Kritische Infrastrukturen sind für Bevölkerung und Wirtschaft essenziell. Die Finanzprüfer des Bundes haben Tipps, was es zum Schutz braucht.
Für die Existenz eines Landes ist von der Stromversorgung über das Gesundheitssystem bis hin zur Telekommunikation alles wichtig.
Um die Lebensgrundlagen für die Menschen und das Funktionieren der Wirtschaft zu garantieren, müssen Staaten solche kritischen Infrastrukturen schützen.
Wirksame Cybersicherheit
Der Betrieb solcher kommt heutzutage aber ohne den Einsatz vernetzter digitaler Technologien nicht mehr aus.
Damit erhöht sich allerdings auch die Wahrscheinlichkeit von Cyberangriffen und der Cybersicherheit kommt eine Schlüsselrolle zu.
Vor diesem Hintergrund analysierte die Eidgenössische Finanzkontrolle (EFK) neun ausgewählte frühere Prüfungen mit Bezug zu dem Thema und mit Schwerpunkt Cyberresilienz der Schweiz.
Die EFK leitete laut ihrer neuesten Publikation einige Erfolgsfaktoren für eine wirksame Cybersicherheit und Aufsicht ab.
Alte Systeme bei Inbetriebnahme
Klar ist dabei, dass die Finanzprüfer des Bundes nur zu solchen Erfolgsfaktoren kommen konnten, weil die Schweiz in vielen Punkten nachbessern muss. Zur Genüge gibt es Beispiele fehlgeleiteter IT-Projekte. Diese Programme dürften nicht zu lange dauern, lautet eine Lehre daraus.
Systeme, die während der Planung dem neusten Stand der Technik entsprechen, sind bei der Inbetriebnahme bereits veraltet.
Während die kritischen Infrastrukturanlagen mehrere Jahrzehnte im Einsatz sind, sollten die technischen Komponenten alle drei bis vier Jahre erneuert werden. Rasches Handeln ist also notwendig.
Viele unverbindliche Regelungen
Der Aufbau und die Gewährleistung einer robusten Cybersicherheit seien folglich eine Daueraufgabe, hiess es von der EFK weiter.
Diese könne jedoch nur dann erfolgreich umgesetzt werden, wenn alle beteiligten Parteien zusammenarbeiteten.
Die zur Regelung des Schutzes kritischer Infrastruktur bestehenden Vorgaben seien heutzutage unvollständig und teilweise zu wenig verbindlich.
Die sektoriellen Aufsichts- und Regulierungsbehörden werden daher aufgefordert, die Vorgaben zu präzisieren, damit die Umsetzung der Cyberresilienzmassnahmen bei den Betreibern der kritischen Infrastrukturen eingefordert werden können.
Zugriffe klar regeln
Oft können bereits einfache Massnahmen einen wesentlichen Beitrag zu einer besseren Cyberresilienz leisten, merken die Finanzprüfer des Bundes in ihrem Gesamtbericht an.
So könne etwa eine gut strukturierte Organisation mit klar definierten Rollen und Verantwortlichkeiten positiv auf die Umsetzung der sicherheitsrelevanten Prozesse wirken.
Durch einen angemessenen Schutz gegen unbefugtes Zugreifen auf Systeme und/oder den unbefugten Zutritt zu kritischen Komponenten werde die Sicherheit deutlich verbessert, hiess es, wie die Schweiz beispielsweise aus dem Cybervorfall beim Bundesamt für Polizei Fedpol bitter lernen musste.
Notfall üben
Letztlich sei die Vorbereitung auf einen möglichen Angriff ein «Rettungsanker», der die rasche Wiederaufnahme des Betriebs der kritischen Infrastrukturen unterstützen könne. Reaktionspläne und
Übungen helfen bei dieser Vorbereitung zur Wiederaufnahme. Auch daran muss die Schweiz also feilen.
Die Erfolgsfaktoren lauten daher, klare Definition von Rollen und Verantwortlichkeiten, regelmässige Sicherheitsupdates durchführen, kritische Komponenten gegen Zugriffe schützen und den Notfall üben.
Obendrein braucht es eine klare Aufsicht des Staates über all dies – denn nicht zuletzt muss die Schweiz den Informationsfluss bei kritischen Ereignissen sicherstellen.
08.07.2024/kut.
