Herausforderungen.

Die digitale Angriffsfläche und damit auch die Verwundbarkeit werden weiter zunehmen – umso mehr, als die Industrialisierung der Lösungen in der Informations- und Kommunikationstechnologie (IKT) grosse Fortschritte macht: Hardware, Software und Rechenleistung werden gerade in der boomenden Industrie 4.0 günstiger, vernetzbar und vermeintlich einfacher in der Anwendung und der Wartung.

Die Standardisierung und Industrialisierung der IKT-Sicherheit konnte damit nicht Schritt halten. Auch die gängigen Erfolgsrezepte im Sicherheitsbereich helfen bei gezielteren Angriffen wenig. Kurz: Wir sind mit 200 Stundenkilometern auf der digitalen Autobahn unterwegs und haben lediglich die Sicherheitsausstattung eines Ford T-Modells. Die Entwicklung einer sogenannten Security-by-Design – eine Hard- und Software mit möglichst wenig Verwundbarkeiten – wurde bisher vernachlässigt. Das hat nun deutliche Konsequenzen.

Angriffe werden erst spät erkannt

Während der Ruf nach einem Risikomanagement der digitalen Infrastrukturen immer lauter wird, ist gerade die konkrete Bedrohungslage als Grundlage für eine klassische Risikobewertung alles andere als klar qualifizierbar, geschweige denn quantifizierbar. Dass Angriffe auf digitale Infrastrukturen und Daten sehr schnell offenkundig werden, liegt auf der Hand. Weitaus schwieriger ist es dagegen, das Risikoausmass des ungewollten Datenabflusses zu bewerten. Kundendaten, wichtige Geschäftsdaten, geistiges Eigentum und Benutzeranmeldeinformationen können davon betroffen sein. Die Zeitdauer zwischen Infektion und Detektion bei einem erfolgreichen Angriff wird immer länger – aktuell sind es rund 300 Tage. Brisant ist zudem, dass die meisten Angegriffenen erst von externen Partnern gewarnt werden mussten. Eine kürzlich durchgeführte Studie[3] der Information Security Society Schweiz (ISSS) bei Schweizer KMU, grösseren Unternehmen und Konzernen zeigt, dass eine Mehrheit den ungewollten Datenabfluss künftig als vorherrschendes Risiko einschätzt und die Resilienz im Bereich der Detektions- und Kontrollmöglichkeiten als immer dringlicher sieht.

Gemäss dieser und anderen Studien haben in den letzten zwei Jahren die Sensibilisierung sowie das Verständnis für die Cybergefahren und den Handlungsbedarf in Unternehmen deutlich zugenommen. Allerdings sind es immer noch die grösseren, international tätigen Firmen, welche die Gefahr höher und ihre Sicherheit kritischer bewerten als kleinere, national tätige Unternehmen. Trotz aller Sensibilisierung wendet 2017 nur ein Fünftel aller Unternehmen im Vergleich zum Vorjahr einen höheren Anteil der IT-Mittel für die Sicherheit auf, wie die ISSS-Studie zeigt. Gleichzeitig ist nur eine verschwindend kleine Minderheit bereit, bei schrumpfenden IT-Budgets mehr für IT-Sicherheit aufzuwenden. Das weist darauf hin, dass die Geschäftsseite in der Regel nicht bereit ist, bei fehlenden IT-Mitteln auf noch mehr Dienstleistungen zugunsten der Sicherheit zu verzichten.

Das Ausland bewegt sich

Die Wichtigkeit digitaler Infrastrukturen hat eine Diskussion vom Zaun gebrochen, was der Staat leisten, regulieren oder anstossen soll – nicht nur bei den kritischen Infrastrukturen.[4] Wie sieht es diesbezüglich im Ausland aus? Gibt es verpflichtende Minimalstandards für die Betreiber kritischer Infrastrukturen? Werden nur vereinzelte Sektoren und dort nur ausgewählte Betreiber adressiert? Gehören auch die Betreiber von digitalen Infrastrukturen wie plattformgestützten Vertriebsmöglichkeiten, Cloud-Diensten oder Suchmaschinen dazu?

Nicht überraschend haben autoritär geführte Länder wie China oder Singapur in den letzten drei Jahren strikte Regulierungen durchgesetzt. So gelten dort für kritische Infrastrukturen und alle als relevant erkannten digitalen Infrastrukturen entsprechende Informationssicherheitsstandards und Meldepflichten. In den Vereinigten Staaten wurde mit dem sogenannten Cyber Security Framework des National Institute of Standards and Technology (Nist) ein relativ detaillierter Quasi-Standard für die kritischen Infrastrukturen eingeführt. Obwohl nicht explizit verpflichtend, üben die Sicherheitsvorschläge zusammen mit verschiedenen National Acts und State Laws einigen Druck aus und ermöglichen der Verwaltung regulierende Eingriffe bei privaten Betreibern.

Der massgebliche Standard für den europäischen Raum wird die Umsetzung der Netz- und Informationssicherheits-Richtlinie, kurz NIS-Richtlinie, sein, die im August 2016 in Kraft getreten sind. NIS soll ein hohes Sicherheitsniveau von Netz- und Informationssystemen in der europäischen Union gewährleisten. Die Mitgliedsstaaten müssen nationale Kontaktpunkte schaffen, Computersicherheitsreaktionsteams (Certs) einrichten und Unternehmen identifizieren, die zur kritischen digitalen Infrastruktur gehören. Solche Unternehmen müssen angemessene technische Schutzmassnahmen ergreifen und Sicherheitsvorfälle melden. Diese Anforderungen gelten auch für Anbieter relevanter digitaler Dienste. Während Staaten wie Deutschland oder Frankreich bereits vor der Einführung des NIS-Regularien Mindeststandards und Meldepflichten eingeführt hatten, müssen andere Länder wie etwa Grossbritannien oder Schweden einen Paradigmenwechsel vollziehen.

Die Schweiz reagiert noch zögerlich

Die Schweiz kennt für die kritischen Infrastrukturen keine umfassenden cyberspezifischen Schutzbestimmungen oder Meldepflichten. Auflagen und Pflichten sind, wenn überhaupt, sektoriell und spezifisch geregelt. So existieren etwa beim Flug- und Schienenverkehr interne Auflagen in Bezug auf technische und organisatorische Massnahmen, da Schutz und Sicherheit oberste Priorität haben.

Unter dem Eindruck der Cyberbedrohung hat auch die Finanzmarktaufsicht in ihren verpflichtenden Rundschreiben die Auflagen für mehr Cybersicherheit verschärft, aber keine Meldepflicht eingeführt. Einzig bei spezifischen Versorgungsunterbrüchen, zum Beispiel im Fernmeldewesen, sind Meldepflichten bekannt. Sie fokussieren aber nicht auf die Erfassung der Cyberbedrohung. All dies erschwert es, über ein fragmentiertes Lagebild hinauszukommen. Dass in der Botschaft zur Teilrevision des Fernmeldegesetzes[5] Schutzbestimmungen und neu auch Meldepflichten auf Gesetzesebene vorgesehen sind, zeigt: Die Diskussion über Standards und Meldepflichten für die Betreiber von kritischen Infrastrukturen (und allenfalls von digitalen Diensten) nach Vorbild der NIS ist lanciert und muss künftig intensiv weitergeführt werden.

Bei der Frage, wie und wer die Cybersicherheit fördern oder gar regulieren sollte, dürfen auch die Unternehmen nicht ausgeklammert werden. Mehr Cybersicherheit als Grundlage für Vertrauen und nachhaltigen digitalen Wandel in der Datenbearbeitung wird für den Technologie- und Wirtschaftsstandort Schweiz ein Schlüsselthema bleiben. Vor diesem Hintergrund hat die vom Bundesrat eingesetzte Expertengruppe zur Zukunft der Datenbearbeitung und Datensicherheit das Thema aufgenommen und wird in ihrem Schlussbericht, der für Mitte 2018 erwartet wird, entsprechende Vorschläge erarbeiten.

  1. Der vorliegende Artikel wurde in Zusammenarbeit mit Umberto Annino, Präsident des ISSS, verfasst. []
  2. Gering, Marco et al. (2017). Digitalisierung in Schweizer Klein- und Mittelunternehmen: KMU-Spiegel 2017. St. Gallen. []
  3. Die Ergebnisse stützen sich auf 110 Rückmeldungen von Unternehmen aus einer Umfrage im Juli 2017. Die ISSS wird eine ausführlichere Auswertung der Studie bis Ende Jahr vorlegen. []
  4. Siehe Artikel von Max Klaus in diesem Dossier. []
  5. Der Bundesrat verabschiedete am 6. September die Botschaft zur Teilrevision des Fernmeldegesetzes (FMG). []

Leiter Sekretariat der Expertengruppe Datenbearbeitung und Datensicherheit, Eidgenössisches Finanzdepartement (EFD), Bern

Leiter Sekretariat der Expertengruppe Datenbearbeitung und Datensicherheit, Eidgenössisches Finanzdepartement (EFD), Bern