Schweizer Stromversorger sind gemäss einer neuen Umfrage des Bundes nur ungenügend gegen Cyberattacken geschützt. Besonders schlecht seien die Firmen darauf vorbereitet, Angriffe zu erkennen und auf Vorfälle zu reagieren.

Die Resultate der erstmaligen Umfrage dieser Art bei 124 Unternehmen verschiedener Grösse seien im Schnitt "ernüchternd", schreibt das Bundesamt für Energie (BFE) in einem Bericht zur Cybersicherheit für die Schweizer Stromversorgung von Ende Juni. Über diesen berichtete die 'NZZ' (Paywall).

Auf einer Skala von 0 bis 4 punkto Cybersicherheit erreichten die Unternehmen einen Wert von knapp unter 1. Die Branche strebe eigentlich mit selbst verabschiedeten Minimalrichtlinien einen Wert von 2,6 an, so der Bericht. Von den befragten Unternehmen betreiben 113 Netze, 79 führen Messstellen und 54 produzieren Strom.

Besonders schlecht gerüstet sind dem Bericht zufolge Firmen, wenn es um das Erkennen von Angriffen sowie um das Reagieren und Wiederherstellen nach einem Vorfall geht. Leicht besser sehe es bei der Prävention aus.

Gemäss dem BFE besteht "grundlegender Handlungsbedarf". So fordert das Amt rasch gesetzliche und einheitliche Rahmenbedingungen für die Firmen. Weiter regt es zu einem regelmässigen, institutionalisierten Wissensaustausches zu aktuellen Cyberrisiken an.

In den umliegenden Ländern und generell in Europa steht es dem Bericht zufolge weit besser um die Cybersicherheit im Stromsektor. Viele der für die Schweiz aktuell diskutierten Massnahmen seien dort bereits umgesetzt, heisst es.

Die meisten europäischen Länder hätten die Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) eingeführt. Die Schweiz sei eines der wenigen Länder, welches "keine umfassende und/oder verbindliche Cyber-Sicherheitslinien für den Stromsektor" habe.

Die Schweiz verfüge im Stromversorgungssektor bereits über Ansätze und gewisse regulatorische Rahmenbedingungen, die für Cybersicherheit und Resilienz beigezogen werden können, so der Bericht. "Historisch gesehen haben diese Rahmenbedingungen die Versorgungssicherheit im Allgemeinen im Fokus." Die Analyse zeige eine starke Fragmentierung bezüglich Cybersicherheit. "Bestehende Gesetze müssen für die Zwecke der Cybersicherheit teilweise weit interpretiert und ausgelegt werden."

Das BFE wolle die Empfehlungen im Bericht nun rasch umsetzen, erklärte Matthias Galus, Leiter Digitale Innovation beim Bundesamt, gegenüber der 'NZZ'. Im Vordergrund stünden verbindliche Mindestanforderungen an die IT-Sicherheit. Zusätzlich solle eine Prüfbehörde kontrollieren, ob die Vorgaben auch eingehalten werden. Eine verbindliche Meldepflicht lasse der Bundesrat bereits ausarbeiten.

Die Strombranche wolle die Vorkehrungen laufend verbessern und die Aufmerksamkeit aller Akteure hochhalten, erklärte der Verband Schweizerischer Elektrizitätsunternehmen (VSE) gegenüber 'Keystone-SDA'. Die Cyber-Security-Bedrohungslage verändere sich stets und die Elektrizitätsunternehmen müssten ihre Massnahmen daran anpassen. Die Vorkehrungen der Unternehmen hätten bisher einen Ausfall der Stromversorgung durch eine Cyberattacke verhindert.

In der Strombranche wollte man die konkreten Schlussfolgerungen aus dem Bericht des Bundes zunächst nicht kommentieren. Hierzu fehlten die detaillierteren Ergebnisse der Umfrage, hiess es.

Zu einem stärkeren Engagement des Staates und strengeren Gesetzen in Bezug auf die Cybersicherheit erklärte der VSE, dass das Schadenspotenzial für die Unternehmen sehr unterschiedlich sei. Entsprechend müssten auch die Anforderungen an das Schutzniveau differenziert ausfallen. Zudem dürften starre Abläufe, Vorgaben und Schemata bei regulatorischen Anforderungen eine Weiterentwicklung der Schutzmassnahmen nicht behindern.

Die Teilnahme an der Umfrage des Bundes war freiwillig. Es machten rund 18% der Schweizer Netzbetreiber mit, die Hälfe aller Stromproduzenten sowie Messstellenbetreiber, die rund 40% aller existierenden Messpunkte abdecken.

Die Umfrage erfolgte anhand eines durch das Bundesamt für Wirtschaftliche Landesversorgung (BWL) und den Branchenverband Schweizer Elektrizitätswirtschaft etablierten Minimalstandards. Er gilt seit 2018.