Bund definiert Security-Standard von kritischen Infrastrukturen

Die Schweiz funktioniert nicht ohne Elektrizitätswerke, Spitäler, Transportunternehmen oder Trinkwasseraufbereitungen. Die IT-Systeme dieser kritischen Infrastrukturen werden täglich angegriffen. Nun erlässt der Bund einen Minimalstandard für Cybersicherheit.

Diesen hat das Bundesamt für Wirtschaftliche Landesversorgung (BWL) am Montag der Öffentlichkeit vorgestellt. Dafür wurden insgesamt 13 Branchen auf ihre Verwundbarkeit untersucht. Für jede Branche seien Massnahmen definiert worden, die die Sicherheit verbessern sollen, erklärte Werner Meier, Delegierter für wirtschaftliche Landesversorgung.

Zunächst geht es darum, einen Angriff überhaupt zu bemerken. Im Fall der Ruag zum Beispiel blieb eine Hacker-Attacke lange Zeit unbemerkt. Weitere Massnahmen betreffen den Schutz der Systeme. Dabei geht es etwa um die korrekte Verwaltung der Berechtigung für Fernzugriffe.

Der Standard befasst sich auch mit dem Erkennen eines Angreifers und seiner Mittel, der angemessenen Reaktion auf den Angriff und allenfalls nötigen Reparaturen und Wiederherstellungen. Zu letzterem gehört es unter anderem, die öffentliche Wahrnehmung einer angegriffenen Organisation oder Unternehmung zu verbessern.

Wie verwundbar die Betreiber kritischer Infrastrukturen heute sind, wollte Meier nicht sagen. Es handle sich nicht um einen einmal zu erreichenden Zustand, sondern um eine Daueraufgabe. Vorläufig ist der Standard freiwillig. Das BWL habe aber die Möglichkeit, diesen nötigenfalls verbindlich zu erklären, sagte Meier.