Die Schweiz hat eine neue Strategie, wie sich das Land vor Cyber-Risiken schützen will, der Bundesrat hat sie heute verabschiedet.

Das 33-seitige Dokument beschreibt Ziele und Massnahmen, die man zwischen 2018 und 2022 in den Griff kriegen will. Dabei, so der Disclaimer auf Seite 22, gebe es "keinen vollständigen Schutz gegen Cyber-Vorfälle". Zudem müsse man mit "einer zunehmenden Anzahl gezielter Angriffe rechnen". Bei der Formulierung der neuen Strategie kann der Bund auf den Resultaten der ersten Version aufbauen, die von 2012 bis 2017 gesammelt wurden und auf Input von Behörden, Hochschulen und der Wirtschaft.

Zu den erkannten Risiken gehören Cyber-Kriminalität, Cyber-Sabotage und -Terrorismus, Desinformation und Propaganda sowie Cyber-Schlachten in "traditionellen" Konflikten. Aber auch menschliche Fehler und technische Ausfälle sind nicht ausser Acht zu lassen, so das Dokument.

Nun muss man weiteres Wissen sammeln, die Abwehrorganisation weiterentwickeln, sich national und international vernetzen und auch umsetzen, was man geplant hat. Bei allem will der Bundesrat nicht für den Schutz der Schweiz verantwortlich sein, im Gegenteil: Das "bedeutet, dass der Staat erst dann eingreift, wenn das Wohlergehen unserer Gesellschaft wesentlich betroffen ist und private Akteure nicht in der Lage oder nicht willens sind, das Problem selbständig zu lösen". Im Lead sind also Kantone, Wirtschaft und Gesellschaft. Firmen kriegen vom Bund "möglichst sichere Bedingungen" und Einwohner der Schweiz kriegen Informationen. Kantone und Gemeinden müssen, beziehungsweise können sich selbst um ihre kritischen Infrastrukturen kümmern.

Resultierend aus der Philosophie "Hilfe zur Selbsthilfe" sind sieben Ziele und 29 Massnahmen in zehn Handlungsfeldern abgeleitet worden. Dabei geht es um Trenderkennung, Resilienz ebenso wie um technologische und juristische Aufräumarbeiten nach einem Vorfall.

Aus dem Massnahmenbündel stechen drei heraus:

Erstens die "Evaluierung und Einführung von Minimalstandards". Einleitend wird festgehalten, ICT-Standardisierungen und -Regulierungen seien "wichtige Instrumente zum Schutz vor Cyber-Risiken". In enger Zusammenarbeit würden bestehende und international gültige Standards verwendet und allenfalls adaptiert, "wo vorhanden", so der Plan. Dabei geht es primär um Governance-Fragen oder um die Netzwerk- und Informationssicherheits-Richtlinie der EU (NIS-Richtlinie).

Inwiefern die Mindeststandards soweit gehen könnten, dass auch Zertifizierungen von Hard- oder Software nach ausländischem Vorbild eingeführt werden, ist nicht erwähnt. Auch wird nicht ausgedeutscht, welche juristische Grundlagen überprüfenswert sind und ob eine Regulierung in Sachen Herstellerhaftung in Frage kommen oder nicht.

Als zweite Massnahme fällt "Prüfung einer Meldepflicht für Cyber-Vorfälle und ein Entscheid über deren Einführung" auf. Eine solche ist umstritten, aber alle Interessierten können sich aktuell noch beruhigen: Die Evaluation "erfolgt unter Einbezug der jeweils zuständigen Behörden, der Privatwirtschaft und der Verbände."

Nicht zuletzt ist geplant, MELANI als Public-Private-Partnership für die Betreiber kritischer Infrastrukturen auszubauen. Doch müsse auch klar definiert werden, "welche Mitglieder des geschlossenen Kundenkreises Anspruch auf welche Dienstleistungen haben."

Auch das VBS soll neue Tools und Kompetenzen erhalten, mit denen man Angriffe auf kritische Infrastrukturen stören, verhindern und verlangsamen könne.

Allerdings ist noch nicht festgehalten, wie der Bund herausfinden will, ob die Ziele auch erreicht werden: "Damit evaluiert werden kann, welcher Umsetzungsfortschritt erzielt wird, müssen für alle Massnahmen messbare Leistungsziele definiert werden", so die Strategie. Sie kann als PDF heruntergeladen werden. (mag)