{"id":108278,"date":"2017-10-24T08:36:05","date_gmt":"2017-10-24T08:36:05","guid":{"rendered":"https:\/\/dievolkswirtschaft.ch\/2017\/10\/malz-11-2017fr\/"},"modified":"2023-08-23T23:04:22","modified_gmt":"2023-08-23T21:04:22","slug":"malz-11-2017","status":"publish","type":"post","link":"https:\/\/dievolkswirtschaft.ch\/de\/2017\/10\/malz-11-2017\/","title":{"rendered":"Wege zu mehr Sicherheit"},"content":{"rendered":"

In einem Punkt sind sich die mittlerweile unz\u00e4hligen Berichte und Studien \u00fcber die Sicherheit der digitalen Infrastrukturen einig: Der Cyberraum wird zunehmend unsicherer.[1]<\/a> Was variiert, sind die angegebenen Zuwachsraten und die Gewichtung der verschiedenen Cyber-Angriffsmuster und der dazugeh\u00f6rigen kriminellen Gesch\u00e4ftsmodelle. Letztlich ist das ein klarer Hinweis daf\u00fcr, dass eine umfassende Quantifizierung der Vorf\u00e4lle und des Lagebildes zwar dringend n\u00f6tig, aber zurzeit offenbar nicht m\u00f6glich ist. Die Erkenntnis setzt sich durch, dass wir momentan zu wenig \u00fcber das wissen, was wir nicht wissen \u2013 und das stellt zurzeit das denkbar gr\u00f6sste Risiko dar.
\n
\nWas hingegen bekannt ist: Die Anzahl identifizierter neuer Malware und Botnetze steigt st\u00fcndlich, ebenso die Anzahl unbekannter Schwachstellen, die im Netz herumgereicht werden. Nicht weniger besorgniserregend ist die Tatsache, dass die Angreifer auch mit bereits bekannten Schwachstellen immer wieder Erfolg haben. Rein statistisch ist davon auszugehen, dass die grosse Mehrheit von Unternehmen und Organisationen bereits einmal digital angegriffen worden ist.
\n
\nDoch wie steht es um das Risikoverst\u00e4ndnis und die Gegenmassnahmen der Unternehmen? Wie kann der Schutz der Gesellschaft, der Wirtschaft und der Betreiber kritischer Infrastrukturen wie etwa in den Bereichen Energie und Verkehr verbessert werden? Und welche Rolle hat dabei der Staat? Sicherheitsstandards, Mindestvorgaben sowie Meldepflichten sind bei der Beantwortung dieser Fragen entscheidend. <\/p>\n

Cybervorf\u00e4lle nehmen zu<\/h2>\n


\nSoweit das Zahlenmaterial \u00fcberhaupt verl\u00e4sslich ist, sprechen die Zahlen eine klare Sprache: Kriminalit\u00e4t und Spionage sind mittlerweile die dominierende Motivation hinter weit \u00fcber drei Viertel aller Cybervorf\u00e4lle, wobei die Grenze zwischen kriminellen und staatsnahen Akteuren zusehends verschwimmt. Der Rest verteilt sich auf politisch motivierten Cyberaktivismus und Cyberkrieg. Damit sind Angriffe mit kriminellem Hintergrund gegen\u00fcber 2015 sprunghaft angestiegen. Wie professionell und lukrativ kriminelle Cyberattacken sein k\u00f6nnen, zeigt der Angriff auf den von Swift abgewickelten Interbanken-Zahlungsverkehr. Der Schaden f\u00fcr die Zentralbank von Bangladesch betrug je nach Quelle wohl \u00fcber 80 Millionen Dollar.
\n
\nDie Angreifer arbeiten mittlerweile hochgradig arbeitsteilig. Dank \u00abCyber-Attack as a Service\u00bb finden selbst technisch unbedarfte Akteure ausgekl\u00fcgelte und massgeschneiderte Dienstleistungen im Darknet, um einen Cyberangriff auszuf\u00fchren. Die Angebotsvielfalt ist eindr\u00fccklich: F\u00fcr 20 Dollar pro Stunde kann man bereits schlagkr\u00e4ftige Infrastrukturen mieten. Waren fr\u00fcher sogenannte Advanced Persistent Threats vorwiegend Regierungen vorbehalten, sind sie heute bereits auf dem Weg, zu einer Konsumware des Darknets zu werden. Die Eintrittsh\u00fcrde f\u00fcr Kriminelle ist dadurch deutlich gesunken. Der Verkauf von gestohlenen Daten, erpresserische Gesch\u00e4ftsmodelle durch sogenannte Ransomware und vor allem \u00abDistributed-Denial-of-Service-Angriffe\u00bb, kurz DDos, versprechen hohe Gewinne. Bei den DDos handelt es sich um Server\u00fcberlastungsangriffe, die durch Massenanfragen einen Dienst lahmlegen k\u00f6nnen.
\n
\nDie Professionalit\u00e4t der spezifischen Angriffe d\u00fcrfte durch die unkontrollierte Weiterverbreitung von noch nicht bekannten Schwachstellen, sogenannten Zero-Day-Exploits, und durch hoch entwickelte Angriffswerkzeuge weiter zunehmen. Fr\u00fcher sorgsam von Nachrichtendiensten und Milit\u00e4r geh\u00fctet, haben diese heiklen Cyberangriffswaffen in den letzten zwei Jahren durch Datenlecks bei den Nachrichtendiensten den Weg an die \u00d6ffentlichkeit gefunden. Der Ruf wird lauter, dass die entsprechenden Staatsstellen allf\u00e4llige Angriffsfl\u00e4chen den Produzenten sofort melden und nicht f\u00fcr eigene Spionagezwecke benutzen. <\/p>\n

Die Verwundbarkeit nimmt weiter zu<\/h2>\n


\nEin weiterer Grund f\u00fcr die steigende Cyberkriminalit\u00e4t ist der digitale Wandel aufseiten der Angegriffenen. Im gleichen Ausmass, wie die Unternehmen digitale \u00d6kosysteme im Vertrieb und im Betrieb auf- und ausbauen, nehmen der Grad und die Komplexit\u00e4t der digitalen Vernetzung zu. Gem\u00e4ss einer Studie zur Digitalisierung in Schweizer KMU[2]<\/a> betreiben bereits knapp drei Viertel der befragten Betriebe Digitalisierungsprojekte. Die gleiche Studie zeigt auch, wo die Risiken der Zukunft liegen: Die grosse Mehrheit der Unternehmen sieht das fehlende Know-how und den hohen Investitionsbedarf als zentrale Herausforderungen.
\n
\nDie digitale Angriffsfl\u00e4che und damit auch die Verwundbarkeit werden weiter zunehmen \u2013 umso mehr, als die Industrialisierung der L\u00f6sungen in der Informations- und Kommunikationstechnologie (IKT) grosse Fortschritte macht: Hardware, Software und Rechenleistung werden gerade in der boomenden Industrie 4.0 g\u00fcnstiger, vernetzbar und vermeintlich einfacher in der Anwendung und der Wartung.
\n
\nDie Standardisierung und Industrialisierung der IKT-Sicherheit konnte damit nicht Schritt halten. Auch die g\u00e4ngigen Erfolgsrezepte im Sicherheitsbereich helfen bei gezielteren Angriffen wenig. Kurz: Wir sind mit 200 Stundenkilometern auf der digitalen Autobahn unterwegs und haben lediglich die Sicherheitsausstattung eines Ford T-Modells. Die Entwicklung einer sogenannten Security-by-Design \u2013 eine Hard- und Software mit m\u00f6glichst wenig Verwundbarkeiten \u2013 wurde bisher vernachl\u00e4ssigt. Das hat nun deutliche Konsequenzen. <\/p>\n

Angriffe werden erst sp\u00e4t erkannt<\/h2>\n


\nW\u00e4hrend der Ruf nach einem Risikomanagement der digitalen Infrastrukturen immer lauter wird, ist gerade die konkrete Bedrohungslage als Grundlage f\u00fcr eine klassische Risikobewertung alles andere als klar qualifizierbar, geschweige denn quantifizierbar. Dass Angriffe auf digitale Infrastrukturen und Daten sehr schnell offenkundig werden, liegt auf der Hand. Weitaus schwieriger ist es dagegen, das Risikoausmass des ungewollten Datenabflusses zu bewerten. Kundendaten, wichtige Gesch\u00e4ftsdaten, geistiges Eigentum und Benutzeranmeldeinformationen k\u00f6nnen davon betroffen sein. Die Zeitdauer zwischen Infektion und Detektion bei einem erfolgreichen Angriff wird immer l\u00e4nger \u2013 aktuell sind es rund 300 Tage. Brisant ist zudem, dass die meisten Angegriffenen erst von externen Partnern gewarnt werden mussten. Eine k\u00fcrzlich durchgef\u00fchrte Studie[3]<\/a> der Information Security Society Schweiz (ISSS) bei Schweizer KMU, gr\u00f6sseren Unternehmen und Konzernen zeigt, dass eine Mehrheit den ungewollten Datenabfluss k\u00fcnftig als vorherrschendes Risiko einsch\u00e4tzt und die Resilienz im Bereich der Detektions- und Kontrollm\u00f6glichkeiten als immer dringlicher sieht.
\n
\nGem\u00e4ss dieser und anderen Studien haben in den letzten zwei Jahren die Sensibilisierung sowie das Verst\u00e4ndnis f\u00fcr die Cybergefahren und den Handlungsbedarf in Unternehmen deutlich zugenommen. Allerdings sind es immer noch die gr\u00f6sseren, international t\u00e4tigen Firmen, welche die Gefahr h\u00f6her und ihre Sicherheit kritischer bewerten als kleinere, national t\u00e4tige Unternehmen. Trotz aller Sensibilisierung wendet 2017 nur ein F\u00fcnftel aller Unternehmen im Vergleich zum Vorjahr einen h\u00f6heren Anteil der IT-Mittel f\u00fcr die Sicherheit auf, wie die ISSS-Studie zeigt. Gleichzeitig ist nur eine verschwindend kleine Minderheit bereit, bei schrumpfenden IT-Budgets mehr f\u00fcr IT-Sicherheit aufzuwenden. Das weist darauf hin, dass die Gesch\u00e4ftsseite in der Regel nicht bereit ist, bei fehlenden IT-Mitteln auf noch mehr Dienstleistungen zugunsten der Sicherheit zu verzichten. <\/p>\n

Das Ausland bewegt sich<\/h2>\n


\nDie Wichtigkeit digitaler Infrastrukturen hat eine Diskussion vom Zaun gebrochen, was der Staat leisten, regulieren oder anstossen soll \u2013 nicht nur bei den kritischen Infrastrukturen.[4]<\/a> Wie sieht es diesbez\u00fcglich im Ausland aus? Gibt es verpflichtende Minimalstandards f\u00fcr die Betreiber kritischer Infrastrukturen? Werden nur vereinzelte Sektoren und dort nur ausgew\u00e4hlte Betreiber adressiert? Geh\u00f6ren auch die Betreiber von digitalen Infrastrukturen wie plattformgest\u00fctzten Vertriebsm\u00f6glichkeiten, Cloud-Diensten oder Suchmaschinen dazu?
\n
\nNicht \u00fcberraschend haben autorit\u00e4r gef\u00fchrte L\u00e4nder wie China oder Singapur in den letzten drei Jahren strikte Regulierungen durchgesetzt. So gelten dort f\u00fcr kritische Infrastrukturen und alle als relevant erkannten digitalen Infrastrukturen entsprechende Informationssicherheitsstandards und Meldepflichten. In den Vereinigten Staaten wurde mit dem sogenannten Cyber Security Framework des National Institute of Standards and Technology (Nist) ein relativ detaillierter Quasi-Standard f\u00fcr die kritischen Infrastrukturen eingef\u00fchrt. Obwohl nicht explizit verpflichtend, \u00fcben die Sicherheitsvorschl\u00e4ge zusammen mit verschiedenen National Acts und State Laws einigen Druck aus und erm\u00f6glichen der Verwaltung regulierende Eingriffe bei privaten Betreibern.
\n
\nDer massgebliche Standard f\u00fcr den europ\u00e4ischen Raum wird die Umsetzung der Netz- und Informationssicherheits-Richtlinie, kurz NIS-Richtlinie, sein, die im August 2016 in Kraft getreten sind. NIS soll ein hohes Sicherheitsniveau von Netz- und Informationssystemen in der europ\u00e4ischen Union gew\u00e4hrleisten. Die Mitgliedsstaaten m\u00fcssen nationale Kontaktpunkte schaffen, Computersicherheitsreaktionsteams (Certs) einrichten und Unternehmen identifizieren, die zur kritischen digitalen Infrastruktur geh\u00f6ren. Solche Unternehmen m\u00fcssen angemessene technische Schutzmassnahmen ergreifen und Sicherheitsvorf\u00e4lle melden. Diese Anforderungen gelten auch f\u00fcr Anbieter relevanter digitaler Dienste. W\u00e4hrend Staaten wie Deutschland oder Frankreich bereits vor der Einf\u00fchrung des NIS-Regularien Mindeststandards und Meldepflichten eingef\u00fchrt hatten, m\u00fcssen andere L\u00e4nder wie etwa Grossbritannien oder Schweden einen Paradigmenwechsel vollziehen. <\/p>\n

Die Schweiz reagiert noch z\u00f6gerlich<\/h2>\n


\nDie Schweiz kennt f\u00fcr die kritischen Infrastrukturen keine umfassenden cyberspezifischen Schutzbestimmungen oder Meldepflichten. Auflagen und Pflichten sind, wenn \u00fcberhaupt, sektoriell und spezifisch geregelt. So existieren etwa beim Flug- und Schienenverkehr interne Auflagen in Bezug auf technische und organisatorische Massnahmen, da Schutz und Sicherheit oberste Priorit\u00e4t haben.
\n
\nUnter dem Eindruck der Cyberbedrohung hat auch die Finanzmarktaufsicht in ihren verpflichtenden Rundschreiben die Auflagen f\u00fcr mehr Cybersicherheit versch\u00e4rft, aber keine Meldepflicht eingef\u00fchrt. Einzig bei spezifischen Versorgungsunterbr\u00fcchen, zum Beispiel im Fernmeldewesen, sind Meldepflichten bekannt. Sie fokussieren aber nicht auf die Erfassung der Cyberbedrohung. All dies erschwert es, \u00fcber ein fragmentiertes Lagebild hinauszukommen. Dass in der Botschaft zur Teilrevision des Fernmeldegesetzes[5]<\/a> Schutzbestimmungen und neu auch Meldepflichten auf Gesetzesebene vorgesehen sind, zeigt: Die Diskussion \u00fcber Standards und Meldepflichten f\u00fcr die Betreiber von kritischen Infrastrukturen (und allenfalls von digitalen Diensten) nach Vorbild der NIS ist lanciert und muss k\u00fcnftig intensiv weitergef\u00fchrt werden.
\n
\nBei der Frage, wie und wer die Cybersicherheit f\u00f6rdern oder gar regulieren sollte, d\u00fcrfen auch die Unternehmen nicht ausgeklammert werden. Mehr Cybersicherheit als Grundlage f\u00fcr Vertrauen und nachhaltigen digitalen Wandel in der Datenbearbeitung wird f\u00fcr den Technologie- und Wirtschaftsstandort Schweiz ein Schl\u00fcsselthema bleiben. Vor diesem Hintergrund hat die vom Bundesrat eingesetzte Expertengruppe zur Zukunft der Datenbearbeitung und Datensicherheit das Thema aufgenommen und wird in ihrem Schlussbericht, der f\u00fcr Mitte 2018 erwartet wird, entsprechende Vorschl\u00e4ge erarbeiten.<\/p>\n

  1. Der vorliegende Artikel wurde in Zusammenarbeit mit Umberto Annino, Pr\u00e4sident des ISSS, verfasst. [<\/span>]<\/a><\/li>
  2. Gering, Marco et al. (2017). Digitalisierung in Schweizer Klein- und Mittelunternehmen: KMU-Spiegel 2017. St. Gallen. [<\/span>]<\/a><\/li>
  3. Die Ergebnisse st\u00fctzen sich auf 110 R\u00fcckmeldungen von Unternehmen aus einer Umfrage im Juli 2017. Die ISSS wird eine ausf\u00fchrlichere Auswertung der Studie bis Ende Jahr vorlegen. [<\/span>]<\/a><\/li>
  4. Siehe Artikel<\/a> von Max Klaus in diesem Dossier. [<\/span>]<\/a><\/li>
  5. Der Bundesrat verabschiedete am 6. September die Botschaft zur Teilrevision des Fernmeldegesetzes (FMG). [<\/span>]<\/a><\/li><\/ol>","protected":false},"excerpt":{"rendered":"

    In einem Punkt sind sich die mittlerweile unz\u00e4hligen Berichte und Studien \u00fcber die Sicherheit der digitalen Infrastrukturen einig: Der Cyberraum wird zunehmend unsicherer. Was variiert, sind die angegebenen Zuwachsraten und die Gewichtung der verschiedenen Cyber-Angriffsmuster und der dazugeh\u00f6rigen kriminellen Gesch\u00e4ftsmodelle. Letztlich ist das ein klarer Hinweis daf\u00fcr, dass eine umfassende Quantifizierung der Vorf\u00e4lle und des […]<\/p>","protected":false},"author":4609,"featured_media":24134,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"ep_exclude_from_search":false,"footnotes":""},"post__type":[69,66],"post_opinion":[],"post_serie":[],"post_content_category":[],"post_content_subject":[230],"acf":{"seco_author":4609,"seco_co_author":null,"author_override":"","seco_author_post_ocupation_year":"","seco_author_post_occupation_de":"Leiter Sekretariat der Expertengruppe Datenbearbeitung und Datensicherheit, Eidgen\u00f6ssisches Finanzdepartement (EFD), Bern","seco_author_post_occupation_fr":"Responsable du secr\u00e9tariat du groupe d\u2019experts \u00ab Avenir du traitement et de la s\u00e9curit\u00e9 des donn\u00e9es \u00bb, D\u00e9partement f\u00e9d\u00e9ral des finances (DFF), Berne","seco_co_authors_post_ocupation":null,"short_title":"Wege zu mehr Sicherheit im Cyberraum","post_lead":"Kriminelle agieren im Cyberraum immer professioneller und bedrohen einen nachhaltigen digitalen Wandel. Als Wirtschaftsstandort muss sich auch die Schweiz verst\u00e4rkt mit dem Thema Cyberkriminalit\u00e4t auseinandersetzen. Andere L\u00e4nder und die EU haben bereits Meldepflichten und Sicherheitsstandards durchgesetzt.","post_hero_image_description":"Geht bei der Cybersicherheit weiter als die Schweiz: Singapur hat f\u00fcr kritische Infrastrukturen wie etwa Banken Standards und Meldepflichten eingef\u00fchrt.","post_hero_image_description_copyright_de":"Keystone","post_hero_image_description_copyright_fr":"","post_references_literature":"","post_kasten":null,"post_notes_for_print":"","first_teaser_header_de":"","first_teaser_header_fr":"","first_teaser_text_de":"","first_teaser_text_fr":"","second_teaser_header_de":"","second_teaser_header_fr":"","second_teaser_text_de":"","second_teaser_text_fr":"","kseason_de":"","kseason_fr":"","post_in_pdf":108281,"main_focus":[156318,157033],"serie_email":null,"frontpage_slider_bild":108285,"artikel_bild-slider":null,"legacy_id":"73224","post_abstract":"Berichte und Studien zur Sicherheit der digitalen Infrastrukturen sind sich einig, dass der Cyberraum unsicherer wird. W\u00e4hrend die digitale Transformation in allen Bereichen zu einer zunehmend gr\u00f6sseren Angriffsfl\u00e4che f\u00fchrt, agieren Cyberkriminelle und Spione immer professioneller. Es wird zunehmend schwieriger, die Bedrohungslage einzusch\u00e4tzen und zu bestimmen, was ein angemessenes Sicherheitsniveau ist. Es ist davon auszugehen, dass eine Mehrheit der Unternehmen noch nicht genug in Cybersicherheit investiert. Dies zeigt auch eine Studie der Information Security Society Schweiz (ISSS). Braucht es Standards f\u00fcr kritische oder auch f\u00fcr digitale Infrastrukturen oder f\u00fcr alle? Andere L\u00e4nder wie auch die EU gehen diesbez\u00fcglich weiter als die Schweiz. Die Diskussion ist lanciert und muss dringend weitergef\u00fchrt werden.","magazine_issue":"11-2017","seco_author_reccomended_post":null,"redaktoren":[3988,0],"korrektor":4139,"planned_publication_date":"20171025","original_files":[{"file":108293}],"external_release_for_author":"20170929","external_release_for_author_time":"18:00:00","link_for_external_authors":"https:\/\/dievolkswirtschaft.ch\/exedit\/59c8a6fd89028"},"_links":{"self":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts\/108278"}],"collection":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/4609"}],"replies":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/comments?post=108278"}],"version-history":[{"count":1,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts\/108278\/revisions"}],"predecessor-version":[{"id":126324,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts\/108278\/revisions\/126324"}],"acf:user":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/4139"},{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/0"},{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/3988"},{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/4609"}],"acf:post":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/main_focus_post\/157033"},{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/main_focus_post\/156318"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/media\/24134"}],"wp:attachment":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/media?parent=108278"}],"wp:term":[{"taxonomy":"post__type","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post__type?post=108278"},{"taxonomy":"post_opinion","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_opinion?post=108278"},{"taxonomy":"post_serie","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_serie?post=108278"},{"taxonomy":"post_content_category","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_content_category?post=108278"},{"taxonomy":"post_content_subject","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_content_subject?post=108278"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}