Bund gibt Anleitung für Firmen, um sich gegen Cyberangriffe zu wappnen

Um kritische Infrastrukturen besser vor Cyberangriffen zu schützen, hat der Bund erstmals allgemeine Mindeststandards publiziert. Zwar sind diese nicht verbindlich, sie könnten aber dennoch grosse Wirkung entfalten.

Lukas Mäder, Bern
Drucken
Wenn Hacker in ein Computernetzwerk eindringen können, kann es für das Funktionieren von Infrastruktur brenzlig werden. (Bild: Bloomberg)

Wenn Hacker in ein Computernetzwerk eindringen können, kann es für das Funktionieren von Infrastruktur brenzlig werden. (Bild: Bloomberg)

Der Bund gibt neu eine Anleitung, wie Firmen ihren Schutz vor Cyberangriffen verbessern können. Eine am Montag publizierte Broschüre des Bundesamts für wirtschaftliche Landesversorgung (BWL) stellt dazu 106 Schritte vor. Gleichzeitig erlaubt der Katalog auch eine Beurteilung, wie es um die Cybersicherheit in einem Unternehmen steht.

Viele Firmen sind noch blind

Die nun veröffentlichten Minimalstandards richten sich in erster Linie an die sogenannten kritischen Infrastrukturen. Dabei handelt es sich um Branchen wie Energie- und Wasserversorger oder Spitäler und Telekomfirmen, bei welchen der Bund im Rahmen seiner gesetzlichen Aufgabe zur Versorgung der Schweiz mit lebenswichtigen Gütern und Dienstleistungen mitredet. Bereits seit längerem arbeitet das BWL daran, in diesem Bereich den Schutz vor Cyberrisiken zu verbessern, und es hat dafür auch Verwundbarkeitsanalysen durchgeführt.

Wie es um die Verwundbarkeit der kritischen Branchen und einzelner Unternehmen steht, wollte Reto Häni, Cybersicherheits-Experte der wirtschaftlichen Landesverteidigung, anlässlich der Präsentation der Broschüre nicht konkret sagen. Dafür sei es noch zu früh, da es noch keine Beurteilung aufgrund des Mindeststandards gegeben habe. Angriffe fänden jedoch täglich statt. Und ganz generell sagte Häni, dass viele Firmen in der Schweiz heute noch blind dafür seien, Angriffe zu erkennen.

Die nun veröffentlichen Minimalstandards befassen sich denn auch nicht mit dem Schutz der IT-Infrastruktur im engeren Sinn. Vielmehr geht es zuerst darum, die bestehenden Systeme zu inventarisieren, bevor Massnahmen zum Schutz getroffen werden können. Ein wichtiger Punkt ist weiter, dass Angriffe dann auch erkannt werden können. Schliesslich geht es um das Reagieren und das Wiederherstellen – Themen, die ebenfalls bereits im Voraus Planung und Massnahmen erfordern.

Die allgemeinen Minimalstandards sind für die Unternehmen der kritischen Infrastrukturen derzeit nicht verbindlich, auch wenn der Bund mit dem Landesversorgungsgesetz die Möglichkeit hat, präventive Massnahmen vorzuschreiben. Faktisch dürften aber für einige Branchen Mindeststandards noch zur Pflicht werden. Denn in Zusammenarbeit mit den jeweiligen Verbänden erarbeitet das BWL auch spezifische Minimalstandards für einzelne Branchen – und diese können von den Verbänden dann für verbindlich erklärt werden. Dies ist zum Beispiel im Bereich der Stromversorgung bereits geschehen: Im Juli hat der Verband Schweizerischer Elektrizitätsunternehmen (VSE) ein «Handbuch Grundschutz» für seine Branche veröffentlicht, das Teil des bestehenden umfassenden Regelwerks zur Stromversorgung ist.

Das Handbuch des VSE umfasst dieselben 106 Punkte wie die nun veröffentlichte, allgemein gehaltene Publikation. Die Spezifikationen sind jedoch auf die Strombranche angepasst und enthalten zum Beispiel genaue Angaben, welche Systeme miteinander wie kommunizieren dürfen. Die branchenspezifischen Mindeststandards bauen also auf den neuen Grundregeln auf. Bisher gibt es erst in der Strombranche spezifische Richtlinien. Noch dieses Jahr sollen aber jene für die Trinkwasser- sowie die Lebensmittelversorgung dazukommen. Als nächstes sollen die Arbeiten in den Bereichen Gasversorgung, Telekommunikation und Abwasserentsorgung beginnen. Das Ziel ist, dass diese spezifischen Minimalstandards ebenfalls innerhalb der jeweiligen Branche für verbindlich erklärt werden.

Zu komplexe Standards?

Die Publikation des BWL soll zudem eine einheitliche Beurteilung erlauben, wie gut ein Unternehmen gegen Cyberangriffe geschützt ist. Bei den Unternehmen der kritischen Infrastrukturen soll ein anonymes Monitoringsystem dem Bund einen Überblick verschaffen, wie hoch das Schutzniveau in den einzelnen Branchen ist. Selbstverständlich kann jede Firma das vom BWL zur Verfügung gestellte Formular für eine Selbsteinschätzung verwenden.

Richtlinien wie die des BWL könnten in der Wirtschaft künftig eine wichtige Rolle einnehmen, zum Beispiel wenn Firmen von ihren IT-Zulieferern ein bestimmtes Schutzniveau verlangen oder wenn die Prämie für eine Versicherung vor Cyberrisiken festzulegen ist. Gerade für KMU könnten die BWL-Standards allerdings zu komplex sein. Zudem laufen in diesem Bereich noch weitere Arbeiten, die in den nächsten Wochen vorgestellt werden.