Vertreter kritischer Infrastrukturen wünschen mehr Regulierung

2. Oktober 2023 um 07:03
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Fachleute für kritische Infrastrukturen in der Schweiz haben sich in einer Umfrage zu Cybersicherheit, Cyber-Strafverfolgung und Cyberdefence geäussert. Teil 2 einer 3-teiligen Serie von Forschenden der Universität Zürich und der Berner Fachhochschule.

Wie soll die Balance zwischen den drei Säulen der Nationalen Cyberstrategie der Schweiz – Cybersicherheit, Cyber-Strafverfolgung und Cyberdefence – aussehen? Fachleute für kritische Infrastrukturen in der Schweiz haben in einer Umfrage zu diesem Thema Stellung bezogen. Gewünscht wird mehr Regulierung im Bereich Prävention, aber ausreichend rechtlicher Spielraum für die Bewältigung von Vorfällen.
Das ist Teil 2 einer 3-teiligen Serie zum Thema Prävention und Abwehr von Cyberangriffen. Der erste Teil und der dritte Teil sind ebenfalls erschienen.
Wie soll nun konkret die neue Balance zwischen dem Handeln staatlicher und privater Akteure aussehen? Hinweise darauf ergibt eine Umfrage unter den technischen Teams kritischer Infrastrukturen in der Schweiz, die im Rahmen eines Forschungsprojektes des Nationalen Forschungsprogramms 77 "Digitale Transformation" durchgeführt wurde. Die über 80 Cybersecurity-Fachleute haben dabei unter anderem Fragen beantworten, in welchen Bereichen mehr oder weniger Regulierung gewünscht wird und welche Rolle die verschiedenen Akteure zur Sicherung der kritischen Infrastrukturen haben sollen.

Regulierung ja, aber kein zu enges Korsett

Die Beteiligten wurden gebeten, ihre Präferenzen hinsichtlich der Regulierungsschärfe bei verschiedene Cybersicherheits-Themen anzugeben. Dabei konnten sie zwischen staatlich zwingender Regulierung, nichtverbindlicher Selbstregulierung (z.B. Guidelines oder Best Practices) oder gar keiner Form von Regulierung wählen. Die Ergebnisse (siehe Abbildung unten) zeigen eine allgemeine Neigung zur Regulierung, allerdings mit einigen bemerkenswerten Befunden. So gibt es hohe Zustimmung für zwingende staatliche Regulierung für Präventionsmassnahmen wie etwa bei der Risikoanalyse. Ein möglicher Grund für diese Präferenz könnte darin liegen, dass Befragte sich eine gewisse Hebelwirkung von staatlich zwingender Regulierung versprechen, die ihren Forderungen nach präventiven Massnahmen bei internen Budget-Diskussionen mehr Gewicht verleiht. Sind solche Massnahmen gesetzlich verbindlich, dann werden solche Diskussionen einfacher und es wird auch keine Markverzerrung innerhalb des regulierten Sektors geben – etwa, indem Trittbrettfahrer von der allgemeinen Schutzwirkung der Cybersicherheits-Investitionen anderer Unternehmen profitieren, ohne selbst investieren zu müssen.
image
Regulationsbedürfnisse: In welchen Bereichen soll es eine zwingende Regulierung geben, ob Selbstregulierung und wo gar keine Regulierung?

Geht es allerdings um Massnahmen, die während oder nach einem Zwischenfall relevant sind – Beispiele sind Informationsaustausch oder den Einsatz von so genannten Incident Response Teams – liegt eine klare Präferenz bei nichtverbindlichen Regulierungen, die den Akteuren mehr Spielraum lassen. Dies ist auch aus Sicht des Incident Response sinnvoll, da die Bedürfnisse und Anforderungen in den jeweiligen Sektoren stark variieren. So kann zum Beispiel eine Unterbrechung der Geschäftsaktivitäten durch das Ausschalten oder Isolieren der IT-Infrastruktur eine angemessene Massnahme sein, um einen etwaigen Datenabfluss zu stoppen. Anderenorts wird dagegen die Verfügbarkeit der Daten höher gewichtet als die Vertraulichkeit der Daten.
In einigen Bereichen wird auch keine Regulierung gewünscht. Beispielsweise gibt es eine starke Ablehnung von jeglicher Regulierung in Bereichen, die nichts mit der Abwehrbereitschaft zu tun haben, wie etwa die Kostenerstattung durch Cyber-Versicherungen. Unterschiedlich wird die Frage des "Hacking Back" angesehen – also die Möglichkeit von aktiven Gegenmassnahmen bei einem Angriff. Diese Erkenntnis spiegelt sich auch in den kontroversen Debatten zu diesem Thema wider.
Es ist ebenfalls bemerkenswert, dass im Rahmen der aktuellen Überarbeitung des ISG dem NCSC die Befugnis eingeräumt wird, personenbezogene Daten zu verarbeiten, sofern dies dem Zweck dient, Angriffe zu erkennen und abzuwehren. Aus demselben Grund soll es gemäss revidierten ISG auch kritischen Infrastrukturen gestattet sein, solche sensiblen Daten dem NCSC zu übermitteln. Wichtig ist, dass damit erstmals eine Rechtsgrundlage für einen solchen Informationsaustausch geschaffen wird – dieser aber weiterhin auf Freiwilligkeit beruht; d.h. das NCSC darf von kritischen Infrastrukturen solche Informationen nicht zwingend einfordern. Damit wird ein bewährtes Prinzip des Informationsaustausches – er soll freiwillig und auf Vertrauensbasis geschehen – beibehalten, der auch im internationalen Kontext gilt; beispielsweise, wenn staatliche Incident Response Teams (GovCERTs) Informationen austauschen.
Zusammenfassend lässt sich sagen, dass die Befragten zu einer stärkeren Regulierung bei der Verhinderung von Cybervorfällen tendierten, aber eine grössere regulatorische Flexibilität bei der Reaktion auf diese Vorfälle befürworteten.

Staat soll Souveränität von Organisationen stärken

Eine weitere Frage betrifft die Rolle des Staates in diversen Cybersicherheits-Fragen (siehe Abbildung unten). Hier zeigt sich, dass die grösste Zustimmung für eine staatliche Beteiligung in jenen Bereichen zu verzeichnen ist, die traditionell mit der Befugnis des Staates zur Schaffung und Durchsetzung von Gesetzen verbunden sind. Dazu gehören etwa die Durchführung von Untersuchungen nach einem Cyberangriff und die Umsetzung von Vorschriften sowie Compliance-Standards. Darüber hinaus wird, wenn auch in etwas geringerem Masse, eine staatliche Beteiligung bei Massnahmen zum Kapazitätsaufbau wie Sicherheitsaudits und der Reaktion auf Vorfälle für akzeptabel gehalten.
image
In welchen Bereichen ist eine Involvierung des Staates notwendig, erwünscht, akzeptabel oder inakzeptabel?
Die Akzeptanz staatlicher Eingriffe scheint dabei vom empfundenen Grad der Eingriffstiefe abzuhängen. Während "Aufklärung und Beratung" – also Massnahmen, die weder die bestehen Aktivitäten im Netzwerk kontollieren noch die organisatorischen Abläufe zwingend vorschreiben – in hohem Masse als akzeptabel angesehen werden, ist dies nicht der Fall bei weitaus intrusiveren Massnahmen wie "Prävention auf technischer Ebene" und "aktive Gegenmassnahmen". Für diese zwei letzteren Kategorien kann keine eindeutige Vorliebe aller Befragten festgestellt werden. Vielmehr scheinen die Präferenzen branchenabhängig zu sein. So bewerten Fachleute des Telekommunikationssektors die Akzeptanz der "Prävention auf technischer Ebene" deutlich niedriger als jene des staatlichen Sektors. Dies dürfte unter anderem mit dem Wunsch nach der Wahrung des Fernmeldegeheimnisses erklärt werden, welches bei der täglichen Arbeit von Telekommunikationsunternehmen eine viel entscheidendere Rolle spielt im Vergleich zu anderen Branchen. Interessant ist auch, dass kritische Infrastrukturen ohne eigenes Incident Response Team eine deutlich stärkere Neigung zur staatlichen Beteiligung an der Reaktion auf Vorfälle zeigten als Organisationen mit einem solchen Team.
Insgesamt lassen sich die Ergebnisse der Befragung so interpretieren, dass die Beteiligung des Staates weitgehend akzeptiert wird, wenn sie dazu dient, die Souveränität einer Organisation zu stärken, anstatt sie zu untergraben. Es zeigt sich aber auch, dass das richtige Gleichgewicht zwischen dem Wunsch nach Souveränität und dem Mehrwert eines staatlichen Engagements stark vom jeweiligen Kontext abhängt.
Welche Rolle soll das NCSC und damit das neu entstehende Bundesamt für Cybersicherheit bei Cybervorfällen haben? Und spielt es eine Rolle, dass das Bundesamt neu dem VBS unterstellt ist? Erfahren Sie im Teil 3 des Berichts weitere Ergebnisse einer nationalen Umfrage.

Über die Autoren

image
Melanie Knieps, CYRENZH, Universität Zürich (links), Markus Christen, Digital Society Initiative, Universität Zürich (rechts) und Reto Inversini, Technik und Informatik, Berner Fachhochschule (nicht im Bild).

Loading

Mehr zum Thema

image

Vogt am Freitag: Studie kommt nicht von studieren

Fast jeden Tag wollen Hersteller mit einer "Studie" indirekt nachweisen, wie relevant ihre Produkte oder Services sind. Cybersecurity und KI dominieren. Das ist rausgeworfenes Geld.

publiziert am 8.12.2023
image

Regierungen spionieren Bürgerinnen und Bürger mittels Push-Nachrichten aus

Ein US-Senator verlangt, dass Google und Apple es zumindest sagen dürfen, wenn Regierungen von ihnen Daten über Push-Nachrichten einfordern.

publiziert am 8.12.2023
image

Beim NCSC häufen sich die Kündigungen

Vor dem Übergang in ein Bundesamt für Cybersicherheit verlassen Security-Spezialisten die Behörde. Grund könnte auch die Neuausrichtung beim VBS sein.

publiziert am 7.12.2023
image

Windows 10: Bezahlte Security-Updates nach Supportende auch für Consumer

Für frühere Windows-Versionen gab es "Extended Support" nur für Unternehmen. Was der Consumer-Service für Windows 10 aber kosten wird, ist noch nicht bekannt.

publiziert am 7.12.2023