16.05.2011, 08:03 Uhr

Pragmatische Cyber-Abwehr für die Schweiz

Die Cyberdefense-Strategie des Bundes nimmt erste Formen an. An einer Podiumsdiskussion hat Kurt Nydegger, der vom Bundesrat beauftragt ist, eine solche zu formulieren, skizziert, wie die Strategie auszusehen hat.
Divisionär Kurt Nydegger präsentiert während des Security-Podiums in Schloss Au erste Vorschläge für eine Cyberdefense-Strategie des Bundes. (Bild: cw/jst)
Die Schweiz ist vor Cyberangriffen auf die Verwaltung nicht gefeit. Das hat die Attacke auf das EDA vor fast zwei Jahren eindrücklich gezeigt (Computerworld.ch berichtete damals). Der Vorfall ist auch ein regelrechter Weckruf gewesen, dass endlich etwas getan werden muss, um sowohl die Verwaltung als auch die kritischen Infrastrukturen unseres Landes besser zu schützen. Ein erstes Ergebnis war denn auch die Erkenntnis, dass die Schweiz eine Strategie für die Cyber-Abwehr braucht. Der Bundesrat hat deshalb Divisionär Kurt Nydegger damit betraut, eine solche auszuarbeiten (Computerworld.ch berichtete). Während des Security-Podiums, das dieser Tage im Schloss Au auf der gleichnamigen Halbinsel im Zürichsee stattgefunden hat, konnte Nydegger erste Ergebnisse seiner Arbeit präsentieren und in groben Zügen die künftige Strategie umreissen. In erster Linie will Nydegger einen pragmatischen Lösungsvorschlag für die Absicherung der kritischen Infrastruktur der Schweiz unterbreiten. «Es bringt nichts, wenn die Strategie gleich in eine Schublade wandert», meint er. Deshalb will er auch Bestehendes einbeziehen. «All die guten Sicherheitsprojekte sollen zusammengetragen, gebündelt und zentral gesteuert werden», heisst deshalb einer der Vorschläge. Als zweites wird Nydegger vorschlagen, eine Task Force zu bilden, «die im Ereignisfall sofort führt». Denn eines der Erkenntnisse aus dem EDA-Vorfall sei es, dass damals die Führung bei der Bekämpfung und Aufklärung zunächst versagt habe. Zwei Wochen habe man sich darum gestritten, wer für den Fall zuständig sei, berichtet Nydegger. Dies dürfe nicht mehr passieren. Laut Nydegger sind diese beiden Punkte eine Art Mindestlösung, von der ausgehend er weitere Varianten vorschlagen werde. «Diese werden auf einer Zeitachse eingezeichnet und mit Preisschildern versehen», sagt er. Besonders dann, wenn der Staat der Privatwirtschaft Vorschriften mache, müsse abgeklärt werden, wer die Kosten übernehme, und zwar bezüglich Geld und Ressourcen, schlägt er vor. Die Grundidee dabei sei, dass der Staat mit den Betreibern von kritischen Infrastrukturen wie Elektrizität, Transport und Telekommunikation aushandle, bis wie weit sie sich selbst schützen wollten und wieviel sie bereit seien, für zusätzliche Sicherheitsmassnahmen draufzulegen. «Uns schwebt dabei eine Art Zertifizierung von unabhängiger Seite vor, die bestätigt, dass die Betreiber einen bestimmten Level an Security erreicht haben», führt der Cyberdefense-Beauftragte des Bundes aus. Denn die Betreiber verlangten vom Bund, dass dieser endlich sage, was man von ihnen erwarte und dass man Regulatorien aufstelle, so Nydegger.

Turbine ausser Rand und Band

Wie gefährdet Infrastrukturen sind, etwa im Energiesektor, hatte zuvor Stephen Wolthusen, Professor an der University of London, in seiner Keynote eindrücklich gezeigt. Für ihn sind Leitsysteme, die etwa für die Steuerung eines Kraftwerks eingesetzt werden, durchaus angreifbar. «Heute sind alle Netze untereinander verbunden», meint er. «Und wenn sie es nicht sind, gibt es immer noch USB-Sticks, über die Malware eingeschleppt werden kann», ergänzt er. Was damit für Schäden entstehen könnten, illustrierte er schön anhand eines Vorfalls in einem Wasserkraftwerk in Sibirien im Jahr 2009. Ein Druckstoss in einer Turbine, der womöglich durch zu schnelles Schliessen von Leitschaufeln verursacht wurde, hat das Kraftwerk komplett zerstört. Denn die ganze, 900 Tonnen schwere Turbine wurde aus der Verankerung gerissen und «spazierte einmal durch die Anlage». Es sei reines Glück gewesen, dass der dahinter gelegene Staudamm nicht gebrochen sei, was eine riesige Katastrophe verursacht hätte. Theoretisch sei es möglich, durch Scada-Systeme (Supervisory Control And Data Acquisition) ein solches Ereignis herbeizuführen, warnt Wolthusen.



Das könnte Sie auch interessieren