- Cyber-Angriffe sind eine Gefahr, etwa für Atomkraftwerke oder Spitäler.
- In der Regel sind solche Unternehmen zwar bereits gut geschützt.
- Um das Risiko von Cyber-Angriffen zu minimieren, will sie der Bund nun aber mit einem freiwilligen Minimalstandard besser absichern.
Wenn jemand in ein Computersystem eindringen möchte, dann wird ihm das auch gelingen. Diese Aussage macht Reto Häni, privater Experte für Sicherheit im Informatikbereich, der für das Bundesamt für wirtschaftliche Landesversorgung BWL tätig ist. Das Risiko werde von vielen Unternehmen signifikant unterschätzt. Einige Firmen seien zwar sehr gut vorbereitet.
Doch es gebe auch zahlreiche andere, sagt Werner Meier, Delegierter des Bundes für wirtschaftliche Landesversorgung: «Wir treffen Firmen an, die erst jetzt beginnen, darüber nachzudenken.» Deshalb brauche es einen Minimalstandard, der den Schutz der Schweizer Wirtschaft vor Cyber-Risiken markant verbessere. «Der ist dringlich, weil jeden Tag Cyber-Angriffe passieren. Gott sei Dank kleinere, aber sie passieren.»
Höhere Barrieren schrecken Kriminelle ab
Auf 44 Seiten listet der Minimalstandard deshalb 106 Massnahmen auf, die sich vor allem an Unternehmen richten, die kritische Infrastrukturen betreiben.
Dazu gehören zum Beispiel die Bereiche Energie, Lebensmittel, Verkehr oder Gesundheit. Mit dem Standard sollen die Firmen feststellen können, wie gut sie geschützt sind, was noch zu tun ist, wie man Cyber-Angriffe erkennen kann, wie man reagieren soll und wie allfällige Schäden behoben werden können.
Jeden Tag passieren Cyber-Angriffe. Gott sei dank kleinere, aber sie passieren.
Es gehe darum, die Barrieren für Cyber-Kriminelle und damit deren Aufwand zu erhöhen, erklärt Experte Häni: «Sie werden dort angreifen, wo die Kosten schliesslich am tiefsten sind und die Effekte am höchsten. Das heisst, wenn man nur schon die Kosten erhöhen kann, wird man einen positiven Effekt haben, weil die andere Seite dann vielleicht jemand anderes angreifen wird.»
Massnahmen erst freiwillig, dann verbindlich
Der Bund geht davon aus, dass die betroffenen Wirtschaftsbereiche den Standard freiwillig umsetzen werden. Doch Werner Meier winkt bereits mit dem Zaunpfahl: «Wir können diese Empfehlungen auch für verbindlich erklären, wenn die Freiwilligkeit nicht funktioniert.» Das Bundesamt für wirtschaftliche Landesversorgung will deshalb in den nächsten Monaten genau hinschauen, was die Wirtschaft mit dem Massnahmenkatalog macht.
Die Gefahren werden sicher nicht abnehmen, sondern signifikant zunehmen.
«Wir haben ein Monitoring-System, mit dem wir überprüfen, wie die Empfehlungen umgesetzt werden, und je nachdem wird dann Handeln angezeigt sein», sagt der Delegierte. «Aber ich bin heute überzeugt, dass es auch ohne gesetzlichen Zwang geht.» Der Verband Schweizerischer Elektrizitätsunternehmen VSE will den Standard als erster für verbindlich erklären, weitere Branchen wollen im nächsten Jahr folgen.
KMUs werden Spezialisten beiziehen müssen
Es sei höchste Zeit, mahnt Häni: «Die Gefahren werden sicher nicht abnehmen, sondern signifikant zunehmen. Und dort ist es die Herausforderung, dass wir zusammenarbeiten, um uns auch besser zu schützen. Alleine kann das heute fast keine Unternehmung mehr machen.» Von der Entwicklung profitieren jene Unternehmen, die Dienstleistungen im Bereich der Cyber-Sicherheit anbieten.
Denn vor allem kleinere und mittlere Unternehmen werden nicht darum herumkommen, den Schutz vor Cyber-Angriffen an Spezialisten auszulagern.
