Nachholbedarf bei CybersicherheitDie Schweiz unterschätzt die Gefahr aus dem Netz
Ein Server nach dem anderen wird verschlüsselt. Trotzdem reagieren etliche Firmeninhaber nicht auf die Bedrohung. Das beklagt der «Mr. Cyber» des Bundes.
Immer und immer wieder kommt dieselbe Warnung: Die Schweiz nimmt die Cybersicherheit zu wenig ernst. In einem Ranking der Internationalen Telekommunikationsunion liegt die Eidgenossenschaft abgeschlagen auf Rang 42 – direkt vor Ghana, aber weit hinter allen Nachbarländern. Das breiten an den Swiss Cyber Security Days gleich mehrere Rednerinnen und Redner aus.
Dabei ist die Schweiz laut einem anderen Ranking das innovativste Land überhaupt. Darauf weist Nicolas Mayencourt hin, der Programmverantwortliche des Branchenkongresses, der letzte Woche in Freiburg stattgefunden hat. Doch: «Wenn wir bei der Cybersicherheit nicht vorwärtsmachen, sind wir bald nicht mehr konkurrenzfähig.»
Mitarbeiter des Unternehmens Dreamlab Technologies haben das Schweizer Internet nach bekannten Sicherheitslücken abgesucht. Dabei sind sie auf 106’577 kritische Probleme gestossen – leicht weniger als im Vorjahr, aber massiv mehr als noch vor der Pandemie. Stark betroffen sind insbesondere Schulen, das Gesundheitswesen und die Verwaltung.
«Corona gab der Digitalisierung kräftig Schub», sagt Mayencourt. Von einem Tag auf den anderen mussten die Angestellten von zu Hause aus arbeiten. Plötzlich konnten Produkte nur noch online verkauft werden. Und das Klassenzimmer wurde flugs in den Cyberspace verlegt. In kürzester Zeit haben die Unternehmen und Organisationen ihre IT-Infrastruktur aufgebohrt.
«Wir sollten nicht mehr so naiv sein.»
Der Druck, mit der Digitalisierung vorwärtszumachen, war gross. Auch der Zeitdruck. Deshalb ging die eine oder andere Sicherheitsvorkehrung vergessen. «Das ist brandgefährlich», warnt Nicolas Mayencourt. «Wir sollten nicht mehr so naiv sein.» Bekannte Lecks würden systematisch ausgenutzt – eher früher als später. Gefordert seien alle: von den normalen Anwendern über die Softwareentwicklerinnen bis hin zu den Geschäftsführerinnen von Unternehmen und zu den Bundesbeamten.
Einige Unternehmer foutieren sich um die Sicherheit
In der Pflicht steht dort vorab Florian Schütz, der Delegierte für die Cybersicherheit. Der Bund unternehme bereits viel, müsse aber weiter ausbauen und viel investieren, führt er aus. So könnte demnächst ein Departement für Cybersicherheit geschaffen werden. Und auch die Armee wird wohl kräftig ausgebaut.
Bereits heute verteidigt das Nationale Zentrum für Cybersicherheit zusammen mit der Armee kritische Infrastrukturen wie Kraftwerke und Telekommunikationsnetze. Und es schafft die Rahmenbedingungen, damit sich Unternehmen und Privatpersonen selbst schützen können. Etwa, indem es über Sicherheitsprobleme informiert.
«Wir mussten zuschauen, wie ein Unternehmen nach dem anderen verschlüsselt wird. Und das trotz all unserer Warnungen.»
Um noch schneller und besser reagieren zu können, benötige er detaillierte Informationen zu möglichst vielen Vorfällen. «Bitte melden Sie uns, wenn Sie angegriffen werden», fleht «Mr. Cyber» die Sicherheitsverantwortlichen und Geschäftsführer am Branchenkongress an. Bislang besteht keine Meldepflicht. Der Bundesrat möchte eine einführen – allerdings nur für Angriffe auf kritische Infrastrukturen.
Und dann redet Florian Schütz den Geschäftsführern kräftig ins Gewissen: In vielen Unternehmen sei man sich der Gefahr aus dem Cyberspace zu wenig bewusst, sagt er. Das verdeutlichen die zahlreichen Ransomware-Attacken der letzten Monate: «Wir mussten zuschauen, wie ein Unternehmen nach dem anderen verschlüsselt wird. Und das trotz all unserer Warnungen.»
Etwa im Fall der kritischen Schwachstellen im Exchange-Server, die vor einem Jahr bekannt wurden: Weil die Unternehmen auf Anrufe und E-Mails nicht reagierten, hat der Bund als Ultima Ratio schliesslich eingeschriebene Briefe verschickt.
Schlimmer noch: Einzelne Firmeninhaber hätten dem Bund – statt für den Hinweis zu danken und das Leck rasch zu stopfen – mit einer Klage wegen Rufschädigung gedroht. Einige Geschäftsleute hätten immer noch das Gefühl, dass das Problem mit der Cybersicherheit nicht so gravierend sei, wie es dargestellt werde, sagt Schütz. «Sie sollen sich aber bitte nicht beklagen, wenn es ihre Firma plötzlich nicht mehr gibt.»
Er wünscht sich eine enge Zusammenarbeit zwischen der Privatwirtschaft und der öffentlichen Verwaltung. Genau so, wie es im Swiss Financial Sector Cyber Security Center, einem soeben aus der Taufe gehobenen Verein, vorgesehen ist: Darin arbeiten Bankenvertreter und IT-Sicherheitsleute Seite an Seite mit den Experten aus der Verwaltung und der Armee.
«Wir müssen hart an unserer Cybersicherheit arbeiten.»
Auch Nathalie Gratzer nimmt die Geschäftsleiter in die Pflicht. Jedes einzelne Unternehmen müsse resilienter werden, sagt die Projektleiterin für Cybersicherheit beim Bundesamt für wirtschaftliche Landesversorgung. Sie müssten darauf hinarbeiten, dass nichts passiere. Und für den Fall, dass ein Angriff erfolgreich sei: dass das eigene Geschäft rasch wieder hochgefahren werden könne.
Heute fehle es vielerorts an Redundanz: Deshalb kommt das Geschäft oft ganz zum Erliegen, wenn ein Teilsystem angegriffen wird. Manchmal sogar, wenn eine einzelne eingekaufte Dienstleistung nicht funktioniert. So hat etwa der Angriff auf ein Satellitennetzwerk in Grossbritannien, der vermutlich im Zusammenhang mit der Invasion Russlands in der Ukraine stand, dazu geführt, dass in Deutschland Windkraftanlagen stillstanden.
«Wir müssen hart an unserer Cybersicherheit arbeiten», sagt Gratzer. Und mit Blick auf den 42. Rang im Cybersicherheitsrating sagt sie: «Wir haben ein grosses Potenzial.»
Fehler gefunden?Jetzt melden.
