Darum braucht es eine neue Balance zwischen staatlichen und privaten Akteuren im Cyberspace

26. September 2023 um 07:00
  • security
  • cyberangriff
  • uzh
  • bfh
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Forschende der Uni Zürich und der Berner Fachhochschule erklären, warum die Balance zwischen den Säulen der Cyberstrategie der Schweiz – Sicherheit, Strafverfolgung und Defence – neu tariert werden sollte. Start einer 3-teiligen Serie.

Weltweit diskutieren Regierungen zahlreiche Massnahmen zur Sicherung des digitalen Raums von Cyberangriffen – so auch in der Schweiz, wo aktuell diverse gesetzgeberische und politische Aktivitäten laufen. Der Trend geht dabei hin zu einer Straffung und Zentralisierung der staatlichen Massnahmen im Fall von Cyber-Vorfällen, während die Prävention weitgehend Aufgabe der einzelnen Akteure bleiben soll. Grundsätzliche Überlegungen wie auch Ergebnisse einer Umfrage unter kritischen Infrastrukturen in der Schweiz legen aber nahe, dass die Balance zwischen den drei Säulen der Nationalen Cyberstrategie der Schweiz – Cybersicherheit, Cyber-Strafverfolgung und Cyberdefence – neu tariert werden sollte.
Das ist Teil 1 einer 3-teiligen Serie zum Thema Prävention und Abwehr von Cyberangriffen. Der zweite Teil und der dritte Teil sind ebenfalls erschienen.
Die über Jahre stetig ansteigende Zahl an Cyberangriffen wie auch der Krieg in der Ukraine mit seinem Einsatz von "patriotischen Hacktivists" zeigt, dass der digitale Raum immer stärker zu einer Konfliktzone wird. Als Reaktion auf diese Entwicklungen sind in den Ländern weltweit zahlreiche gesetzgeberische und politische Initiativen gestartet worden, insbesondere um die Sicherheit kritischer Infrastrukturen zu gewährleisten.

Balance zwischen staatlicher Regulierung und Massnahmen privater Akteure

Diese Entwicklung spiegelt sich auch in der Schweiz wider: Kürzlich wurde die dritte, überarbeitete Auflage der Nationalen Cyberstrategie der Schweiz (NCS) veröffentlicht. Neben dem neuen Datenschutzgesetz, das im Herbst in Kraft tritt, ist aktuell auch das Informationssicherheitsgesetz (ISG), das die Zuständigkeiten des Nationalen Zentrums für Cybersicherheit (NCSC) regelt, aktuell in Revision, um die Meldepflicht von Cybervorfällen aufzunehmen. Auf politischer Ebene wurde zudem in diesem Jahr entschieden, das NCSC als neues Bundesamt für Cybersicherheit der Zuständigkeit des Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) zu unterstellen und zudem ein neues Staatssekretariat für Sicherheit zu schaffen.
All diese Aktivitäten haben das Ziel, ausgewogene Massnahmen für die drei Grundbereiche Cybersicherheit (präventive und reaktive Massnahmen zum Schutz ziviler Daten und Computersystemen), Cyber-Strafverfolgung (strafrechtliche Massnahmen gegen Cyberkriminalität) und Cyberdefence (Massnahmen zur Abwehr gravierender Bedrohungen im Krisen- und Kriegsfall) zu definieren.
Die grundlegende Herausforderung all dieser Aktivitäten ist es, die richtige Balance zu finden zwischen staatlicher Regulierung und Massnahmen privater Akteure, um Organisationen in die Lage zu versetzen, angemessen auf Cyber-Bedrohungen reagieren zu können, ohne sie dabei übermässig einzuschränken und ohne Grundrechte wie die Meinungsfreiheit oder den Schutz der Privatsphäre zu verletzen. So hatte beispielsweise der Wechsel des NCSC ins VBS die Befürchtung genährt, dass damit eine stärkere Zentralisierung der Massnahmen zur Abwehr von Cyberangriffen verbunden sein könnte.

Schutz Angriffe ist keine militärische, sondern eine zivile Aufgabe

Die bisherige Erfahrung der Cybersicherheits-Praktiker hat gezeigt, dass viele Angriffe – sowohl von Cyberkriminellen als auch von Hacktivists – mit einer entsprechenden Vorbereitung abgewehrt oder zumindest stark erschwert werden können. Als etwa im Umfeld des Ukraine-Kriegs deutlich wurde, dass Angriffe (etwa durch Ransomware oder DDoS-Attacken teilweise von staatlichen Akteuren unterstützt oder zumindest geduldet wurden, wurde rasch deutlich, dass eine zentral gesteuerte Bekämpfung weder realistisch noch sinnvoll ist. Hingegen erwies sich, dass der Staat durch das Bereitstellen von Analyseergebnissen und durch Koordination der einzelnen Akteure die Schutzwirkung gegen solche Angriffe erhöhen kann. Ebenso hat sich gezeigt, dass Organisationen, die sich sowohl technisch als auch organisatorisch auf solche Szenarien vorbereitet hatten, kaum Probleme hatten und deren Unterbrüche – wenn überhaupt – minimal waren.
In solchen Situationen ist es essenziell, dass Informationen schnell und unkompliziert ausgetauscht werden können und dass klar ist, was mit diesen Informationen geschieht. Dies bedingt einerseits eine klar definierte und auf den Schutz ausgerichtete Mission und andererseits ein hohes Vertrauen zwischen den einzelnen Akteuren. Der erfolgreiche Schutz gegen diese Form von Angriffen, die wir im Verlauf der letzten Jahre beobachtet haben, ist aber weiterhin keine militärische, sondern eine zivile Aufgabe. Sie kann weder zentral noch hierarchisch gelöst werden, sondern muss dezentral und an die jeweiligen Umstände angepasst werden.

Klare Trennunng zwischen zivilen und militärischen Aufgaben ist wichtig

Aus diesen Gründen wird das NCSC richtigerweise auch als ziviles Bundesamt im VBS aufgebaut. Dadurch soll es eine klare Trennung zu anderen Organisationseinheiten wie zum Beispiel dem Kommando Cyber der Armee, aber auch dem Nachrichtendienst geben, so dass klar ist, wie und wozu dem NCSC übergebene Informationen verwendet werden. Diese Abgrenzung soll gleichermassen das Vertrauen in das entstehende Bundesamt und eine schnellere Reaktionsfähigkeit auf Zwischenfälle begünstigen. Im Bereich der Prävention gibt es ebenfalls grosse Unterschiede zwischen Massnahmen, die im zivilen Bereich und für Friedenszeiten sinnvoll sind im Vergleich zu Massnahmen, welche die Armee für den Kriegsfall vorbereiten muss. Werden diese Elemente zu stark vermischt, führt dies zu einer ineffizienten Verteilung von Ressourcen und zu Präventionsmassnahmen, die nicht optimal an die Bedürfnisse und Anforderungen der Praxis zugeschnitten sind.
Ein Beispiel ist die Balance zwischen Zugänglichkeit und Schutz der Systeme. Während wir in normalen Situationen, Systeme und Netze relativ offen gestalten und versuchen, Wirtschaftlichkeit, Usability und Sicherheit in ein gutes Gleichgewicht zu bringen, verschiebt sich dieses Gleichgewicht im Krisenfall. Dort ist der primäre Faktor, dass die Systeme vor feindlichem Zugriff oder Störungen geschützt sind. So sind zum Beispiel starke Restriktionen im Routing oder das Abschalten bzw. Einschränken von gewissen Zugängen, der Einsatz von spezialisierten Netzen für den Kriegsfall sehr sinnvolle Massnahmen, sind aber in Friedenszeiten weder aus wirtschaftlicher Sicht sinnvoll noch würden sie von den Benutzern akzeptiert.
Welche konkreten Meinungen und Wünsche zur Balance zwischen dem Handeln staatlicher und privater Akteure besteht bei Fachleuten kritischer Infrastrukturen? Lesen Sie im Teil 2 des Berichts über die Ergebnisse einer nationalen Umfrage.

Über die Autoren

image
Melanie Knieps, CYRENZH, Universität Zürich (links), Markus Christen, Digital Society Initiative, Universität Zürich (rechts) und Reto Inversini, Technik und Informatik, Berner Fachhochschule (nicht im Bild).

Loading

Mehr erfahren

Mehr zum Thema

image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollte nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

Datenleck bei BFH betrifft 9600 Kursteilnehmende

Die Berner Fachhochschule (BFH) hat eigenen Angaben zufolge sofort reagiert und die Betroffenen informiert.

publiziert am 14.5.2024
image

Sicherheitsbehörden warnen eindringlich vor Ransomware-Bande Black Basta

Black Basta hat sich auch in der Schweiz zu zahlreichen Angriffen bekannt. Ein neues Advisory von US-Behörden enthält Details zum Vorgehen der Cyberkriminellen.

publiziert am 13.5.2024 1