![\"\"](\"\/dynBase\/images\/article_rect\/1132062093_12D_Aebele_01.eps.jpg\")
<\/p>\nIn den Neunzigerjahren tauchte in vielen modernen Staaten unter dem Schlagwort Critical Information Infrastructure Protection (CIIP) ein neues sicherheitspolitisches Thema auf. Der Schutz kritischer Informationsinfrastrukturen ist deshalb so bedeutsam, weil nicht nur das Funktionieren von Wirtschaft und Staat, sondern die Wohlfahrt aller B\u00fcrger immer st\u00e4rker von der permanenten Verf\u00fcgbarkeit dieser digitalen Nervensysteme abh\u00e4ngt. Durch die Privatisie-rung vieler lebenswichtiger Betriebe der \u00f6ffentlichen Hand seit den Achtzigerjahren stellt sich die zentrale Frage, in welchen Situationen und Bereichen der Staat und in welchen der Privatsektor f\u00fcr Massnahmen und Vorkehrungen im Rahmen der nationalen Sicherheit verantwortlich ist.
<\/p>\n
\nInfolge der z\u00fcgig voranschreitenden Informationsrevolution und der zunehmenden Vernetzung moderner Gesellschaften nimmt die Abh\u00e4ngigkeit von so genannten \u00abkritischen Infrastrukturen\u00bb im Allgemeinen und \u00abkritischen Informationsinfrastrukturen\u00bb im Speziellen zu. Die Informationsinfrastrukturen und -fl\u00fcsse, die in diesen Netzwerken transportiert werden, sowie die dadurch erm\u00f6glichten Dienstleistungen und Prozesse bilden h\u00e4ufig die Grundlage f\u00fcr das Funktionieren aller anderen Infrastrukturen und verdienen deshalb besondere Beachtung (siehe Kasten 1 und 2). \u00a0Moderne Staaten haben bei einer gr\u00f6sseren St\u00f6rung der Informationsinfrastruktur viel zu verlieren. Mehr als 70% der Erwerbst\u00e4tigen in der Schweiz arbeiten im Dienstleistungssektor. Gem\u00e4ss Sch\u00e4tzungen w\u00fcrden bei einem Totalausfall der IT-Systeme 25% der Unternehmen Bankrott gehen, falls der Schaden nicht innerhalb kurzer Zeit behoben werden k\u00f6nnte. Bei einer Bank zum Beispiel w\u00e4re dies schon nach zwei Tagen der Fall, bei einem Handelsunternehmen nach h\u00f6chstens drei Tagen. Diese Abh\u00e4ngigkeiten und die damit verbundenen Risiken und Gefahren f\u00fcr Gesellschaft, Wirtschaft und Staat werden von den Entscheidungstr\u00e4gern und verantwortlichen Personen zunehmend erkannt.
<\/p>\n
\nDurch die Liberalisierung und Privatisierung vieler lebenswichtiger Bereiche der \u00f6ffentlichen Hand – wie Wasser, Strom, Transport oder Telefon – befindet sich auch in der Schweiz ein Grossteil der kritischen (Informations-)Infrastrukturen in privaten H\u00e4nden. Somit stellt sich die zentrale Frage, in welchen Situationen und Bereichen der Staat f\u00fcr Massnahmen und Vorkehrungen im Rahmen der nationalen Sicherheit verantwortlich ist und wo der Privatsektor diese Aufgabe \u00fcbernehmen muss. \u00a0Die Interessen der Privatwirtschaft und des Staates bei CIIP sind im Prinzip dieselben: Im Mittelpunkt stehen das reibungslose Funktionieren und die permanente Verf\u00fcgbarkeit der Informationsinfrastrukturen. Die negativen Auswirkungen einer l\u00e4ngeren Unterbrechung sind f\u00fcr beide Akteure gravierend. Unter dem steigenden Druck von Kostenminimierung und Gewinnmaximierung sind Firmen aber oft nicht bereit, \u00fcber den informationstechnischen Schutz hinaus ausreichend Ressourcen f\u00fcr Sicherheit und Krisenmanagement zur Verf\u00fcgung zu stellen.
<\/p>\n
\nEs gen\u00fcgt nicht, CIIP als reines IT-Sicherheitsproblem zu behandeln, dem man alleine mit technischen Mitteln – wie etwa Anti-Virus-Software, Firewalls, Datenverschl\u00fcsselung und der Einhaltung von Standards – begegnen kann. Der Einbezug organisatorischer und personeller Faktoren sowie die F\u00f6rderung von Public-Private Partnerships sind genauso bedeutend f\u00fcr die permanente Verf\u00fcgbarkeit wichtiger Gesch\u00e4ftsprozesse. \u00a0Weiter ist die strafrechtliche Dimension zu erw\u00e4hnen: Ohne die Hilfe von effektiven Strafverfolgungskonzepten, der Anpassung der nationalen Gesetzgebung und internationale Zusammenarbeit k\u00f6nnen die Gesellschaft und ihre kritischen Infrastrukturen nicht vor Internet- und Computerkriminalit\u00e4t gesch\u00fctzt werden. \u00a0Schliesslich kommt der sicherheitspolitische Aspekt hinzu, also Szenarien, welche die allt\u00e4glichen, routinem\u00e4ssigen Probleme privater Infrastrukturbetreiber \u00fcbersteigen und eine landesweite Dimension annehmen – man denke etwa an die Stromausf\u00e4lle in den USA. Um solche ausserordentlichen F\u00e4lle zu verhindern, sind Aktivit\u00e4ten auf technischer, organisatorischer, gesetzgeberischer und internationaler Ebene notwendig.
<\/p>\n
\nDiese verschiedenen Dimensionen von CIIP k\u00f6nnen zu Verst\u00e4ndigungsproblemen und Interessenskonflikten zwischen den Akteuren bei der Suche nach effizienten Instrumenten und gemeinsamen L\u00f6sungen f\u00fchren. Von zentraler Bedeutung ist dabei der kooperative Informationsaustausch zwischen privaten und staatlichen Akteuren sowie innerhalb der verschiedenen Sektoren.\u00a0Nicht immer zeigt die Privatwirtschaft aber Interesse an einer solchen Kooperation, auch wenn sie auf strategischer Ebene – z.B. im Bereich Terrorismusgefahr – unter Umst\u00e4nden Informationsl\u00fccken hat, die der Staat f\u00fcllen k\u00f6nnte. Daf\u00fcr gibt es im Wesentlichen drei Gr\u00fcnde:\u00a0– Erstens wird bef\u00fcrchtet, dass sensible, mit dem Staat ausgetauschte Informationen \u00fcber vorgefallene Sicherheitsprobleme nicht mit der n\u00f6tigen Sorgfalt behandelt werden und dem eigenen Ruf schaden k\u00f6nnten. \u00a0– Zweitens wickeln viele in der Schweiz ans\u00e4ssige Firmen den Grossteil ihrer Gesch\u00e4fte im Ausland ab.\u00a0– Drittens betrachtet die Privatwirtschaft CIIP aus einer betriebswirtschaftlichen Perspektive und interessiert sich weniger f\u00fcr die sicherheitspolitischen Aspekte als vielmehr f\u00fcr diejenigen der \u00abBusiness Continuity\u00bb. \u00a0 \u00a0Der Staat ist also vor die Herausforderung gestellt, die Privatwirtschaft davon zu \u00fcberzeugen, dass CIIP auch \u00fcber eine sicherheitspolitische Dimension verf\u00fcgt, welche die Unternehmen zu ihrem eigenen Nutzen in ihren Risikoanalysen und Notfallpl\u00e4nen ber\u00fccksichtigen sollten.
<\/p>\n
\nIn der Schweiz besch\u00e4ftigen sich auf Bundesebene eine Vielzahl von Verwaltungsstellen mit dem Schutz kritischer Informationsinfrastrukturen.2 Kernst\u00fcck der schweizerischen Informationssicherung bildet seit wenigen Jahren das sogenannte Vier-S\u00e4ulen-Modell, das den verschiedenen Aspekten und Herausforderungen von CIIP Rechnung tr\u00e4gt. Es besteht aus den folgenden S\u00e4ulen und Akteuren:
<\/p>\n
\nDurch geeignete Massnahmen im technischen, organisatorischen, aber auch menschlichen Bereich (Ausbildung, Information) wird daf\u00fcr gesorgt, dass sich m\u00f6glichst wenige Vorf\u00e4lle ereignen. Pr\u00e4vention erfolgt u.a. im Rahmen der sektorspezifischen Risikoanalysen, welche von den jeweiligen Betreibern der kritischen Infrastrukturen innerhalb der wirtschaftlichen Landesversorgung durchgef\u00fchrt werden. Eine wichtige Rolle auf Bundesebene nimmt dabei die sei letztem Jahr operative Melde- und Analysestelle Informationssicherung (Melani) ein. Sie hat die Aufgabe, die Bev\u00f6lkerung und kleine und mittlere Unternehmen sowie die Betreiber der kritischen Infrastrukturen vor dem Einsatz riskanter und unreifer Technologien zu warnen und auf Sicherheitsl\u00fccken aufmerksam zu machen. Melani steht unter der Leitung des Informatikstrategieorgan Bund (ISB) und wird unterst\u00fctzt vom Dienst f\u00fcr Analyse und Pr\u00e4vention des Bundesamtes f\u00fcr Polizei (Fedpol) und dem Computer Emergency Response Team (Cert) der Stiftung Switch. W\u00e4hrend sich das ISB vor allem auf die Pr\u00e4vention konzentriert und Fedpol das nachrichtendienstliche Lagezentrum betreibt, kommt Switch-Cert die Bedeutung des technischen Support- und Kompetenzzentrums zu.
<\/p>\n
\nDurch Melani sollen Gefahren und Bedrohungslagen m\u00f6glichst fr\u00fch erkannt werden, sodass Abwehrdispositive bereitgestellt be-ziehungsweise gewisse mit Risiken behaftete Technologien gemieden werden k\u00f6nnen.
<\/p>\n
\nDer Sonderstab Information Assurance (Sonia) sorgt – zusammen mit dem Bereich Infrastruktur der Informations- und Kommunikationstechnologie (ICT-I) des Bundesamtes f\u00fcr Wirtschaftliche Landesversorgung (BWL) – als Instrument des strategischen Krisenmanagements daf\u00fcr, dass die Auswirkungen von St\u00f6rungen auf Staat, Wirtschaft und Gesellschaft auf ein Minimum beschr\u00e4nkt werden k\u00f6nnen.
<\/p>\n
\nDie technischen Ursachen f\u00fcr die St\u00f6rungen m\u00fcssen eruiert, analysiert und behoben werden. Daf\u00fcr sind in erster Linie Melani und Partner aus Bund und Privatwirtschaft verantwortlich.
<\/p>\n
\nDie Schweiz verf\u00fcgt weder \u00fcber eine umfassende nationale Strategie zum Schutz der kritischen Informationsinfrastrukturen noch \u00fcber eine zentrale Stelle, die sich ausschliesslich mit CIIP befasst. Bestehende Kompetenzen und fundiertes Sachwissen werden traditionell da genutzt, wo sie bereits vorhanden sind, n\u00e4mlich in den daf\u00fcr spezialisierten Departementen und Stellen. Da CIIP ein derart breites Feld ist, werden die unterschiedlichen Teilaspekte sinnvollerweise von verschiedenen Organisationen abgedeckt. Allerdings kann dies mitunter zu Unklarheiten f\u00fchren. \u00a0Von einigen Ausnahmen abgesehen bilden diejenigen Informationsinfrastrukturen, die der Staat aus der Perspektive nationaler Sicherheit sch\u00fctzen will, auch die Basis f\u00fcr die Wettbewerbsf\u00e4higkeit und Prosperit\u00e4t der Schweiz. Insofern ist nachvollziehbar, dass das ISB als einer der wichtigsten strategischen Akteure in der schweizerischen CIIP-Politik dem Eidgen\u00f6ssischen Finanzdepartement (EFD) unterstellt ist.\u00a0Dabei ist klar, dass bei kleinen, \u00aballt\u00e4glichen\u00bb Gefahren f\u00fcr die Informationsinfrastrukturen – wie Viren, Hackerangriffe oder kurze Systemunterbr\u00fcche – in erster Linie die (privaten) Infrastrukturbetreiber selbst um einen ad\u00e4quaten Schutz bem\u00fcht sein m\u00fcssen. Wie auch in anderen Staaten liegt der Fokus in der Schweiz auf der Eigenverantwortung der einzelnen Unternehmen. Der Staat reguliert nur im Notfall und muss die richtige Balance zwischen Sicherheitsstandards und Wirtschaftlichkeit finden. Handelt es sich hingegen um Gefahren in der Gr\u00f6ssenordnung von terroristischen Angriffen oder Naturkatastrophen, wird ein Agieren seitens des Staates erwartet, da es sich um ein sicherheitspolitisches Problem handelt.
<\/p>\n
In den Neunzigerjahren tauchte in vielen modernen Staaten unter dem Schlagwort Critical Information Infrastructure Protection (CIIP) ein neues sicherheitspolitisches Thema auf. Der Schutz kritischer Informationsinfrastrukturen ist deshalb so bedeutsam, weil nicht nur das Funktionieren von Wirtschaft und Staat, sondern die Wohlfahrt aller B\u00fcrger immer st\u00e4rker von der permanenten Verf\u00fcgbarkeit dieser digitalen Nervensysteme abh\u00e4ngt. Durch die […]<\/p>","protected":false},"author":2706,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"ep_exclude_from_search":false,"footnotes":""},"post__type":[66],"post_opinion":[],"post_serie":[],"post_content_category":[154],"post_content_subject":[],"acf":{"seco_author":2706,"seco_co_author":null,"author_override":"","seco_author_post_ocupation_year":"","seco_author_post_occupation_de":"Risikoanalyseteam,Forschungsstelle f\u00fcr Sicherheitspolitik der ETH Z\u00fcrich","seco_author_post_occupation_fr":"\u00c9quipe d`analyse du risque, Centre de recherches sur la politique de s\u00e9curit\u00e9, EPF Zurich","seco_co_authors_post_ocupation":null,"short_title":"","post_lead":"","post_hero_image_description":"","post_hero_image_description_copyright_de":"","post_hero_image_description_copyright_fr":"","post_references_literature":"","post_kasten":null,"post_notes_for_print":"","first_teaser_header_de":"","first_teaser_header_fr":"","first_teaser_text_de":"","first_teaser_text_fr":"","second_teaser_header_de":"","second_teaser_header_fr":"","second_teaser_text_de":"","second_teaser_text_fr":"","kseason_de":"","kseason_fr":"","post_in_pdf":125247,"main_focus":null,"serie_email":null,"frontpage_slider_bild":"","artikel_bild-slider":null,"legacy_id":"9031","post_abstract":"","magazine_issue":null,"seco_author_reccomended_post":null,"redaktoren":null,"korrektor":null,"planned_publication_date":null,"original_files":null,"external_release_for_author":"19700101","external_release_for_author_time":"00:00:00","link_for_external_authors":"https:\/\/dievolkswirtschaft.ch\/exedit\/55dd875852322"},"_links":{"self":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts\/125244"}],"collection":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/comments?post=125244"}],"version-history":[{"count":1,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts\/125244\/revisions"}],"predecessor-version":[{"id":128487,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts\/125244\/revisions\/128487"}],"acf:user":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/2706"}],"wp:attachment":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/media?parent=125244"}],"wp:term":[{"taxonomy":"post__type","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post__type?post=125244"},{"taxonomy":"post_opinion","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_opinion?post=125244"},{"taxonomy":"post_serie","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_serie?post=125244"},{"taxonomy":"post_content_category","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_content_category?post=125244"},{"taxonomy":"post_content_subject","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_content_subject?post=125244"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nInformationssicherung stellt einen Prozess dar, in welchem der st\u00e4ndige Austausch von Erfahrungen eine zentrale Rolle spielt. Der systematische Ausbau eines \u00fcbergreifenden Informations-, Krisenmanagement- und Schutzsystems f\u00fcr die Informationsinfrastrukturen, wie es beim Vier-S\u00e4ulen-Modell vorgesehen ist, kann aber nur in enger Partnerschaft von Staat und Privatwirtschaft realisiert werden. Das schweizerische Milizsystem, in dem die Kommunikation zwischen Politik und Wirtschaft seit langem gepflegt wird, ist hier gewiss von Vorteil.
\n
\nKasten 1: Was sind CIP und CIIP\u00a0?<\/a> Der Schutz kritischer Infrastrukturen (Critical Infrastructure Protection, CIP) ist kein neues Konzept und besch\u00e4ftigt Staaten schon seit l\u00e4ngerem. Als Teil nationaler Verteidigungspl\u00e4ne zum Schutz kritischer Objekte schon lange bekannt, hat sich der Fokus durch die zunehmende Abh\u00e4ngigkeit von Informations- und Kommunikationstechnologien insbesondere auf den Schutz kritischer Informationsinfrastrukturen (Critical Information Infrastructure Protection, CIIP) verschoben. Dabei geht es sowohl um den Schutz physischer Komponenten der Informationsinfrastruktur – wie zum Beispiel Computer oder Glasfaserkabel – als auch um den Schutz abstrakter Dinge wie vernetzte Systeme, Informationsfl\u00fcsse oder das Internet. Das Ziel von CIIP ist es, dass Netz- und Systemunterbrechungen selten, von kurzer Dauer, beherrschbar, lokal begrenzt und von geringem Schadensausmass sind. Kurzum: Es geht um die Sicherstellung der Robustheit kritischer Dienstleistungen.
\n
\nKasten 2: Kritische (Informations-)Infrastrukturen der Schweiz<\/a> In der Schweiz gelten folgende Infrastrukturen als besonders kritisch: Regierung und \u00f6ffentliche Verwaltung, Notfall- und Rettungswesen, (Tele-)Kommunikation, Energieversorgung, Finanz- und Versicherungs-wesen, Industrie und Gewerbe, Medien, Transport und Logistik, Gesundheitswesen und Wasserversorgung. Zu den kritischen Informationsinfrastrukturen werden gem\u00e4ss Experten beim Bund spezifisch gez\u00e4hlt: Telefon, Fax, Internet \u00fcber Festnetz, Mobilnetz, Satelliten (GPS etc.), Kommunikationsnetze der SBB und der Elektrizit\u00e4tswirtschaft, elektronische Medien, Kurzwellenfunk Bern-Radio, Funknetze der Beh\u00f6rden und Organisation f\u00fcr Rettungs- und Sicherheitswesen (Bors).
\n
\nKasten 3: Risiken und Gefahren<\/a> Zu den zahlreichen Risiken und Gefahren, welchen kritische Informationsinfrastrukturen ausgesetzt sind, geh\u00f6rt die h\u00f6here Gewalt. Dazu z\u00e4hlen Naturkatastrophen, zivilisatorische Katastrophen (z.B. Staudammbruch, AKW-GAU) und Personalausfall durch Streik oder Epidemie. Weitere Risiken sind organisatorische M\u00e4ngel technischer oder personeller Natur, menschliches Fehlverhalten (aktiv oder passiv), technische St\u00f6rungen, Abh\u00e4ngigkeiten und Versorgungsengp\u00e4sse, (Cyber-)Terrorismus oder so genannte Information Operationsa. Aber auch vor Gefahren durch die eigenen Mitarbeitenden f\u00fcr die In-formationsinfrastrukturen und dem so genannten Social Engineeringb m\u00fcssen sich der Staat und die Unternehmen – unabh\u00e4ngig von ihrer Gr\u00f6sse – sch\u00fctzen.
\n
\nKasten 4: Literaturverzeichnis<\/a> – Dunn, Myriam und Isabelle Wigert, The International Critical Information Infrastructure Protection (CIIP) Handbook. Z\u00fcrich, Forschungsstelle f\u00fcr Sicherheitspolitik, 2004. – Henriksen, Stein, The Shift of Responsibilities within Government and Society. Und: Andersson, Jan Joel und Andreas Malm, Minding the Gap: Reconciling Responsibilities and Costs in the Provision of Societal Security. In: CRN-Workshop Report. Societal Security and Crisis Management in the 21st Century. Stockholm 2004.- Informatikstrategieorgan Bund ISB, Verletzliche Informationsgesellschaft. He-rausforderung Informationssicherheit. Bern, Oktober 2002.- Joint Economic Committee, United States Congress, Security in the Information Age. New Challenges, New Strategies. Washington, Mai 2002, S. 12. Internet: www.fas.org\/irp\/congress\/2002_rpt\/jec-sec<\/a> .pdf.- Metzger, Jan, The Concept of Critical Infrastructure Protection (CIP). In: A.J.K. Bailes \/ I. Frommelt (Hrsg.), Business and Security: Public-Private Sector Relationships in a New Security Environment. Oxford 2004.- The President’s Commission on Critical Infrastructure Protection (PCCIP), Critical Foundations: Protecting America’s Infrastructures. Washington, Oktober 1997.- The White House, The National Strategy to Secure Cyberspace .Washington, Februar 2003. – Wigert, Isabelle, Der Schutz kritischer Informationsinfrastrukturen in der Schweiz: Eine Analyse von Akteuren und Herausforderungen. In: Wenger, Andreas (Hg.). Bulletin 2005 zur schweizerischen Sicherheitspolitik. Z\u00fcrich, Forschungsstelle f\u00fcr Sicherheitspolitik, 2005.<\/p>","protected":false},"excerpt":{"rendered":"