Finanzkontrolle findet "bedenkliche Risiken" in kritischer Infrastruktur

21. Mai 2021, 13:42
image

Die EFK findet Lücken bei der Bundesverwaltung und stellt der Finma schlechte Noten aus. Es besteht dringender Handlungsbedarf.

Die Eidgenössische Finanzkontrolle (EFK) hat bedenkliche Cyberrisiken in kritischen Infrastrukturen festgestellt. Also in Systemen und Anlagen, die zur Aufrechterhaltung gesellschaftlich notwendiger Aufgaben gebraucht werden. Probleme wurden etwa bei den Banken entdeckt. Auch bei der Gebäudesteuerung in der Bundesverwaltung fand die EFK Mängel. Sie klingt alarmiert: Es gehe bei der Prävention vor Cyberrisiken in der Schweiz nur langsam voran, seit mehreren Jahren bestünden hier schon Lücken.
Was ein Cyberangriff auf kritische Infrastruktur auslösen kann, zeigte zuletzt die Stilllegung einer grossen US-Ölpipeline durch Ransomware. Im betroffenen Gebiet wurde der Notstand ausgerufen, um Lieferungen zu vereinfachen, dennoch kam es an Tankstellen zu Panikkäufen und Schlägereien. Präsident Joe Biden unterzeichnete eine Executive Order für den besseren Schutz vor Cyberattacken.
Der Angriff war finanziell motiviert, wie die Kriminellen betonten. Er hätte also jedes lohnende Opfer treffen können. Auch in der Schweiz sind erfolgreiche Ransomware-Angriffe in hoher Zahl zu verzeichnen – kritische Infrastruktur wurde bislang noch verschont. Der Milliardenmarkt der Cyberkriminalität zieht aber gewaltige Ressourcen und Fähigkeiten an.
Die EFK hält in ihrem Jahresbericht fest, dass das schleppende Tempo vor allem auf die "mangelnde Klarheit in Bezug auf die Verantwortlichkeiten und Kompetenzen" zurückzuführen sei. So befinde sich beispielsweise eine einsatzfähige Krisenorganisation immer noch im Aufbau, und seit 2018 sei nur eine einzige sektorenübergreifende Übung zur Simulation von Cyberangriffen durchgeführt worden.
Der Bundesrat hat im letzten Dezember beschlossen, dass Betreiber kritischer Infrastrukturen hierzulande Cyberangriffe oder Sicherheitslücken melden müssen. Die Bestimmungen werden aber erst ausgearbeitet und sollen Ende 2021 für die Vernehmlassung bereit sein. Zudem gibt es zwar seit 2017 die Nationale Strategie zum Schutz kritischer Infrastrukturen 2018 – 2022. "Man hat aber festgestellt, dass diese Strategie etwas zahnlos ist", sagte Michel Huissoud, Direktor der EFK, nun vor den Medien. Deshalb habe sich die EFK entschieden, zu überprüfen, ob die Anforderungen auch eingehalten würden.
Die EFK habe nun gleich mehrere bedenkliche Cyberrisiken identifiziert, wie es im Bericht heisst. So zum Beispiel bei der Gebäudesteuerung in der Bundesverwaltung: Es wurden Lücken in den Bereichen Gebäudeautomation, Infrastruktur, Vernetzung der Anwendungssysteme sowie bei den Sicherheits- und Sicherungssystemen festgestellt.
Das Bundesamt für Bauten und Logistik (BBL) habe die Feststellungen der EFK anerkannt. So seien bei der Informatiksicherheit der Gebäudesteuerung gezielte Massnahmen ergriffen worden. Die vollständige Umsetzung aller geplanten Massnahmen werde "mehrere Jahre" dauern.

Cyberrisiken der Banken: Schlechte Noten für die Finma

Bei der Aufsicht der Finanzdienstleister stellte die Finanzkontrolle fest, dass sich die Banken nicht immer an die Pflicht halten, Cybervorfälle der Eidgenössischen Finanzmarktaufsicht (Finma) zu melden. Dies sei ohne Konsequenzen geblieben, obwohl die Finma Sanktionsmöglichkeiten hätte, heisst es von der EFK.
Mehrere Experten hätten zudem auf Cyberrisiken im Interbanken-Zahlungssystem hingewiesen, dies könne man aus rechtlichen Gründen aber nicht prüfen. Damit bleibe dies eine Blackbox im Schweizer Bankensystem.
Die EFK stellt der Finma in ihrem Bericht kein gutes Zeugnis aus: "Die Informationsquelle der Finma hinsichtlich der Cyberrisiken der Banken ist lückenhaft", heisst es. Die EFK empfehle, die Inspektionen vor Ort zu intensivieren, um die Situation zu verbessern.
Ende März präsentierte die Finma schliesslich ein Aufsichtskonzept entlang von drei Bereichen: der Analyse der Bedrohungslage, der laufenden Aufsicht und der Vorfallbewältigung beziehungsweise dem Krisenmanagement.

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Microsoft hostet E-Mail-Adressen des Schweizer Parlaments

Die Datenhaltung in der Schweiz ist von Microsoft vertraglich zugesichert. Die Lizenzen kosten 600 Franken pro Ratsmitglied und Jahr.

publiziert am 6.10.2022 2
image

Cyberkriminelle veröffentlichen Daten von Läderach

Einen Monat nach dem Cyberangriff auf den Schweizer Chocolatier sind mehrere Datenpakete im Darknet aufgetaucht. Läderach erklärt uns, die Situation genau zu beobachten.

publiziert am 6.10.2022
image

Bruce Schneier: "Man wird nie sicher sein, dass E-Voting nicht manipuliert wurde"

Kryptographie-Guru Schneier war kürzlich in Zürich. Wir haben mit ihm über E-Voting, Cybersicherheit und die US-Zentralbank gesprochen.

publiziert am 6.10.2022 6