Weltweit diskutieren Regierungen zahlreiche Massnahmen zur Sicherung des digitalen Raums von Cyberangriffen – so auch in der Schweiz, wo aktuell diverse gesetzgeberische und politische Aktivitäten laufen. Der Trend geht dabei hin zu einer Straffung und Zentralisierung der staatlichen Massnahmen im Fall von Cyber-Vorfällen, während die Prävention weitgehend Aufgabe der einzelnen Akteure bleiben soll. Grundsätzliche Überlegungen wie auch Ergebnisse einer Umfrage unter kritischen Infrastrukturen in der Schweiz legen aber nahe, dass die Balance zwischen den drei Säulen der Nationalen Cyberstrategie der Schweiz – Cybersicherheit, Cyber-Strafverfolgung und Cyberdefence – neu tariert werden sollte.
Das ist Teil 1 einer 3-teiligen Serie zum Thema Prävention und Abwehr von Cyberangriffen. Der zweite Teil und der dritte Teil sind ebenfalls erschienen. Die über Jahre stetig ansteigende Zahl an Cyberangriffen wie auch der Krieg in der Ukraine mit seinem Einsatz von "patriotischen Hacktivists" zeigt, dass der digitale Raum
immer stärker zu einer Konfliktzone wird. Als Reaktion auf diese Entwicklungen sind in den Ländern weltweit zahlreiche gesetzgeberische und politische Initiativen gestartet worden, insbesondere um die Sicherheit kritischer Infrastrukturen zu gewährleisten.
Balance zwischen staatlicher Regulierung und Massnahmen privater Akteure
Diese Entwicklung spiegelt sich auch in der Schweiz wider: Kürzlich wurde die dritte, überarbeitete Auflage der
Nationalen Cyberstrategie der Schweiz (NCS) veröffentlicht. Neben dem neuen Datenschutzgesetz, das im Herbst in Kraft tritt, ist aktuell auch das Informationssicherheitsgesetz (ISG), das die Zuständigkeiten des Nationalen Zentrums für Cybersicherheit (NCSC) regelt, aktuell in Revision, um die Meldepflicht von Cybervorfällen aufzunehmen. Auf politischer Ebene wurde zudem in diesem Jahr entschieden, das NCSC als neues Bundesamt für Cybersicherheit der Zuständigkeit des Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS)
zu unterstellen und zudem ein neues Staatssekretariat für Sicherheit zu schaffen.
All diese Aktivitäten haben das Ziel, ausgewogene Massnahmen für die drei Grundbereiche Cybersicherheit (präventive und reaktive Massnahmen zum Schutz ziviler Daten und Computersystemen), Cyber-Strafverfolgung (strafrechtliche Massnahmen gegen Cyberkriminalität) und Cyberdefence (Massnahmen zur Abwehr gravierender Bedrohungen im Krisen- und Kriegsfall) zu definieren.
Die grundlegende Herausforderung all dieser Aktivitäten ist es, die richtige Balance zu finden zwischen staatlicher Regulierung und Massnahmen privater Akteure, um Organisationen in die Lage zu versetzen, angemessen auf Cyber-Bedrohungen reagieren zu können, ohne sie dabei übermässig einzuschränken und ohne Grundrechte wie die Meinungsfreiheit oder den Schutz der Privatsphäre zu verletzen. So hatte beispielsweise der Wechsel des NCSC ins VBS die Befürchtung genährt, dass damit eine stärkere Zentralisierung der Massnahmen zur Abwehr von Cyberangriffen verbunden sein könnte.
Schutz Angriffe ist keine militärische, sondern eine zivile Aufgabe
Die bisherige Erfahrung der Cybersicherheits-Praktiker hat gezeigt, dass viele Angriffe – sowohl von Cyberkriminellen als auch von Hacktivists – mit einer entsprechenden Vorbereitung abgewehrt oder zumindest stark erschwert werden können. Als etwa im Umfeld des Ukraine-Kriegs deutlich wurde, dass Angriffe (etwa durch Ransomware oder DDoS-Attacken teilweise von staatlichen Akteuren unterstützt oder zumindest geduldet wurden, wurde rasch deutlich, dass eine zentral gesteuerte Bekämpfung weder realistisch noch sinnvoll ist. Hingegen erwies sich, dass der Staat durch das Bereitstellen von Analyseergebnissen und durch Koordination der einzelnen Akteure die Schutzwirkung gegen solche Angriffe erhöhen kann. Ebenso hat sich gezeigt, dass Organisationen, die sich sowohl technisch als auch organisatorisch auf solche Szenarien vorbereitet hatten, kaum Probleme hatten und deren Unterbrüche – wenn überhaupt – minimal waren.
In solchen Situationen ist es essenziell, dass Informationen schnell und unkompliziert ausgetauscht werden können und dass klar ist, was mit diesen Informationen geschieht. Dies bedingt einerseits eine klar definierte und auf den Schutz ausgerichtete Mission und andererseits ein hohes Vertrauen zwischen den einzelnen Akteuren. Der erfolgreiche Schutz gegen diese Form von Angriffen, die wir im Verlauf der letzten Jahre beobachtet haben, ist aber weiterhin keine militärische, sondern eine zivile Aufgabe. Sie kann weder zentral noch hierarchisch gelöst werden, sondern muss dezentral und an die jeweiligen Umstände angepasst werden.
Klare Trennunng zwischen zivilen und militärischen Aufgaben ist wichtig
Aus diesen Gründen wird das NCSC richtigerweise auch als ziviles Bundesamt im VBS aufgebaut. Dadurch soll es eine klare Trennung zu anderen Organisationseinheiten wie zum Beispiel dem Kommando Cyber der Armee, aber auch dem Nachrichtendienst geben, so dass klar ist, wie und wozu dem NCSC übergebene Informationen verwendet werden. Diese Abgrenzung soll gleichermassen das Vertrauen in das entstehende Bundesamt und eine schnellere Reaktionsfähigkeit auf Zwischenfälle begünstigen. Im Bereich der Prävention gibt es ebenfalls grosse Unterschiede zwischen Massnahmen, die im zivilen Bereich und für Friedenszeiten sinnvoll sind im Vergleich zu Massnahmen, welche die Armee für den Kriegsfall vorbereiten muss. Werden diese Elemente zu stark vermischt, führt dies zu einer ineffizienten Verteilung von Ressourcen und zu Präventionsmassnahmen, die nicht optimal an die Bedürfnisse und Anforderungen der Praxis zugeschnitten sind.
Ein Beispiel ist die Balance zwischen Zugänglichkeit und Schutz der Systeme. Während wir in normalen Situationen, Systeme und Netze relativ offen gestalten und versuchen, Wirtschaftlichkeit, Usability und Sicherheit in ein gutes Gleichgewicht zu bringen, verschiebt sich dieses Gleichgewicht im Krisenfall. Dort ist der primäre Faktor, dass die Systeme vor feindlichem Zugriff oder Störungen geschützt sind. So sind zum Beispiel starke Restriktionen im Routing oder das Abschalten bzw. Einschränken von gewissen Zugängen, der Einsatz von spezialisierten Netzen für den Kriegsfall sehr sinnvolle Massnahmen, sind aber in Friedenszeiten weder aus wirtschaftlicher Sicht sinnvoll noch würden sie von den Benutzern akzeptiert.
Welche konkreten Meinungen und Wünsche zur Balance zwischen dem Handeln staatlicher und privater Akteure besteht bei Fachleuten kritischer Infrastrukturen? Lesen Sie im Teil 2 des Berichts über die Ergebnisse einer nationalen Umfrage. Über die Autoren
Melanie Knieps, CYRENZH, Universität Zürich (links), Markus Christen, Digital Society Initiative, Universität Zürich (rechts) und Reto Inversini, Technik und Informatik, Berner Fachhochschule (nicht im Bild).