Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken vom 27. Juni 2012
2012-0699
563
Übersicht Informations- und Kommunikationsinfrastrukturen haben Wirtschaft, Staat und Gesellschaft grundlegend verändert. Die Nutzung des Cyber-Bereichs (z.B. Internet und mobile Netze) hat viele Vorteile und Chancen gebracht. Allerdings hat die digitale Vernetzung auch dazu geführt, dass Informations- und Kommunikationsinfrastrukturen für kriminelle, nachrichtendienstliche, machtpolitische oder terroristische Zwecke missbraucht oder ihr Funktionieren beeinträchtigt werden können.
Störungen, Manipulationen und gezielte Angriffe, die via elektronische Netzwerke ausgeführt werden, sind Risiken, die mit der Informationsgesellschaft einhergehen.
Es ist davon auszugehen, dass diese in Zukunft tendenziell zunehmen.
Da der Schutz der Informations- und Kommunikationsinfrastrukturen vor CyberRisiken im nationalen Interesse der Schweiz liegt, hat der Bundesrat die nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken in Auftrag gegeben. Der Bundesrat verfolgt die folgenden strategischen Ziele:
die frühzeitige Erkennung der Bedrohungen und Gefahren im CyberBereich;
die Erhöhung der Widerstandsfähigkeit von kritischen Infrastrukturen;
die wirksame Reduktion von Cyber-Risiken, insbesondere Cyber-Kriminalität, Cyber-Spionage und Cyber-Sabotage.
Mit der vorliegenden Strategie wird auch mehreren parlamentarischen Vorstössen, in denen verstärkte Massnahmen gegen Cyber-Risiken gefordert wurden, Rechnung getragen.
Wesentliche Rahmenbedingungen und Voraussetzungen für die Reduktion von Cyber-Risiken sind und bleiben das Handeln in Eigenverantwortung und die nationale Zusammenarbeit zwischen der Wirtschaft und den Behörden sowie die Kooperation mit dem Ausland. Mit einem permanenten gegenseitigen Informationsaustausch sollen Transparenz und Vertrauen geschaffen werden. Der Staat soll nur eingreifen, wenn öffentliche Interessen auf dem Spiel stehen oder er im Sinne der Subsidiarität handelt.
Der Umgang mit Cyber-Risiken ist als Teil eines integralen Geschäfts-, Produktions- oder Verwaltungsprozesses zu verstehen, in den alle Akteure von der administrativen- und technischen bis hin zur Führungsstufe einzubeziehen sind. Ein wirksamer Umgang mit Cyber-Risiken geht vom Grundsatz aus, dass sehr viele bestehende Aufgaben und Verantwortlichkeiten von Behörden, Wirtschaft und Bevölkerung eine Cyber-Ausprägung haben. Der nationalen Strategie liegt die Überlegung zugrunde, dass jede Organisationseinheit aus Politik, Wirtschaft und Gesellschaft die Verantwortung trägt, diese Cyber-Ausprägung zu erkennen, die damit einhergehenden Risiken im jeweiligen Prozess zu berücksichtigen und soweit machbar zu reduzieren. Die dezentralen Strukturen in Verwaltung und Wirtschaft sollen für diese Aufgaben gestärkt und bereits bestehende Ressourcen und Prozesse konsequent genutzt werden.
564
Die fortlaufende Zusammenführung von technischen und nicht technischen Informationen ist notwendig, um Cyber-Risiken umfassend zu analysieren und zu bewerten, damit die Erkenntnisse aus den Untersuchungen verbreitet werden können.
Der Krisenfall zeichnet sich durch einen gelungenen Angriff mit erheblichen Konsequenzen aus und verlangt von den involvierten Akteuren, inklusive der Strafverfolgung, ein spezifisches Krisenmanagement.
Vor diesem Hintergrund schlägt die vorliegende Strategie eine Reihe konkreter Massnahmen entlang von sieben Handlungsfeldern vor: Handlungsfeld 1
Massnahmen
Identifikation von Risiken durch Forschung
1
Handlungsfeld 2
Massnahmen
Risiko- und Verwundbarkeitsanalyse
2
Selbständige Überprüfung der Systeme Risikoanalysen zur Risikominimierung in Zusammenarbeit mit Behörden, den IKT-Leistungserbringern und Systemlieferanten
3
IKT-Infrastruktur auf systemische, organisatorische, und technische Verwundbarkeiten untersuchen
Neue Risiken im Zusammenhang mit der CyberProblematik sollen erforscht werden
Handlungsfeld 3
Massnahmen
Analyse der Bedrohungslage
4
Erstellung Lagebild und Lageentwicklung
5
Nachbearbeitung von Vorfällen für die Weiterentwicklung von Massnahmen
6
Fallübersicht und Koordination interkantonaler Fallkomplexe
Handlungsfeld 4
Massnahmen
Kompetenzbildung
7
Schaffung einer Übersicht über Kompetenzbildungsangebote und Identifikation von Lücken
8
Schliessung der Lücken bei Kompetenzbildungsangeboten und vermehrte Nutzung qualitativ hochstehender Angebote
565
Handlungsfeld 5
Massnahmen
Internationale Beziehungen und Initiativen
9
Aktive Teilnahme der Schweiz im Bereich der InternetGovernance
10 Kooperation auf der Ebene der internationalen Sicherheitspolitik 11 Koordination der Akteure bei der Beteiligung an Initiativen und Best-Practices im Bereich Sicherheits- und Sicherungsprozesse
Handlungsfeld 6
Massnahmen
Kontinuitäts- und Krisenmanagement
12 Stärkung und Verbesserung der Widerstandsfähigkeit (Resilienz) gegenüber Störungen und Ereignissen 13 Koordination der Aktivitäten in erster Linie mit den direkt betroffenen Akteuren und Unterstützung der Entscheidfindungsprozesse mit fachlicher Expertise 14 Aktive Massnahmen zur Identifikation der Täterschaft und allfälligen Beeinträchtigung deren Infrastruktur bei einer spezifischen Bedrohung 15 Erarbeitung eines Konzeptes für Führungsabläufe und -prozesse zur zeitgerechten Problemlösung
Handlungsfeld 7
Massnahmen
Rechtsgrundlagen
16 Überprüfung bestehender Rechtsgrundlagen aufgrund der Massnahmen und Umsetzungskonzepte und Priorisierung von unverzüglichen Anpassungen
Die in der Strategie bezeichneten verantwortlichen Bundesstellen sollen die Massnahmen im Rahmen ihres Grundauftrags bis Ende 2017 umsetzen. In diesen Umsetzungsprozess gilt es, die Partner aus Behörden, Wirtschaft und Gesellschaft einzubeziehen. Eine Koordinationsstelle überprüft dabei die Umsetzung der Massnahmen und den Bedarf nach weiteren Vorkehrungen zur Risikominimierung. Diese Koordinationsstelle soll in einer Bundesstelle eingerichtet werden.
566
Inhaltsverzeichnis Übersicht
564
1 Einleitung
568
2 Cyber-Risiken 2.1 Methoden 2.2 Akteure und Motive
572 572 574
3 Vorhandene Strukturen 3.1 Wirtschaft und KI-Betreiber 3.2 Bund 3.3 Kantone 3.4 Bevölkerung 3.5 Internationale Kooperation 3.6 Rechtliche Grundlagen 3.7 Fazit
576 576 579 586 588 588 589 591
4 Dispositiv für den Schutz vor Cyber-Risiken 4.1 Übergeordnete Ziele 4.2 Rahmenbedingungen und Voraussetzungen 4.3 Handlungsfelder und Massnahmen 4.3.1 Handlungsfeld 1: Forschung und Entwicklung 4.3.2 Handlungsfeld 2: Risiko- und Verwundbarkeitsanalyse 4.3.3 Handlungsfeld 3: Analyse der Bedrohungslage 4.3.4 Handlungsfeld 4: Kompetenzbildung 4.3.5 Handlungsfeld 5: Internationale Beziehungen und Initiativen 4.3.6 Handlungsfeld 6: Kontinuitäts- und Krisenmanagement 4.3.7 Handlungsfeld 7: Rechtliche Grundlagen 4.3.8 Koordinationsstelle zur Strategieumsetzung
593 593 594 596 597 598 599 601 602 604 607 608
567
Strategie 1
Einleitung
Die globale digitale Vernetzung hat ungeahnte Möglichkeiten geschaffen, im Guten wie im Schlechten. Staat, Wirtschaft und Gesellschaft machen sich Informationsund Kommunikationsinfrastrukturen und den Zugang zum Cyber-Bereich (Internet, mobile Netze und Anwendungen, E-Business, E-Government, computerbasierte Steuerungsprogramme) zunutze. Das heisst aber auch, dass die Anfälligkeit gegenüber Störungen, Manipulationen und Angriffen und die Abhängigkeit zugenommen haben. Die Möglichkeiten, die Informations- und Kommunikationsinfrastrukturen für kriminelle, nachrichtendienstliche, terroristische oder militärische Zwecke zu missbrauchen oder ihr Funktionieren zu beeinträchtigen, sind ebenso wie deren positive Nutzung praktisch unbegrenzt. Es ist davon auszugehen, dass der dahinter liegende Trend die zunehmende Vernetzung und damit die wachsende Komplexität der Informations- und Kommunikationsinfrastrukturen anhalten wird.
Das Funktionieren der Schweiz als Gesamtsystem (Staat, Wirtschaft, Verkehr, Energieversorgung, Kommunikation usw.) hängt von einer steigenden Zahl miteinander vernetzter Informations- und Kommunikationseinrichtungen ab (Rechner und Netzwerke). Diese Infrastruktur ist verwundbar. Flächendeckende oder langanhaltende Störungen und Angriffe können zu erheblichen Beeinträchtigungen der technischen, wirtschaftlichen und administrativen Leistungsfähigkeit der Schweiz führen.
Solche Angriffe können unterschiedliche Täterkreise und Motive haben: Einzeltäter, Aktivisten mit politischen Zielsetzungen, kriminelle Organisationen mit Betrugsoder Erpressungsabsichten, staatliche Spione oder Terroristen, die Staat und Gesellschaft stören und destabilisieren wollen. Informations- und Kommunikationsinfrastrukturen (IKT) sind für Angriffe nicht nur deshalb besonders attraktiv, weil sie viele Möglichkeiten für Missbrauch, Manipulation und Schädigung bieten, sondern auch weil sie sich anonym und mit wenig Aufwand nutzen lassen.
Der Schutz1 der Informations- und Kommunikationsinfrastrukturen vor solchen Störungen und Angriffen liegt im nationalen Interesse der Schweiz. Zwar wurden in den letzten Jahren Massnahmen getroffen, um die Risiken2 im Cyber-Bereich zu reduzieren; es hat sich aber gezeigt, dass die Massnahmen nicht für alle Fälle genügen. Weil mit einer weiteren Zunahme von Störungen und
Angriffen auf Informations- und Kommunikationsinfrastrukturen (und durch diese auf weitere Einrichtungen) zu rechnen ist, beauftragte der Bundesrat am 10. Dezember 2010 das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS), eine nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken auszuarbeiten. Diese Strategie soll aufzeigen, wie diese Risiken heute aussehen, wie die Schweiz dagegen gerüstet ist, wo die Mängel liegen und wie diese am wirksamsten und effizientesten 1
2
568
Darunter sind alle Massnahmen zum Schutz der Informations- und Kommunikationsinfrastrukturen gegen unbefugtes Eindringen und gegen Beeinträchtigung ihrer Funktionen zu verstehen, nicht aber der Kampf gegen die Verbreitung illegaler Inhalte, wie z.B. Kinderpornografie. Es geht um die technischen Aspekte, nicht aber um die inhaltliche Auseinandersetzung mit falschen und irreführenden Informationen und Propaganda.
Risiken definieren sich aus dem erwarteten Schadensausmass und der Eintrittswahrscheinlichkeit von Bedrohungen und Gefahren. Beide werden in der Strategie berücksichtigt.
zu beheben sind. Die vorliegende nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken ist das Resultat dieser Arbeiten3.
Cyber-Risiken sind vielfältig; Wirtschaft, Gesellschaft und der Staat sind ihnen ausgesetzt. Eine wirksame Strategie zum Schutz vor Cyber-Risiken muss deshalb einen umfassenden Ansatz haben und alle wesentlichen Akteure, staatliche und private, Betreiber kritischer Infrastrukturen (KI), Nutzer und Hersteller einbeziehen.
Die vorliegende Strategie zum Schutz der Schweiz vor Cyber-Risiken richtete sich in erster Linie an die Organe des Bundes und wurde in Zusammenarbeit mit Vertretern aller Departemente, verschiedener KI-Betreibern, den IKT-Leistungserbringern, Systemlieferanten und der Wirtschaft erarbeitet. Sie beschreibt die Rollen der verschiedenen Akteure und die Ausgestaltung der Zusammenarbeit, die für einen besseren Schutz vor Cyber-Risiken nötig ist und bildet so die Basis der intensiven Zusammenarbeit mit den Kantonen in der Umsetzung.
Sehr viele Dienstleistungen werden heute über elektronische Kanäle angeboten und genutzt. Damit wächst die Präsenz aller Akteure im Internet und deren Abhängigkeit von kritischen Infrastrukturen4. Die Wirtschaft ist somit stark durch Cyber-Risiken verwundbar, z.B. durch Angriffe mit Betrugs- bzw. Bereicherungsabsichten oder Wirtschaftsspionage. Der Einbezug der Wirtschaft, insbesondere der KI-Betreiber, der IKT-Leistungserbringer und Systemlieferanten in eine Strategie zum Schutz vor Cyber-Risiken ist deshalb essenziell.
3
4
Cyber-Angriffe auf kritische Infrastrukturen können besonders gravierende Folgen haben, weil sie lebenswichtige Funktionen beeinträchtigen oder fatale Kettenreaktionen auslösen können. Den (oft privaten) KI-Betreibern kommt deshalb eine besondere Bedeutung zu, als Erbringer von wichtigen Leistungen mit übergeordneter, sicherheitsrelevanter Bedeutung.
Staatliche Behörden und Verwaltungen aller Ebenen (Bund, Kantone, Gemeinden) können ebenfalls Opfer von Cyber-Angriffen sein. Sie können in ihrer Funktion als Legislative, Exekutive oder Judikative beeinträchtigt werden, aber auch als Betreiber und Nutzer von kritischen Infrastrukturen oder von Forschungsinstituten.
Cyber-Risiken betreffen auch die Bevölkerung mit allen individuellen Nutzern privater und beruflicher Informations- und Kommunikationssysteme sowie kritischer Infrastrukturen. Eine wirksame Strategie gegen CyberRisiken muss auch dem individuellen Verhalten und dessen Risiken Rechnung tragen.
Die Strategie trägt diversen parlamentarischen Vorstössen Rechnung, in denen verstärkte Massnahmen gegen Cyber-Risiken gefordert wurden: 08.3100 Motion Burkhalter: Nationale Strategie für die Bekämpfung der Internetkriminalität; 08.3101 Postulat Frick: Die Schweiz wirksamer gegen Cybercrime schützen; 10.3136 Postulat Recordon: Analyse der Bedrohung durch Cyberwar; 10.3625 Motion SKI-NR: Massnahmen gegen Cyberwar; 10.3910 Postulat FDP-Liberale: Leit- und Koordinationsstelle im Bereich der Cyber-Bedrohung; 10.4102 Postulat Darbellay: Konzept zum Schutz der digitalen Infrastruktur der Schweiz.
Kritische Infrastrukturen sind Infrastrukturen, deren Störung, Ausfall oder Zerstörung gravierende Auswirkungen auf die Gesellschaft, die Wirtschaft und den Staat haben.
Dazu gehören zum Beispiel Steuerungs- und Schaltanlagen der Energieversorgung oder der Telekommunikation. Eine Inventarisierung der kritischen Infrastrukturen wird durch die nationale Strategie zum Schutz kritischer Infrastrukturen vorgenommen (BBl 2012 7715).
569
In erster Linie sind die einzelnen Akteure selbst für die Aufrechterhaltung und Optimierung von Schutzmassnahmen zur Minimierung von Cyber-Risiken verantwortlich. Dies liegt in der Natur der Sache: Cyber-Risiken sind eine Ausprägung bestehender Aufgaben, Verantwortungen und Prozesse. Es ist somit im Eigeninteresse der Anwender, massgeschneiderte Lösungen für bereichs- oder branchenspezifische Probleme zu erarbeiten und umzusetzen. Dieser Ansatz entspricht auch der für die Schweiz charakteristischen dezentralen Wirtschafts- und Staatsstruktur. Der Staat erbringt subsidiär Leistungen zum Schutz vor Cyber-Risiken, z.B. durch Informationsaustausch und nachrichtendienstliche Erkenntnisse. Wo eigenverantwortliches, bereichsspezifisches Handeln nicht wirksam, effizient oder praktikabel ist, soll der Staat subsidiär zusätzliche Leistungen für den Schutz vor Cyber-Risiken erbringen und die anderen Akteure unterstützen. Die vorliegende Strategie soll aufzeigen, wo die Schwachstellen beim Umgang mit Cyber-Risiken gegenwärtig liegen. Sie beschreibt, wo der Staat und die anderen Akteure Leistungen erbringen sollen, um das Schutzniveau in der Schweiz zu erhöhen.
Dabei gilt es zu beachten, dass das Bemühen um Schutz mit anderen und ebenso legitimen Interessen kollidieren kann. Eine möglichst vollständige Informationsgrundlage, welche auf technisch-operativen wie auch strategisch-politischen Erkenntnissen beruht, muss geschaffen werden, um entsprechend informierte Entscheide treffen zu können: So können sich Schutz- und Wirtschaftlichkeitsüberlegungen dort in die Quere kommen, wo der Aufbau von Redundanzen und Überkapazitäten bei Infrastrukturen zwar dem Schutz zugutekäme, ökonomischen Überlegungen aber zuwiderläuft. Kommt hinzu, dass die wirtschaftliche Liberalisierung diesbezüglich die Ausgangslage insofern verändert hat, als eine zunehmende Zahl KI-Betreiber (z.B. Energie, Telekommunikation) privatisiert oder zumindest teilprivatisiert und damit primär marktwirtschaftlicher Logik verpflichtet sind. Ein zweiter Bereich, wo sich Interessenkonflikte ergeben können, sind die Persönlichkeitsrechte: Bestrebungen, die Schutzmechanismen im Cyber-Bereich zu verbessern (z.B. durch stärkere Kontrollen oder Überwachung), müssen gegenüber dem Schutz der Privatsphäre abgewogen werden. Es ist auch Aufgabe der vorliegenden
Strategie, diesen Güterabwägungen Beachtung zu schenken und aufzuzeigen, wie Massnahmen umsichtig vorgenommen werden können.
Ist der Krisenfall eingetreten, der sich durch einen gelungenen Angriff oder eine nachhaltige Störung mit gravierenden Konsequenzen auszeichnet, bedingt dies ein besonderes Krisenmanagement. Im Vordergrund steht ein Zusammenspiel von Handlungen innerhalb der bestehenden Strukturen, welche unter Berücksichtigung von politisch geführten Massnahmen auf Landesebene wie auch der Gesetzmässigkeiten der Strafverfolgung zu erfolgen haben. Dabei sind die Ursachenherleitung und die Verbesserung der Widerstandsfähigkeit der betroffenen Infrastruktur ebenfalls Teil der Bewältigung. Dazu werden die KI-Betreiber sowie die relevanten IKTLeistungserbringer und Systemlieferanten auf der Basis von Vereinbarungen in diesen Prozess mit einbezogen.
Die Strategie zum Schutz der Schweiz vor Cyber-Risiken hat Schnittstellen zu anderen Projekten, die sich auf Stufe Bund ebenfalls mit Sicherheitsfragen befassen und thematisch verwandt sind. Diese Arbeiten müssen bei der Umsetzung eng aufeinander abgestimmt sein. Die wichtigsten dieser Projekte sind:
570
Strategie des Bundesrates für eine Informationsgesellschaft in der Schweiz Die Strategie des Bundesrates für eine Informationsgesellschaft in der Schweiz wurde am 9. März 2012 vom Bundesrat verabschiedet. «Sicherheit und Vertrauen» ist ein Handlungsschwerpunkt des Bundes. Die Ziele, die damit verfolgt werden, sind der Ausbau der Sicherheitskompetenzen, der Schutz vor Internetkriminalität und die Erhöhung der IKT- und KI-Resilienz. Das dazugehörige Konzept, das bereits 2010 vom Bundesrat gutgeheissen wurde, sieht Massnahmen vor, um die Bevölkerung und die kleinen und mittleren Unternehmen für einen sicherheitsbewussten und rechtskonformen Umgang mit den IKT zu sensibilisieren.
Nationale Strategie zum Schutz kritischer Infrastrukturen Das Bundesamt für Bevölkerungsschutz (BABS) wurde vom Bundesrat mit der Koordination der Arbeiten im Bereich des Schutzes kritischer Infrastrukturen (SKI) beauftragt. Gestützt auf die SKI-Grundstrategie des Bundesrates vom 18. Mai 20095 erstellt das BABS unter anderem ein Verzeichnis der kritischen Infrastrukturen der Schweiz (SKI-Inventar), wobei auch kritische IKT-Infrastrukturen identifiziert werden. Weiter wird ein Leitfaden zur Verbesserung des umfassenden (integralen) KI-Schutzes erarbeitet. Die SKI-Grundstrategie wird derzeit zu einer nationalen SKI-Strategie erweitert und dem Bundesrat gemeinsam mit der vorliegenden Strategie vorgelegt.
Gesetzgebung über die Informationssicherheit im Bund Der Bundesrat hat das VBS mit Beschluss vom 12. Mai 2010 beauftragt, formellgesetzliche Grundlagen für den Informationsschutz und die Informationssicherheit zu erarbeiten, um die Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität von Daten und Informationen zu schützen und zu gewährleisten. Diese neue Gesetzgebung soll in erster Linie die Grundsätze der Informationssicherheit für alle Bundesbehörden festlegen und die Verantwortlichkeiten einheitlich regeln. Damit werden Vorgaben für den Umgang mit schutzwürdigen Daten und Informationen gemacht.
Die Vernehmlassung ist für Ende 2012 geplant.
Bericht des Bundesrates in Erfüllung des Postulats Malama (Innere Sicherheit. Klärung der Kompetenzen) Mit dem Postulat Malama wurde der Bundesrat beauftragt, in einem Bericht die verfassungsrechtliche Kompetenzordnung und die tatsächliche Aufgabenverteilung zwischen Bund und
Kantonen im Bereich der inneren Sicherheit zu klären. Dabei wurde geprüft, ob die bestehende Kompetenzaufteilung zweckmässig ist und den heutigen Herausforderungen genügt. Der Bundesrat hat den Bericht am 2. März 20126 verabschiedet.
5
6
Der Text der Grundstrategie kann unter folgender Internetadresse abgerufen werden: www.bevoelkerungsschutz.admin.ch > Themen > Schutz kritischer Infrastrukturen > SKI-Grundstrategie BBl 2012 4459
571
2
Cyber-Risiken
Cyber-Risiken sind real und vielfältig. Auch wenn es keine genauen Angaben, sondern nur grobe Schätzungen darüber gibt, wie gross sie sind, mit welcher Häufigkeit Cyber-Angriffe oder technische Störungen vorkommen und wie gross der effektive Schaden oder das Schadenspotenzial tatsächlich ist, ist die Tendenz der letzten Jahre unbestritten und eindeutig: Vorfälle, bei denen Staaten, Unternehmen und Individuen via Datennetzwerke angegriffen und geschädigt werden, nehmen zu, in Anzahl und Qualität.
Dies ist eine Folge der zunehmenden Vernetzung der Informations- und Kommunikationsinfrastrukturen, von deren gegenseitigen Abhängigkeiten und der Unübersichtlichkeit der unterstützenden Prozesse. Mit der Komplexität dieser Systeme steigen auch deren Fehler- und Störanfälligkeit und die potenziellen Angriffsmöglichkeiten. Es muss damit gerechnet werden, dass Cyber-Angriffe professioneller und gefährlicher werden. Neben den bekannten Fällen wird eine grosse Anzahl nicht gemeldeter oder bisher nicht entdeckter Angriffe vermutet, wobei die hohe Dunkelziffer auch mit dem befürchteten Reputationsverlust der angegriffenen Unternehmen zu tun hat.
2.1
Methoden
Cyber-Angriffe werden auf Computer, Netzwerke und Daten geführt. Dabei soll die Integrität der Daten oder die Funktionsweise der Infrastruktur gestört sowie deren Verfügbarkeit eingeschränkt oder unterbrochen werden. Es geht unter anderem darum, die Vertraulichkeit oder die Authentizität der Informationen zu beeinträchtigen, indem Daten unbefugt gelesen, gelöscht oder verändert, Verbindungen oder Server-Dienstleistungen überlastet, Informationskanäle ausspioniert oder Überwachungs- oder Abwicklungssysteme gezielt manipuliert werden.
Die Werkzeuge, die dafür von Cyber-Angreifern angewendet werden, sind vielfältig.
Es können Schadprogramme gezielt und ohne Wissen des Anwenders auf fremden Computern installiert werden, um die Vertraulichkeit, Integrität und Authentizität von Daten zu beeinträchtigen. Fehlerhafte Funktionen von ungenügend geschützten und gewarteten Betriebssystemen und Applikationen (z.B. Internetbrowser oder Fachanwendungen) dienen den Angreifern, die Kontrolle über die betroffenen Computer zu übernehmen. Damit lassen sich diese Computer über das Internet fernsteuern, und es können zusätzliche Schadprogramme auf den Systemen installiert werden, die wiederum fähig sind, auf die gespeicherten Daten zuzugreifen, diese an die Angreifer zu übermitteln, sie zu verändern oder zu löschen. Es können Daten, wie Tastatureingaben der Benutzer, aufgezeichnet und an die Angreifer übermittelt oder ungewollte Zugriffe auf unsichere Webseiten veranlasst werden.
Auf diese Weise können dem Benutzer unter anderem Kreditkartennummern, Zugriffsdaten auf E-Banking-Dienste oder andere vertrauliche Daten entwendet werden. Angreifer nützen aber auch organisatorische Schwächen von Sicherheitskonzepten in Unternehmen aus, um in geschützte Systeme einzudringen. Über Prozesse der Datenverarbeitung und unsicher konzipierte oder mangelhaft gewartete Systeme (z.B. das Belassen des Auslieferungspasswortes) gelingt es den Tätern oft, in die entsprechenden Systeme einzudringen.
572
Manipulierte Computer werden von Angreifern zudem verwendet, um koordinierte und weit verteilte Massenanfragen auf Serverdienste auszuführen. Damit wird die Verfügbarkeit von Daten gestört: Solche Angriffe werden Distributed-Denial-ofService-Angriffe genannt.
In vielen Fällen kommen Methoden zur Anwendung, wie sie bei der Spionage verwendet werden, um die Vertraulichkeit von Daten zu verletzen (z.B. Ausnützung menschlicher Schwächen, Diebstahl oder physischer Einbruch). Dabei werden Benutzer von Computersystemen dazu gebracht, Auskünfte über die Sicherheitsmassnahmen zu geben, es werden Datenträger gestohlen oder Infrastrukturen an Ort und Stelle durch Manipulation an der Konfiguration verändert. Es können auch Methoden zur Anwendung kommen, wie sie bei der Sabotage verwendet werden, um gezielt industrielle Steuerungsanlagen7 anzugreifen, indem eigens dazu entwickelte Schadprogramme eingesetzt werden.
Angreifer geniessen mehrere Vorteile im Cyber-Bereich, um sich und ihre Angriffe vor einer (frühzeitigen) Entdeckung und (erfolgreichen) Strafverfolgung zu bewahren: Anonymität, geografische Distanz, rechtliche Hindernisse, das Verwischen von Spuren durch Fälschung von technischen Daten und die zunehmend technische Komplexität der Angriffsmethoden. Ausgehend von den festgestellten Angriffsmethoden und Werkzeugen kann oftmals nicht eindeutig auf die Angreifer und deren Motive zurückgeschlossen werden. Allen Angreifern stehen dieselben Methoden und Werkzeuge zur Verfügung, wobei diese gleichzeitig unterschiedliche Zwecke erfüllen und anderen Auftraggebern dienen können.
Die häufigsten Cyber-Angriffe können von den Angreifern relativ einfach durchgeführt werden, weil die dazu benötigten Mittel und technischen Kenntnisse oft einfach und günstig erwerbbar sind. Beim Grossteil der Angriffe handelt es sich um nicht koordinierte Vandalenakte, Spionage und betrügerische Handlungen im Internet, die in der Regel nur begrenzten Schaden anrichten (z.B. Reputationsschaden) und relativ einfach zu beheben sind. Der Schutz vor solchen Angriffen ist zwar wichtig, die vorliegende Strategie richtet ihr Augenmerk aber besonders auf Angriffe mit grösserem Schadenspotenzial, welche die Handlungsfähigkeit von Wirtschaft, Staat und Gesellschaft direkt oder indirekt stark beeinträchtigen können.
Grössere Schäden können
auch mit spezifisch ausgerichteten Angriffen auf besonders geschützte Ziele angerichtet werden. Solche Angriffe bedürfen eines massiv höheren Aufwandes.
Ein absoluter Schutz vor Cyber-Angriffen ist realistischerweise nicht zu erreichen, weshalb eine funktionierende Zusammenarbeit von reaktiven und präventiven Fähigkeiten im Vordergrund stehen, die sich an einem risikominimierenden Ansatz orientieren und die Schadensbegrenzung und Wiederherstellung der Ausgangslage zum Ziel haben.
7
International wird von sogenannten SCADA-Systemen gesprochen (Supervisory Control and Data Acquisition). Diese IKT-Systeme dienen der Überwachung und Steuerung technischer Prozesse.
573
2.2
Akteure und Motive
Als Täter kommen Einzelpersonen, Gruppen und Staaten in Frage. Sie unterscheiden sich erheblich in ihren Absichten sowie technischen und finanziellen Mitteln.
Staatliche oder staatlich finanzierte Akteure haben in der Regel grössere finanzielle, technische und personelle Mittel und sind besser organisiert, womit ihnen ein relativ hohes Schadenspotenzial zukommt. Sie beabsichtigen mit ihren Angriffen, den Staat, einzelne Behörden, die Armee, die Wirtschaft oder Forschungseinrichtungen auszuspionieren, zu erpressen, zu kompromittieren oder auf andere Weise gegen nationale oder wirtschaftliche Interessen vorzugehen, um machtpolitische und wirtschaftliche Interessen zu verfolgen. Gefährdet sind auch ausländische Unternehmen, Institutionen und Personen in der Schweiz.
Im Oktober 2009 wurde beim Eidgenössischen Departement für auswärtige Angelegenheiten ein Schadprogramm entdeckt, das Spionageaktivitäten ausführte. Es gelangte via E-Mail in das Netzwerk und blieb lange unentdeckt. Auf ähnliche Weise wurden in den Jahren zuvor die Rüstungsunternehmen RUAG und Mowag angegriffen. Im Juni 2010 wurde ein Schadprogramm (Stuxnet) entdeckt, das mutmasslich dazu entwickelt worden war, iranische Urananreicherungsanlagen zu beschädigen, indem ein Softwarefehler in die Steuerungssysteme (SCADA) eingefügt wurde. Wegen der technischen Komplexität wird angenommen, dass nur staatliche Urheber für diesen Angriff in Frage kommen.
Ähnlich bedrohlich werden Akteure der organisierten Kriminalität eingeschätzt, weil ihnen meistens auch professionelle Organisationen, grosse Geldmittel und spezifische Fähigkeiten zur Verfügung stehen. Ihre Bereicherungsabsichten können dazu führen, dass bei massenhaften, dauernden und organisierten Cyber-Angriffen auf Wirtschaft (z.B. Finanzwesen) und Individuen erhebliche volkswirtschaftliche Schäden entstehen und die Glaubwürdigkeit des Rechtsstaates in Frage gestellt wird.
Seit Jahren wird unter anderem der Trojaner8 ZeuS gegen Benutzer von OnlineBanking eingesetzt. Das Schadprogramm wird über gefälschte oder manipulierte Webseiten auf die Informatikinfrastrukturen von Privatpersonen eingeschleust. Die Angreifer können anschliessend die Verbindung zu TelebankingDiensten kapern und damit Geld von Konten abzweigen.
An Bedeutung gewinnen in jüngster Zeit Angriffe auf Webseiten des öffentlichen
und privaten Sektors durch sogenannte «Hacktivisten». Diese nichtstaatlichen, einzeln oder lose organisierten, unter Umständen aber massenhaft agierenden Akteure verfügen über gute technische Fähigkeiten. Das Schadenspotenzial massenhafter Angriffe aus diesen Kreisen ist mittel bis hoch einzuschätzen. «Hacktivisten» geht es darum, Dienstleistungen zu unterbrechen, finanzielle Schäden zu verursachen und rufschädigend zu wirken, um öffentliche Aufmerksamkeit für ihre Anliegen zu erlangen.
8
574
Software mit bösartigen Funktionen (auch: Malware oder Malicious Software genannt).
Im Dezember 2010 rief die Hacker-Gruppe «Anonymous» zu einem Angriff auf PostFinance auf. Dadurch wurden die Internet-Dienstleistungen für einen ganzen Tag unterbrochen. Auslöser war die Schliessung des Postcheck-Kontos von Julian Assange, dem Gründer von WikiLeaks. Russische Aktivisten griffen im Jahr 2007 wegen der Versetzung eines sowjetischen Militärdenkmals in Tallinn estnische Informations- und Kommunikationsinfrastrukturen massiv an. Das E-Government-Angebot und die Internet-Dienste zahlreicher Firmen konnten über mehrere Tage nicht mehr genutzt werden. Zudem wurden Webseiten von Regierungsstellen und Unternehmen mit pro-russischen Parolen verunstaltet.
Terroristen nutzen den Cyber-Bereich, um Propaganda zu streuen, Anhänger zu radikalisieren, Mitglieder zu rekrutieren und auszubilden, Geldmittel zu beschaffen, Aktionen zu planen und zu kommunizieren. Bislang steht die Nutzung der Informations- und Kommunikationsinfrastruktur im Vordergrund, nicht aber der Angriff auf diese: Terroristen zielen nach wie vor hauptsächlich darauf ab, auf konventionellen Wegen schwere physische Attacken gegen Leib und Leben sowie Infrastrukturen zu verüben. Terroristisch motivierte Cyber-Angriffe mit hohen Folgeschäden physischer Art erscheinen aus heutiger Sicht wenig wahrscheinlich. Es kann allerdings nicht ausgeschlossen werden, dass Terroristen in Zukunft versuchen könnten, CyberAngriffe gegen kritische Infrastrukturen eines Landes zu lancieren. Auch wenn die Schweiz dabei kein direktes Angriffsziel wäre, könnten die grenzüberschreitenden Auswirkungen (z.B. der Ausfall der Stromversorgung oder Störungen des Finanzmarktes) die Schweiz treffen.
Bis heute gibt es kein konkretes Beispiel für Terroranschläge via CyberAngriffe. Allerdings werden Internetauftritte von Terrororganisationen bzw. dem Terrorismus nahestehenden Organisationen laufend auf Gewaltaufrufe und Hinweise zu bevorstehenden Anschlägen überwacht (z.B. dschihadistische Webseiten).
Im Übrigen können auch unvorhersehbare Ereignisse oder Unfälle wie Systemausfälle durch vorschnelle Abnutzung, Überbeanspruchung, Fehlkonstruktion, mangelhafte Wartung oder Folgen von Naturereignissen Ausfälle oder Störungen der Infrastruktur mit ähnlich gravierenden Auswirkungen verursachen.
575
3
Vorhandene Strukturen
Nachfolgend wird dargelegt, über welche Strukturen die Schweiz zur Reduktion von Cyber-Risiken verfügt, und welche Rolle den einzelnen Akteuren zukommt.
3.1
Wirtschaft und KI-Betreiber
Betroffene9 Der Wirtschaftsstandort Schweiz ist von einem starken Dienstleistungssektor geprägt. Handelsbeziehungen und andere Geschäftstätigkeiten basieren über die ganze Wertschöpfungskette auf Informations- und Kommunikationsinfrastrukturen.
Daten werden auf firmeninternen und -externen Computern gespeichert und verarbeitet. Die Kommunikation und der Zahlungsverkehr basieren auf Internet-Dienstleistungen (z.B. E-Mail, Internet-Telefonie, E-Banking und Börsenhandel). Verträge werden vermehrt auf elektronischem Weg abgeschlossen (Internet-Handel, OffertVerfahren usw.). Dies veranschaulicht die Abhängigkeit unserer Wirtschaft vom Funktionieren der von ihr genutzten IKT und weiterer kritischer Infrastrukturen, wie beispielsweise der Stromversorgung. Damit kommt dem Schutz vor Cyber-Risiken für den Wirtschaftsstandort Schweiz nationale Bedeutung zu.
Die kritischen Infrastrukturen stellen die Verfügbarkeit von zentralen Gütern und Dienstleistungen sicher. Grossflächige Störungen oder Ausfälle solcher Infrastrukturen hätten schwerwiegende Auswirkungen auf das Funktionieren von Staat, Wirtschaft und Gesellschaft. Der KI-Schutz auch gegenüber Cyber-Risiken ist deshalb wichtig. Die KI-Betreiber dürfen die Risiken nicht nur nach rein ökonomischen Prinzipien handhaben, sondern müssen darüber hinausgehende Anstrengungen zur Minimierung der Risiken unternehmen. Sie sind deshalb bereits heute teilweise besonderen Regeln unterworfen; konkrete und verbindliche Vorgaben bezüglich Schutzstandards im Bereich der eingesetzten IKT fehlen aber in der Regel. In Abhängigkeit von der Kritikalität und der Verletzlichkeit einer Infrastruktur sowie der Bedrohungslage sollten die Vorgaben für Sicherheitsstandards und für weitere risikominimierende Massnahmen umfassender und genauer im Verbund mit den zuständigen behördlichen Stellen geregelt werden.
Hersteller und Lieferanten von IKT-Produkten und -Dienstleistungen tragen eine grosse Verantwortung für die Sicherheit ihrer Produkte und damit auch für die Cyber-Sicherheit ihrer Kunden.
Die Akteure der Wirtschaft handeln grösstenteils in eigener Verantwortung und nach eigenem Ermessen. Um einen Überblick zu erhalten, wurden für die Erarbeitung der Strategie ausgewählte Unternehmen zu ihren derzeitigen Einschätzungen, Massnahmen und Schwierigkeiten sowie Zukunftsperspektiven bezüglich Cyber-Sicherheit befragt.
9
576
Das VBS hat Vertreter der Wirtschaft und KI-Betreiber (inkl. Dachorganisationen und Verbände) befragt, welche Massnahmen sie für die Cyber-Sicherheit ergreifen beziehungsweise bereits ergriffen haben, wo die Mängel und Schwierigkeiten liegen und welche Faktoren ihre Schutzvorkehrungen beeinflussen (z.B. finanzielle Überlegungen).
Die Befragungen haben insgesamt ein einheitliches Bild ergeben.
Wahrnehmung des Problems Unbestritten ist, dass Cyber-Risiken für Unternehmen ein Thema sind. Die Einschätzungen der Risiken und die getroffenen Massnahmen unterscheiden sich aber stark voneinander, zwischen den Wirtschaftssektoren, aber auch innerhalb von Sektoren und Branchen sowie innerhalb der Unternehmen. Eine einfache sektorenspezifische Einteilung der Problemwahrnehmung ist deshalb nicht möglich.
Es gibt Unternehmen mit hoher Problemwahrnehmung. Dazu zählen mehrheitlich grosse Firmen, die über viel Kapital, Personal, Infrastruktur und spezifisches Knowhow (z.B. Forensik, Risiko- und Krisenmanagement, Computer Emergency Response Teams) verfügen. Diese Unternehmen sind in den meisten Fällen international tätig und gut vernetzt. Auch Unternehmen, die hauptsächlich in Sicherheitsbereichen tätig sind, (z.B. die Rüstungsindustrie), haben ein erhöhtes Schutzbedürfnis und sind mehrheitlich in der Lage, unkoordinierte Cyber-Angriffe, denen die Schweiz täglich ausgesetzt ist, selbstständig abzuwehren.
Zu den Akteuren, bei denen die Problemwahrnehmung ebenfalls hoch ist, gehören die KI-Betreiber. Sie erwarten gemäss Umfrage, dass die Vorgaben für Sicherheitsstandards gemeinsam mit den Aufsichtsbehörden umfassender und genauer festgelegt werden, in Abhängigkeit von der Kritikalität und Verletzlichkeit einer Infrastruktur.
Die grösste Gruppe bilden kleine und mittlere Unternehmen mit einer durchschnittlichen Problemwahrnehmung. Diese verwenden meistens kommerziell erhältliche Sicherheitsinfrastrukturen und -konzepte (z.B. Firewalls, Antivirenprogramme). Ihre Fähigkeit zur Verbesserung der Schutzvorkehrungen im Cyber-Bereich ist primär durch die finanziellen Mittel begrenzt.
Eine weitere Gruppe bilden Unternehmen, die eine tiefe Problemwahrnehmung haben. Für Schutzmassnahmen gegenüber Cyber-Risiken fehlen die Ressourcen oder das Verständnis für deren Notwendigkeit.
Massnahmen Die wenigsten der befragten Akteure aus der Wirtschaft können einen gezielten Cyber-Angriff hoher Intensität (in Bezug auf Gleichzeitigkeit, Komplexität, Schadenspotenzial und Dauer) abwehren.
Viele Unternehmen kennen Sicherheitsstandards (z.B. ISO 2700x, NERC) und wenden diese an. Auch sind technische und organisatorische Vorkehrungen vorhanden (z.B. Betrieb von autonomen Systemen, Einsatz von Sicherheitsbeauftragten).
Weiter werden Massnahmen zur Verbesserung des Sicherheitsbewusstseins der Mitarbeitenden ergriffen; oft werden dabei aber die Entscheidungsträger vernachlässigt. Die Massnahmen tragen dazu bei, dass betriebsinterne Schwachstellen identifiziert und Schutzmassnahmen kontinuierlich und langfristig verbessert werden. Die grosse Masse der KMU tut aber wenig für ihre Sicherheit. Die Inkaufnahme von Risiken ist oft durch rein ökonomische Überlegungen bestimmt. Cyber-Risiken sind ein integraler Bestandteil von gesamtheitlichen Unternehmensprozessen und können folglich nicht isoliert (voneinander) oder nur auf technischer Ebene angegangen werden. Kommt hinzu, dass die Informationsgrundlagen zur Entscheidfindung häufig lückenhaft sind und cyber-spezifische Angaben marginal / am Rande vorkommen. Um ein möglichst lückenloses und kein wettbewerbsverzerrendes Schutzniveau zu erreichen, erwarten Unternehmen und KI-Betreiber, dass Vorgaben und
577
Normen einheitlicher und in Zusammenarbeit aller Betroffenen und Verantwortlichen erarbeitet und umgesetzt werden.
Die Optimierung des Informationsaustausches zwischen den Akteuren der Wirtschaft, insbesondere den KI-Betreibern, den IKT-Leistungserbringern, Systemlieferanten und den Behörden ist für die Problemlösung und Schadensminimierung entscheidend. Bislang wird aber anscheinend wenig über die Firmengrenzen hinaus (inkl. Behörden) zusammengearbeitet. Die grossen Wirtschaftsverbände haben sich bislang mit dem Thema Cyber-Sicherheit und ihrer diesbezüglichen Rolle zu wenig befasst. Gemäss Befragung besteht das Bedürfnis, dass insbesondere zum Austausch von Lageinformationen und Massnahmen zum Krisenmanagement Zusammenarbeitsformen zwischen Wirtschaft und Behörden weiterentwickelt und ausgebaut werden10. Oft werden festgestellte Cyber-Angriffe aber verschwiegen; damit wird anderen potenziell Betroffenen eine rechtzeitige Warnung vorenthalten. Die befragten Unternehmen und KI-Betreiber fordern Zusammenarbeitsformen, die mehrheitlich auf Freiwilligkeit basieren. Die Eigenverantwortung bleibt zentral; Zusammenarbeit soll aber dazu beitragen, Lücken gemeinsam zu schliessen und lagerelevante Informationen zur Unterstützung des eigenen Risiko-Managements zu erhalten.
In der Zusammenarbeit zwischen den KI-Betreibern, den IKT-Leistungserbringern, Systemlieferanten und dem Bund zur Reduzierung von Cyber-Risiken wurden in den letzten Jahren Fortschritte erzielt: Bei der langfristigen strategischen Planung, Risikoanalyse und dem Kontinuitätsmanagement findet eine Zusammenarbeit statt, in erster Linie mit dem Bundesamt für wirtschaftliche Landesversorgung, den Kantonen und Teilen der kritischen Infrastrukturen, sowie den IKT-Leistungserbringern und Systemlieferanten. Überdies besteht zwischen der Melde- und Analysestelle Informationssicherung (MELANI) des Bundes, den Kantonen und der Privatwirtschaft eine funktionierende Public Private Partnership (PPP), wobei MELANI die KI-Betreiber der Schweiz in ihrem Informationssicherungsprozess unterstützt und den Informationsaustausch zu Cyber-Angriffen unter den Unternehmen fördert. Weil der Grundauftrag von MELANI mit den bestehenden personellen Ressourcen nur eingeschränkt wahrgenommen werden kann, bedarf es einer prioritären Behandlung der Frage, inwiefern die
künftigen und aufwendigeren Unterstützungsbedürfnisse der Infrastrukturbetreiber über MELANI abgedeckt werden sollen und wie sich dies im Hinblick auf die Ressourcen auswirkt.
Knappe Gewinnmargen und starke internationale Konkurrenz erlauben es nicht, schärfere Sicherheitsanforderungen festzulegen, die nur für die Schweiz gelten. Die daraus entstehenden Mehrkosten würden der Schweizer Wirtschaft einen Wettbewerbsnachteil bescheren. Es wird deshalb erwartet, dass Schutzvorgaben und Umsetzungslösungen in einem internationalen Kontext erarbeitet werden. Die internationale Kooperation ist jedoch nicht nur in Bezug auf Normen und Vorschriften zu intensivieren, sondern auch zur Risikoerkennung und für gemeinsames Krisenmanagement. Dabei sind nicht nur staatliche Akteure, sondern auch Vertreter der Wirtschaft (speziell die KI-Betreiber, IKT-Leistungserbringern und Systemlieferanten) und Gesellschaft einzubeziehen.
10
578
Vgl. dazu die Studie «Evaluation und Weiterentwicklung der Melde- und Analysestelle Informationssicherung Schweiz (MELANI)», die von der ETH Zürich 2010 veröffentlicht wurde. Die Studie überprüft die Wirksamkeit von MELANI, stellt einen Vergleich mit internationalen Modellen zur Informationssicherung dar und leitete daraus Weiterentwicklungsmöglichkeiten und Empfehlungen ab.
Eine grosse Herausforderung ist der Mangel an Fachkräften und die Beschaffung sowie der Erhalt von spezialisiertem Wissen. Die befragten Unternehmen und KI-Betreiber erwarten, dass die Forschung und Entwicklung von spezialisiertem Wissen wie auch die Ausbildung und Rekrutierung von Fachkräften gefördert wird.
3.2
Bund
In den letzten Jahren hat der Bund diverse Massnahmen ergriffen, um Schutzdispositiv und Mittel der Bundesverwaltung gegen Cyber-Angriffe zu verstärken. Auf Stufe Bund befassen sich verschiedene Stellen mit präventiven und reaktiven Aufgaben im Bereich der Cyber-Sicherheit: Bundesanwaltschaft Die Bundesanwaltschaft ist Ermittlungs- und Anklagebehörde des Bundes. Sie ist zuständig für die Verfolgung strafbarer Handlungen, die der Bundesgerichtsbarkeit unterstehen (der weitaus grösste Teil der Delikte fällt in die Zuständigkeit der Kantone) sowie für die Kooperation mit dem Ausland.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte ist eine Aufsichtsund Beratungsstelle für Bundesorgane und Privatpersonen. In seiner Funktion erläutert er insbesondere das Datenschutzgesetz und die Vollzugsverordnungen. Er berät sowohl in rechtlichen Fragen, als auch in technischen Aspekten der Datensicherung.
Sonderstab Informationssicherung Der Sonderstab Informationssicherung (SONIA) umfasst Entscheidungsträger aus Verwaltung und Wirtschaft (KI-Betreiber), wird vom Delegierten für die Informatiksteuerung des Bundes geleitet und tritt bei nationalen Krisen im Bereich der Informationssicherung auf Antrag von MELANI zusammen. Der SONIA ist heute nur bedingt handlungsfähig, weil nach der letzten Übung im Jahr 2005 festgestellt wurde, dass Struktur, Prozesse und Aufbau in der Praxis nicht funktionsfähig sind; die vorgesehenen Mitglieder des Stabes sind im Ereignisfall in der Regel bereits in übergeordneten Krisenmanagementprozessen engagiert.
Melde- und Analysestelle Informationssicherung MELANI ist ein Organ, das vom Informatiksteuerungsorgan des Bundes (ISB; Steuerung MELANI und Government Computer Emergency Response Team, GovCERT11) und dem Nachrichtendienst des Bundes (Operations- und Informationszentrum) gemeinsam betrieben wird. Es unterstützt subsidiär den Informationssicherungsprozess der kritischen Infrastrukturen durch Informationen über Vorfälle und Bedrohungen. MELANI beschafft technische und nicht technische Informationen, wertet diese aus und leitet die relevanten Daten an die KI-Betreiber weiter. Dadurch unterstützt MELANI den Risikomanagement-Prozess innerhalb der kritischen Infra11
CERT sind Organisationen, die für vorfallübergreifende technische Analysen zuständig sind. Sie sammeln und werten technisches Wissen im Gesamtrahmen einer Vorfallsreihe aus. Sie nehmen auch eine koordinierende Rolle ein. Auf Stufe Bund heisst diese Organisation GovCERT, die zusätzlich eine koordinierende Rolle bei internationalen Vorfällen wahrnimmt.
579
strukturen, indem die Stelle beispielsweise Lageeinschätzungen und Analysen zur Früherkennung von Angriffen oder Vorfällen anbietet, deren Auswirkungen auswertet und bei Bedarf Schadprogramme untersucht.
MELANI betreut zurzeit einen geschlossenen Kundenkreis, bestehend aus ausgesuchten Unternehmen, die kritische Infrastrukturen für die Schweiz betreiben (ca.
100 Mitglieder wie z.B. Banken, Telekommunikationsunternehmen und Energieversorger). Für die übrige Wirtschaft und die breite Bevölkerung bietet MELANI Unterstützung in Form von Checklisten, Anleitungen und Lernprogrammen an. In einer Krise ist MELANI im Bereich Informationssicherung für die Alarmierung und Führungsunterstützung des Sonderstabs Informationssicherung zuständig. Der Grundauftrag von MELANI kann aber zurzeit wegen ungenügender personeller Ressourcen nicht vollumfänglich erfüllt werden.
Eidgenössisches Justiz- und Polizeidepartement Bundesamt für Polizei Bundeskriminalpolizei Die Bundeskriminalpolizei ist Ermittlungsbehörde des Bundes. Sie nimmt in ihrem Zuständigkeitsbereich kriminal- und gerichtspolizeiliche Aufgaben wahr, die der Erkennung, Bekämpfung und Verfolgung begangener Straftatgen dienen. In ihrem Zuständigkeitsbereich stellt sie die Zusammenarbeit zwischen den in- und ausländischen Partnern sicher und verfolgt insbesondere die technische Entwicklung im Bereich Cyberkriminalität. Sie stellt den Erhalt und die Entwicklung des technischen bzw. forensischen Wissens in diesen Bereichen sicher. Die Bundeskriminalpolizei ist dann als Gerichtspolizei zuständig, wenn ein Ereignis in die Bundeskompetenz fällt. Ist die Zuständigkeit des Bundes oder eines Kantons noch nicht geklärt, kann sie erste Ermittlungstätigkeiten durchführen. Sie übernimmt auch die Koordination von überkantonalen Verfahren.
Koordinationsstelle zur Bekämpfung der Internetkriminalität Die Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) ist eine von Bund und Kantonen gemeinsam betriebene Stelle, die dafür zuständig ist, Straftaten im Internet rechtzeitig zu erkennen, Doppelspurigkeiten bei der Strafverfolgung zu vermeiden und die Internetkriminalität zu analysieren.12 KOBIK ist beim Bundesamt für Polizei angesiedelt. Sie ist die zentrale Anlaufstelle für Personen, die verdächtige Internetinhalte melden möchten. Die Meldungen werden nach einer ersten Prüfung und Datensicherung an die zuständigen Strafverfolgungsbehörden im In- und Ausland weitergeleitet. KOBIK steht der Öffentlichkeit, Behörden und Internet-Dienstleistern für kriminalistische, rechtliche und technische Fragen zur Internetkriminalität zur Verfügung. KOBIK hält auch aktiv im Netz nach kriminellen Inhalten Ausschau, zum Beispiel im Bereich Pädo- und der Wirtschaftskriminalität (Kreditkartenbetrug, E-Mail-Phising, usw.). KOBIK ist zuständig für die ermittlungstechnische Entwicklung und mit Unterstützung der Kantone und der in 12
580
Vergleiche dazu die Verwaltungsvereinbarung zum koordinierten Vorgehen bei der Bekämpfung der Internetkriminalität vom 19. Dezember 2001 und die Geschäftsordnung für die Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) vom 30. März 2011.
diesem Bereich tätigen Bundesbehörden für die landesweite Übersicht der Verfahren sowie die Beobachtung der Rechtsentwicklung im Bereich der Internetkriminalität. Sie ist ausserdem Ansprechpartnerin für ausländische Stellen mit analogen Aufgaben. Zusammen mit MELANI stellt die KOBIK den cyber-relevanten Informationsaustausch zwischen Strafverfolgungsbehörden und dem Nachrichtendienst sicher.
Internationale Polizeikooperation Die Internationale Polizeikooperation ist unter anderem für die nationalen und internationalen Partnerkontakte zuständig, welche über die Einsatzzentrale des Bundesamts für Polizei wahrgenommen werden. Weiter zeichnet sie verantwortlich für die strategische und operationelle Zusammenarbeit mit internationalen polizeilichen Einheiten und Organisationen (EUROPOL, INTERPOL, UNO, OSZE, Europarat).
Einsatzzentrale des Bundesamts für Polizei Die Einsatzzentrale des Bundesamts für Polizei ist die permanente Kontaktstelle für ausländische Behörden. Sie unterstützt unter anderem nationale und internationale Strafuntersuchungen in Fällen von Computerkriminalität. Die Kontaktstelle kann selbst keine Massnahmen in den Bereichen juristische Beratung, Rechtshilfe, Beweiserhebung, Datensicherung oder Strafuntersuchung ergreifen. Sie hat aber den Auftrag, als Anlaufstelle den Kontakt zwischen den mit den jeweiligen Aufgaben betrauten ausländischen und inländischen Behörden (insbesondere KOBIK) zu erleichtern.
Strategische Zusammenarbeit Die Abteilung strategische Zusammenarbeit hat als Hauptaufgabe die Entwicklung der internationalen Zusammenarbeit mit polizeilichen Partnern. In Absprache und Koordination mit den Fachstellen des Bundesamts für Polizeivertritt sie das Bundesamt für Polizei in bilateralen und multilateralen Konferenzen und Kommissionen und verfolgt dadurch unter anderem die Entwicklungen in der Bekämpfung der Internetkriminalität.
Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport Nachrichtendienst des Bundes Der Nachrichtendienst des Bundes (NDB) beschafft mit nachrichtendienstlichen Mitteln Informationen, die analysiert, ausgewertet und verbreitet werden. Er konzentriert sich im Inland auf die Themen Terrorismus, gewalttätiger Extremismus, Proliferation, Angriffe auf die kritischen Infrastrukturen und verbotenen Nachrichtendienst, im Ausland auf sicherheitspolitische Fragen, unter anderem auf Proliferation, Terrorismus, Streitkräfteentwicklung sowie Rüstungstechnologie und Rüstungshandel sowie auf strategische Analysen. Diese Themengebiete weisen eine immer stärkere Cyber-Ausprägung auf. Um diese zu erfassen, verfolgt der NDB auch die Entwicklung der Risikolage im Cyber-Bereich. Der NDB führt in Zusammenarbeit mit dem ISB den nachrichtendienstlichen Teil von MELANI.
581
Bundesamt für Bevölkerungsschutz Der Zweck des Bevölkerungsschutzes ist es, die Bevölkerung und ihre Lebensgrundlagen bei Katastrophen und in Notlagen sowie im Falle bewaffneter Konflikte zu schützen und so wesentlich zur Begrenzung und Bewältigung von Schadenereignissen beizutragen. Katastrophen und Notlagen können auch aus schwerwiegenden Cyber-Angriffen oder anderweitigen Störungen der IKT resultieren. Gefährdungen werden dementsprechend auch in den Arbeiten zu «Risiken Schweiz» abgebildet, die als Planungsgrundlage im Bevölkerungsschutz dienen. Im Programm zum Schutz kritischer Infrastrukturen koordiniert das BABS im Auftrag des Bundesrates die Arbeiten zur Erstellung des SKI-Inventars, indem zum einen die kritischen IKTInfrastrukturen, aber auch die sicherheitsrelevanten IKT-Anwendungen in den anderen KI-Sektoren erfasst werden. Als Melde- und Lagezentrum des Bundes für ausserordentliche Ereignisse ist die Nationale Alarmzentrale (NAZ) des BABS auch in Krisensituationen zwingend auf funktionierende Informatiksysteme, Kommunikationsnetze und damit auf eine unterbruchfreie Stromversorgung angewiesen. In Zukunft soll die Führungskommunikation zwischen Bundes- und Kantonsstellen (POLYCONNECT/POLYDATA) über krisen- und stromsichere Netze erfolgen, die dank entsprechender Verschlüsselung geschützt ist. Die Warnung und Alarmierung (POLYALERT) wird zurzeit ebenfalls auf eine krisensichere Technologie überführt, die auf dem Sicherheitsnetz Funk der Schweiz (POLYCOM) basiert.
Bereich Verteidigung Der Bereich Verteidigung des VBS ist für die Verteidigung, Unterstützung ziviler Behörden und Friedensförderung verantwortlich.
Für die verteidigungsbezogenen Schutzaufgaben sind insbesondere die folgenden Organisationen zuständig: Informations- und Objektsicherheit Die beim Armeestab angesiedelte Informations- und Objektsicherheit betreut die integrale Sicherheit des VBS. Sie ist insbesondere für die Vorgaben im Bereich der Sicherheit von Personen, Informationen, Informatik und Sachwerten (Material und Immobilien) zuständig.
In dieser Rolle erarbeitet sie Sicherheitsvorgaben, um die Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit von Informationen und Daten sowie die Verfügbarkeit und die Integrität von IKT-Mitteln sicherzustellen.
Sie betreibt die Koordinationsstelle für den Informationsschutz
im Bund und ist Ansprechstelle für nationale und internationale Fragen bezüglich des Schutzes von klassifizierten Informationen. Aufgrund einiger internationaler Abkommen (insbesondere mit der EU) gilt die Informations- und Objektsicherheit als nationale Sicherheitsbehörde für alle Belange der Informationssicherheit.
Sie ist bei der Erarbeitung eines Gesetzes über die Informationssicherheit im Bund federführend.
Führungsunterstützungsbasis der Armee Die Führungsunterstützungsbasis der Armee (FUB) ist IKT-Leistungserbringerin für die Armee über alle Lagen, was hohe Verfügbarkeit und Sicherheit verlangt. Sie betreibt das Zentrum für elektronische Operationen, das Leistungen für die Nachrichtendienste erbringt. Das Zentrum für elektronische Operationen beschäftigt 582
Kryptologen und betreibt den Bereich für Computer-Netzwerk-Operationen, der damit über technische Fähigkeiten zur Analyse der Bedrohung und der Vorfälle und zur Operationsführung verfügt. Die FUB betreibt zudem das militärische Computer Emergency Response Team (milCERT), das die für die Armee relevanten IKTInfrastrukturen überwacht. Die FUB unterstützt primär die Armee aber auch die politische Führung und hält entsprechende Mittel zur Verfügung.
Militärischer Nachrichtendienst Der militärische Nachrichtendienst (MND) ist innerhalb der Armee respektive im Bereich Verteidigung zuständig für die Beschaffung von Informationen für den militärischen Bedarfsträger. Der MND stellt mit Hilfe des Nachrichtenverbundes und in enger Zusammenarbeit mit dem Führungsstab und den beteiligten Formationen nachrichtendienstlich die Einsätze sicher.
Der MND pflegt internationale Kontakte mit militärischen Nachrichtendiensten und Agenturen (z.B. NATO). Er ist somit Informationszuträger für den NDB und unterstützt diesen mit Erkenntnissen zu Cyber-Risiken und der Cyber-Ausprägung im militärischen Umfeld. Weiter ist der MND für die Spionageabwehr und deren Cyber-Ausprägung im Rahmen von Kontingentseinsätzen im Ausland zuständig.
Eidgenössisches Finanzdepartement Informatiksteuerungsorgan des Bundes Das ISB erlässt Vorgaben bezüglich IKT und übernimmt die zentrale Führung der Informatikleistungen, die in der Bundesverwaltung verwendet werden (z.B. Telekommunikation). Es führt das GovCERT und den strategischen Teil von MELANI.
In der Krise leitet es den SONIA. Bei einem Angriff auf die Informatik- und Kommunikationsinfrastrukturen der Bundesverwaltung kann das ISB zusätzliche Sicherheitsmassnahmen ergreifen.
Bundesamt für Informatik und Telekommunikation Das Bundesamt für Informatik und Telekommunikation ist ein Informatik- und Telekommunikationsleistungserbringer für die Bundesverwaltung und betreibt ein eigenes Computer Security Incident Response Team (CSIRT), welches eng mit MELANI und weiteren Stellen in der Bundesverwaltung zusammenarbeitet. Es überwacht die IKT-Ressourcen der Bundesverwaltung laufend auf Angriffsmuster hin und verfügt über sehr viel Erfahrung in der Behandlung von gross angelegten Angriffen auf die Infrastrukturen des Bundes. Erhöht sich jedoch die Anzahl der Aufgaben oder die Intensität der Angriffe bzw. das Schadenspotenzial, fehlen dem Bundesamt für Informatik und Telekommunikation die personellen Ressourcen für die Leistungserbringung.
Risikomanagement Bund Das Risikomanagement wurde beim Bund 2005 eingeführt. Die Ziele und Grundsätze des Risikomanagements und die verschiedenen Funktionen im Risikomanagement Bund sind heute in den Weisungen über die Risikopolitik des Bundes vom 24. September 201013 festgelegt. Zwecks Sicherstellung einer homogenen Umset13
BBl 2010 6549
583
zung des Risikomanagements in der Bundesverwaltung hat die Eidgenössische Finanzverwaltung am 21. November 2011 in Richtlinien die Einzelheiten einheitlich und verbindlich festgelegt.
Unter Risiko werden Ereignisse und Entwicklungen verstanden, die mit einer gewissen Wahrscheinlichkeit eintreten und wesentliche negative finanzielle und nichtfinanzielle Auswirkungen auf die Erreichung der Ziele und die Erfüllung der Aufgaben der Bundesverwaltung haben. Die Früherkennung dieser Risiken ist Aufgabe der Fachstellen in den Verwaltungseinheiten und Departementen. Identifizierte Risiken werden analysiert und bewertet. Aufgrund der erkannten Risikoexponierung werden die erforderlichen Massnahmen ergriffen, um Risiken möglichst zu vermeiden oder wenigstens zu vermindern. Die Umsetzung des aufgabenbezogenen Risikomanagements Bund erfolgt im Wesentlichen dezentral in den Verwaltungseinheiten und Departementen.
Die Früherkennung und Abwehr von Cyber-Angriffen auf die Bundesverwaltung ist Aufgabe der Fachstellen in den Verwaltungseinheiten und Departementen. Da alle Departemente und Verwaltungseinheiten des Bundes davon betroffen sind, wird das Risiko «Cyberattacken auf IKT-Systeme des Bundes» als Querschnittsrisiko auf Stufe Bundesrat geführt und bewirtschaftet.
Eidgenössisches Departement für Umwelt, Verkehr, Energie und Kommunikation Bundesamt für Kommunikation Das Bundesamt für Kommunikation (BAKOM) befasst sich unter anderem mit Fragen der Telekommunikation. Auf diesen Gebieten nimmt das BAKOM sämtliche hoheitlichen und regulatorischen Aufgaben wahr. Insbesondere nimmt es die allgemeine Aufsicht über die Telekommunikation einschliesslich Internetdienstanbieterinnen war und ist verantwortlich für Adressierungselemente im Fernmeldebereich einschliesslich des verwaltungsrechtlichen Vertrages mit der Registerbetreiberin Switch für die Verwaltung der .ch-Domänen und der dazugehörigen Aufsicht sowie der Grundlagen für die elektronischen Signatur. Auch auf internationaler Ebene ist das BAKOM intensiv tätig, insbesondere im Bereich Internet-Governance und International Policies. Weiter koordiniert das BAKOM im Rahmen der Strategie des Bundesrates für eine Informationsgesellschaft in der Schweiz die Aktivitäten auf nationaler und internationaler Ebene.
Bundesamt für Energie Das Bundesamt für Energie ist das Kompetenzzentrum für Fragen der Energieversorgung und der Energienutzung. Es schafft die Voraussetzungen für eine ausreichende, krisenfeste, breit gefächerte, wirtschaftliche und nachhaltige Energieversorgung, und sorgt für hohe Sicherheitsstandards bei der Produktion, dem Transport und der Nutzung von Energie.
Mit dem zunehmenden Einsatz von IKT in Energieproduktionsanlagen und im Netzbereich gewinnt auch die Cyber-Ausprägung in diesen Feldern an Bedeutung.
584
Bundesamt für Zivilluftfahrt Das Bundesamt für Zivilluftfahrt ist zuständig für die Gesetzgebung sowie für die Aufsicht unter anderem über die Flughäfen, Luftfahrtunternehmen sowie die Flugsicherung in der Schweiz. Durch die vermehrt hohe Aufmerksamkeit der möglichen Auswirkungen eines Cyber-Angriffes auf die Luftfahrt werden Bestimmungen zur Minimierung von Cyber-Risiken zunehmend in verschiedene Regelwerke aufgenommen. Das Bundesamt für Zivilluftfahrt ist dabei für die Aufnahme dieser Bestimmungen in das nationale Sicherheitsprogramm Luftfahrt zuständig und setzt diese in Konsultation mit der Industrie um.
Eidgenössisches Volkswirtschaftsdepartement Wirtschaftliche Landesversorgung Die Wirtschaftliche Landesversorgung ist eine Milizorganisation mit vollamtlicher Stabsorganisation und Sekretariat (Bundesamt für wirtschaftliche Landesversorgung, BWL). Sie verfügt über eine Kaderorganisation aus Vertretern der Wirtschaft. Der Bereich ICT-Infrastrukturen (ICT-I) der WL ist zuständig für die Sicherstellung der für die Versorgung des Landes notwendigen Informationsinfrastruktur (Datenproduktion, -übertragung, -sicherheit und -verfügbarkeit) und die Fernmeldeverbindungen, insbesondere mit dem Ausland. Er definiert die systemrelevanten Versorgungsinfrastrukturen der Schweiz und erstellt für diese ein Kontinuitäts- und Krisenmanagement. Der Bereich ICT-I beobachtet und analysiert fortlaufend die allgemeinen Risiken der Datenübertragungssicherheit und -verfügbarkeit. Er trifft für den Notfall Massnahmen zur Sicherstellung geeigneter Fernmeldeverbindungen mit mobilen Teilnehmern im Ausland, die für die Landesversorgung von Bedeutung sind. Er bereitet Massnahmen zur Sicherstellung lebenswichtiger Informations- und Kommunikationsinfrastrukturen vor und erstellt die für die Sicherstellung der Grundversorgung erforderliche Bereitschaft. Er vertritt auch die bereichsspezifischen Interessen der wirtschaftlichen Landesversorgung in internationalen Organisationen.
Eidgenössisches Department für Auswärtige Angelegenheiten Das Eidgenössische Departement für auswärtige Angelegenheiten (EDA) gestaltet und koordiniert im Auftrag des Bundesrats die schweizerische Aussenpolitik.
Die Politische Direktion des Departements verfolgt die sicherheitspolitischen Entwicklungen im Ausland im Bereich neuer Bedrohungsformen und unterhält Beziehungen zu internationalen Organisationen wie der UNO, der OSZE, der EU dem Euro-Atlantic Partnership Council (EAPC) und der NATO, die sich in ihrer sicherheitspolitischen Dimension vermehrt mit den Bedrohungen im Cyberspace auseinandersetzen. Sie knüpft Kontakte zu diesen Organisationen, thematisiert die Cyberbedrohung auf bilateraler Ebene mit anderen Staaten und schafft so die Grundlage auf politischer Ebene für eine Kooperation der Schweiz bei deren Bewältigung.
Die Direktion für Völkerrecht befasst sich mit den völkerrechtlichen Auswirkungen von Bedrohungen im Cyberspace.
585
Erkenntnisse Die Strukturen auf Stufe Bund zur Bewältigung von Cyber-Risiken sind bisher dezentral organisiert. Es werden relativ geringe Mittel aufgewendet, bzw. die Ressourcensituation ist oftmals ungenügend für die Übernahme zusätzlicher Aufgaben.
Die Aufgaben sind zumeist in jenen Organisationseinheiten angesiedelt, deren Aufträge eine starke Cyber-Ausprägung aufweisen. Dieser Ansatz hat den wesentlichen Vorteil, dass fallweise genau jene Stellen beigezogen werden, die für die Bewältigung eines Vorfalls notwendig sind. Da jeder Angriff auf IKT-Infrastrukturen anders abläuft, ist diese flexible Zusammenstellung der Notfallorganisation von zentraler Bedeutung und entspricht der Annahme, dass die Cyber-Problematik kein abgegrenztes Phänomen darstellt, sondern innerhalb bestehender Prozesse angegangen werden muss; weiter begünstigt dieser Ansatz Synergien und verhindert, dass aufwendige Gremien etabliert werden, bevor über ein Problem und dessen tatsächliche Dimension Klarheit besteht. Das bestehende System funktioniert denn auch gut in reaktiver Hinsicht. Gewisse antizipative und präventive Fähigkeiten sind vorhanden; diese reichen aber nicht aus (z.B. personelle und finanzielle Ressourcen; Austausch von nachrichtendienstlichen, technischen und polizeilichen Informationen zur Unterstützung der Wirtschaft, der KI-Betreiber, IKT-Leistungserbringer, Systemlieferanten und der Forschung; Risikoanalysen und daraus folgende Definitionen von Sicherheitsanforderungen, Durchhaltefähigkeit). Es besteht daher die Kenntnis, dass die dezentralen Strukturen auf Stufe Bund verstärkt und mögliche Synergien besser genutzt werden müssen, um Cyber-Risiken umfassend identifizieren zu können und um den Anforderungen bei grösseren Cyber-Angriffen und Störungen zu genügen.
3.3
Kantone
Wie die Wirtschaft sind auch die Kantone von grosser Heterogenität geprägt. Es gibt Kantone, die bezogen auf die Bevölkerung kaum grösser sind als mittelgrosse Städte. Auch wirtschaftlich und strukturell sind grosse Unterschiede zu verzeichnen.
So unterschiedlich deren Strukturen, Aktivitäten oder Leistungserbringung (z.B.
Gesundheit, Transport, Energie) sind, so unterschiedlich sind auch deren Anforderungen im Umgang mit Gefahren und Bedrohungen. Es ist deshalb nachvollziehbar, dass nicht alle Kantone qualitativ und quantitativ über die gleichen Kompetenzen verfügen, die es braucht, um Risiken, insbesondere im Cyber-Bereich, zu bekämpfen.
Die Kantone sind auf ihrem Hoheitsgebiet für die Aufrechterhaltung der öffentlichen Sicherheit und Ordnung verantwortlich. Nur jene Kantone, die über grosse Polizeikorps verfügen und eine enge Zusammenarbeit mit Wirtschaft und anderen im Sicherheitsbereich tätigen Organisationen (z.B. Zoll, Sicherheitsdienste von Nachbachländern) pflegen, haben die Fähigkeit, im Bereich der Cyber-Kriminalität Probleme zu antizipieren, sich die notwendigen Informationen zu beschaffen und umfangreichere Ermittlungsverfahren zu führen. Kein Kanton ist aber in der Lage, dies systematisch zu tun. Alle Kantone sind deshalb auf die subsidiäre Unterstützung des Bundes angewiesen insbesondere für Koordinations- und nachrichtendienstliche Belange.
586
Die präventiven Vorkehrungen der Kantone zur Minimierung von Cyber-Risiken sind notwendiger Bestandteil eines umfassenden Konzeptes, da jeder Kanton kritische Infrastrukturen betreibt. Sie verfügen mehrheitlich über Organisations- und Kontrollstrukturen, Sicherheitsbeauftragte in den verschiedenen Diensten, IT-Polizeiforensiker oder spezialisierte Führungszellen im Krisenfall. Wie auf Stufe Bund sind diese Mittel aber oft ungenügend koordiniert und reichen nicht aus, um den heutigen Cyber-Risiken umfassend zu begegnen. Das Problem akzentuiert sich in kleineren Kantonen, die oftmals gezwungen sind, spezifische Dienstleistungen an Dritte zu delegieren.
Weiter ist festzustellen, dass die rechtlichen Regelungen in Bezug auf Informationstechnologien häufig entweder nicht ausreichend oder nicht bekannt genug sind.
Klassifizierungssysteme (intern, vertraulich, geheim) werden praktisch nicht angewendet, und sensible Daten (personelle, polizeiliche oder juristische Daten) werden auf ungenügend geschützten Systemen bewirtschaftet.
Manche Kantone sensibilisieren die Bevölkerung im Sinne der Prävention bereits heute mit spezifischen Kampagnen für die Gefahren im Internet, z.B. in den Schulen. Im interkantonalen Kontext ist die Schweizerische Kriminalprävention in derselben Richtung tätig. Viele Kantone sind aber noch inaktiv oder verlassen sich in diesem Bereich auf Einzelinitiativen von Lehrkräften oder Bildungsinstitutionen, die nicht aufeinander abgestimmt sind. Ausserdem werden Programmangebote der IKTBranche wenig genutzt, weil sie zum Teil nicht bekannt sind.
Den Kantonen stehen Führungsorganisationen zur Verfügung, um auf CyberAngriffe zu reagieren. Diese Stäbe werden mit Partnern (z.B. mit den militärischen Kommandos der Territorialregionen) regelmässig beübt und sind in der Lage, die Auswirkungen von Krisen aller Art zu bewältigen. Sie sind aber nicht spezifisch auf Cyber-Risiken ausgerichtet und wären wohl häufig nicht in der Lage, die Wirtschaft und die Bevölkerung bei Cyber-Angriffen kompetent zu unterstützen.
Für die Umsetzung der nationalen Strategie zum Schutz vor Cyber-Risiken verfügen die Kantone und der Bund über mehrere Instrumente, die in diesem Bereich wertvolle Beiträge leisten können:
das Haus der Kantone mit mehreren interkantonalen Regierungs- und Direktorenkonferenzen für Justiz, Polizei, Bevölkerungsschutz, Erziehung, Finanzen, Gesundheit usw. und weiteren Institutionen wie der Schweizerischen Kriminalprävention;
der Sicherheitsverbund Schweiz, der im Aufbau begriffen ist und die Aktivitäten der Kantone und des Bundes im Bereich Sicherheit koordinieren und bündeln wird;
das Programm zur Harmonisierung der Polizeiinformatik mit dem Ziel, Applikationen aufeinander abzustimmen und somit die Arbeit der Polizei zu erleichtern;
KOBIK, die den Cyber-Bereich überwacht und den Kantonen Informationen im Hinblick auf die Aufnahme von polizeilichen Ermittlungen liefert.
Ergänzend zu den staatlichen Organen und Gremien besteht der Verein Swiss Police ICT, der verschiedene Polizeikorps und die ICT-Wirtschaft direkt und fachspezifisch vernetzt. Sein Kongress, der Schweizer Polizei Informatik Kongress, leistet als Plattform einen wichtigen Beitrag für den Informationsaustausch über die Polizeiinformatik und die Bewältigung von Cyber-Risiken.
587
3.4
Bevölkerung
Bei der privaten Nutzung von Informations- und Kommunikationssystemen ist der einzelne Anwender grundsätzlich selber für die Sicherheitsvorkehrungen verantwortlich. In der Regel sind die auf dem Endverbrauchermarkt erhältlichen Sicherheitswerkzeuge im Einsatz (z.B. Virenscanner und Router mit eingebauter Firewall, Wireless-Local-Area-Network-Verschlüsselung).
Massnahmen zur allgemeinen Verbesserung der Sicherheit auf privaten IKTSystemen wie auch die Angebote für die individuelle Ausbildung und Information sind nicht koordiniert und nicht auf einen gemeinsamen Sicherheitsstandard ausgerichtet. Ein zunehmender Teil der Bevölkerung arbeitet im Rahmen seiner Tätigkeit auf Rechnern in Unternehmen oder Behördenstellen, welche Zugriff auf besonders schützenswerte Daten haben. Zur Minimierung von Risiken sind daher generell eine erhöhte Sensibilisierung und sichere Verhaltensweisen notwendig, dies analog zu anderen Präventionstätigkeiten.
3.5
Internationale Kooperation
Die Politische Direktion des EDA fördert die internationalen Kontakte der Schweiz zu Staaten und internationalen Organisationen, die sich mit der Bedrohung im Cyberspace auseinandersetzen, und schafft dadurch die Voraussetzung für eine Kooperation der Schweiz auf internationaler Ebene.
Die Direktion für Völkerrecht des EDA verfolgt die internationalen Entwicklungen auf völkerrechtlicher Ebene, namentlich den Zusammenhang zwischen dem Einsatz von Cyber-Mitteln in zwischenstaatlichen Konflikten und dem humanitären Völkerrecht.
In verschiedenen Initiativen werden zurzeit internationale Regelungen diskutiert, mit denen der permanente Informationsaustausch über Technologien, Schutzmassnahmen, Risikoentwicklung und Täterschaften institutionalisiert, eine effizientere Amtsund Rechtshilfe in Strafverfolgungsverfahren sowie die Entwicklung und Umsetzung gemeinsamer Sicherheitsmassnahmen ermöglicht würden.
Im Rahmen der Umsetzung der Resultate des UNO-Weltgipfels zur lnformationsgesellschaft hat die International Telecommunication Union (ITU)14 die Führung bezüglich der internationalen Arbeiten im Bereich Cybersicherheit übernommen und eine Roadmap für ihre Aktivitäten und Ziele erstellt. Die Schweiz nimmt an diesen Arbeiten teil.
In den letzten Jahren haben viele Länder umfassende Cyber-Strategien verabschiedet (z.B. Deutschland, Frankreich, die Niederlande), während sie sich zuvor nur in ausgewählten bi- und multilateralen Aktivitäten und Themenbereichen engagierten.
Es gibt einzelne Staaten, die mittlerweile eine breite Palette von Instrumentarien einsetzen, um sich vor Cyber-Risiken zu schützen (z.B. nationale Strategien, Massnahmen und Abwehrzentren mit Führungsstrukturen). Ein periodischer Vergleich mit diesen Strategien ist angezeigt. Gerade auch im Hinblick auf die Tatsache, dass die Schweiz einen Ansatz wählt, der Mängel in der Wahrnehmung der Cyber14
588
Zu den Aktivitäten der ITU im Bereich Cybersecurity siehe: www.itu.int/cybersecurity/
Ausprägung innerhalb bestehender Geschäfts-, Produktions- und Verwaltungsprozesse und fehlende operative Zusammenarbeit nicht einfach mit der Schaffung einer zentralen Koordinationsplattform zu lösen sucht, sondern innerhalb der zuständigen und verantwortlichen Stellen und Strukturen über alle Ebenen.
3.6
Rechtliche Grundlagen
Rechtliche Grundlagen für den Cyber-Bereich finden sich heute in einer Vielzahl von Bundesgesetzen und Verordnungen. Dies ist in erster Linie eine logische Konsequenz, da mit zunehmender Vernetzung und Einsatz von Kommunikationsmitteln auch eine zunehmende Cyber-Ausprägung bestehender Aufgaben und Verantwortlichkeiten einhergeht, die sich in den jeweiligen Gesetzen und Verordnungen niederschlagen. Problematisch dabei ist, dass diese Regelungen kaum aufeinander abgestimmt und zum Teil noch lückenhaft sind.
Die Informationsschutzvorgaben für Bundesverwaltung und Armee hat der Bundesrat in der bis zum 31. Dezember 2014 befristeten Informationsschutzverordnung vom 4. Juli 200715 zusammengefasst. Die Parlamentsdienste, die Gerichte des Bundes, die Bundesanwaltschaft sowie Dienststellen der Kantone, die vom Bund Informationen erhalten, werden davon jedoch nicht oder nur beschränkt erfasst.
Die Informatiksicherheit der Bundesverwaltung ist in der Bundesinformatikverordnung vom 9. Dezember 201116 nur summarisch geregelt. Die meisten Grundsätze und Sicherheitsvorgaben sind auf Weisungsebene (Weisung des IRB vom 27. September 200417 über die Informatiksicherheit in der Bundesverwaltung) zu finden.
Das Bundesgesetz vom 19. Juni 199218 über den Datenschutz und die Verordnung vom 14. Juni 199319 zum Bundesgesetz über den Datenschutz enthalten allgemein gültige Mindestanforderungen an die Datensicherheit im Umgang mit Personendaten, die für den Bund und Private gelten.
Das Bundesgesetz vom 21. März 199720 über Massnahmen zur Wahrung der inneren Sicherheit, das sich insbesondere mit Massnahmen für die Erkennung und Bekämpfung von Terrorismus, verbotenem Nachrichtendienst, gewalttätigem Extremismus und Gewalt anlässlich von Sportveranstaltungen befasst, trägt mit den Personensicherheitsüberprüfungen auch zur Informationssicherheit innerhalb der Bundesbehörden bei.
Das Bundesgesetz vom 3. Oktober 200821 über die Zuständigkeiten im Bereich des zivilen Nachrichtendienstes regelt Teile der Aufgaben des zivilen Nachrichtendienstes des Bundes. Zu den Tätigkeiten gehören die Beschaffung sicherheitspolitisch relevanter Informationen über das Ausland und deren Auswertung zuhanden der
15 16 17
18 19 20 21
SR 510.411 SR 172.010.58 Der Text der Weisungen über die Informatiksicherheit in der Bundesverwaltung kann unter folgender Internetadresse abgerufen werden: www.isb.admin.ch > Themen > Sicherheitsgrundlagen > Weisung Informatiksicherheit.
SR 235.1 SR 235.11 SR 120 SR 121
589
Departemente und des Bundesrates sowie die Wahrnehmung nachrichtendienstlicher Aufgaben im Bereich der inneren Sicherheit.
Das Militärgesetz vom 3. Februar 199522 (insbesondere Art. 99 und 100) und die Verordnung vom 4. Dezember 200923 über den Nachrichtendienst der Armee (insbesondere Art. 46) stellen unter anderem die Grundlagen für die Kontaktpflege zu anderen im Bereich der Cyber-Risiken beschäftigten militärischen Nachrichtendiensten dar. Weiter bilden sie die Rechtsgrundlage für den Bereich Prävention und Intervention für die entstehende Organisationseinheit Eigenschutz der Armee.
Mit Beschluss vom 12. Mai 2010 hat der Bundesrat das VBS beauftragt, formellgesetzliche Grundlagen für den Informationsschutz und die Informationssicherheit zu erarbeiten. Neu sollen Informationsschutz und Informationssicherheit in einem Spezialgesetz einheitlich geregelt werden. Das zu erlassende Gesetz muss nicht nur die Vertraulichkeit von Informationen, sondern auch deren Integrität, Verfügbarkeit und Nachvollziehbarkeit schützen sowie die Sicherheit der Mittel, mit denen diese Informationen bearbeitet werden, gewährleisten.
Das Fernmeldegesetz vom 30. April 199724 (FMG) stellt zusammen mit den ausführenden Verordnungen, Vorschriften und Richtlinien sicher, dass der Bevölkerung und der Wirtschaft vielfältige, preiswerte, qualitativ hochstehende sowie national und international konkurrenzfähige Fernmeldedienste angeboten werden. Laut Zweckartikel des FMG muss die Grundversorgung zuverlässig sein. Verbindliche Qualitätsanforderungen an die Grundversorgung ergeben sich aus der Verordnung vom 9. März 200725 über Fernmeldedienste (FDV) und den entsprechenden Vorschriften des BAKOM. Des Weiteren soll das FMG einen «störungsfreien, die Persönlichkeits- und Immaterialgüterrechte achtenden Fernmeldeverkehr sicherstellen».
Das FMG und die FDV enthalten je ein Kapitel über «wichtige Landesinteressen», das jeweils verschiedene sicherheitsrelevante Bestimmungen enthält. Davon abgeleitet hat das BAKOM Richtlinien erlassen, die Massnahmen zur Sicherheit und Verfügbarkeit von Fernmeldeinfrastrukturen und -diensten empfehlen.
Bezüglich der Sicherheit der Fernmeldedienste selbst ist zudem festzuhalten, dass die gesetzlich verlangten Vorkehrungen lediglich das technisch einwandfreie Funktionieren der Anlagen betreffen. Das
FMG sieht die «Sicherheit und Verfügbarkeit der Fernmeldeinfrastrukturen und -dienste» vor. Zudem sind Zuverlässigkeit und Störungsfreiheit im Gesetz und in weiteren Verordnungen geregelt. Wie genau der Schutz der Fernmeldedienste und damit der Telekommunikation und der Informationstechnologien vor äusseren Risiken oder Naturereignissen gewährleistet wird, ist aber in den Gesetzen nicht definiert.26
22 23 24 25 26
590
SR 510.10 SR 510.291 SR 784.10 SR 784.101.1 Crisis and Risk Network (CRN), Center for Security Studies (CSS) (2011): «Die rechtlichen Grundlagen zum Schutz kritischer Infrastrukturen in der Schweiz» (in Bearbeitung; im Auftrag des BABS).
Das Landesversorgungsgesetz vom 8. Oktober 198227 (LVG) und die zugehörigen Verordnungen28 regeln die vorsorglichen Massnahmen der wirtschaftlichen Landesverteidigung sowie die Massnahmen zur Sicherstellung der Landesversorgung mit lebenswichtigen Gütern und Dienstleistungen bei schweren Mangellagen, denen die Wirtschaft nicht selber begegnen kann. Dabei ist der Bereich ICT-Infrastruktur für die Sicherstellung der Informationsinfrastrukturen (z.B. Datensicherheit und -übertragung) und die Fernmeldeverbindungen mit dem Ausland zuständig. Derzeit wird eine Vorlage zu einer umfassenden Revision des Landesversorgungsgesetzes ausgearbeitet. Die Neuausrichtung sieht einen Wechsel von der Sicherheits- zur Risikologik, eine Erhöhung der Widerstandsfähigkeit lebenswichtiger Wirtschaftszweige und die Verlagerung der Schwerpunkte von Gütern zu Dienstleistungen vor.
Das Bundesgesetz vom 6. Oktober 200029 betreffend die Überwachung des Postund Fernmeldeverkehrs (BÜPF) und die Strafprozessordnung30 ermöglichen bei einem dringendem Tatverdacht die Aufzeichnung der Post- und Telekommunikation, inklusive E-Mail. Gesetzlich zulässig ist zudem eine rückwirkende Erhebung von Verkehrs- und Rechnungsdaten sowie eine Teilnehmeridentifikation.
Die Europaratskonvention über die Cyberkriminalität, die am 1. Januar 2012 in der Schweiz in Kraft getreten ist, verpflichtet die Vertragsstaaten, Computerbetrug, Datendiebstahl, Fälschung von Dokumenten mit Hilfe eines Computers oder das Eindringen in ein geschütztes Computersystem unter Strafe zu stellen. Die Konvention regelt, wie in der Strafuntersuchung Beweise in Form von elektronischen Daten erhoben und gesichert werden. Die Untersuchungsbehörden sollen rasch auf elektronisch bearbeitete Daten zugreifen können, damit diese im Laufe des Verfahrens nicht verfälscht oder vernichtet werden. Das Strafgesetzbuch31 findet mit seinen Strafnormen, insbesondere den Bestimmungen des sogenannten Computerstrafrechts (Art. 143, 144bis sowie 272274), Anwendung auf Fälle von Cyberkriminalität. Die Europaratskonvention regelt auch die internationale Zusammenarbeit in Strafsachen zwischen den Staaten (z.B. Rechtshilfe und Auslieferung). Das Zusammenwirken zwischen den verschiedenen Ländern soll im Ablauf schnell und effizient gestaltet werden.
3.7
Fazit
Die Analyse der bestehenden Strukturen zeigt, dass in der Wirtschaft (speziell bei den wichtigen IKT-Leistungserbringern und Systemlieferanten), beim Bund und bei den Kantonen viele Fähigkeiten vorhanden sind, die es erlauben, die CyberAusprägung der bestehenden Aufträge und Verantwortlichkeiten zu erfassen und damit einhergehende Risiken zu identifizieren. Es bestehen auch Ansätze und Konzepte zur Verbesserung der Cyber-Sicherheitslage und Gefässe, die den Informationsaustausch und die Koordination zwischen einzelnen Akteuren ermöglichen.
Grosse Unternehmen, kantonale Polizeikorps und der Bund verfügen über Stellen 27 28
29 30 31
SR 531 Verordnung vom 6. Juli 1983 über die Organisation der wirtschaftlichen Landesversorgung (SR 531.11); Verordnung vom 2. Juli 2003 über die Vorbereitungsmassnahmen der wirtschaftlichen Landesversorgung (SR 531.12) SR 780.1 SR 312.0 SR 311.0
591
mit spezialisiertem Fachwissen. Verschiedene schweizerische Forschungsinstitutionen betreiben ebenfalls Projekte im Kontext der Cyber-Sicherheit und der Identifizierung und Bewertung von Cyber-Risiken. Oftmals sind aber nicht alle Verantwortungsträger, von der technisch-operativen bis zur strategisch-politischen Ebene, in die Prozesse einbezogen oder aber sie nehmen sich bewusst davon aus.
Aus den Befragungen mit Vertretern der Wirtschaft und KI-Betreibern geht aber auch hervor, dass grosse Lücken und Schwächen beim Umgang mit CyberAngriffen bestehen. So sind die Fähigkeiten und Wahrnehmungen auf den verschiedenen Ebenen unterschiedlich ausgeprägt, oft ungenügend, nur teilweise koordiniert und zu einem guten Teil von kommerziellen Interessen bestimmt. Die ergriffenen oder geplanten Verbesserungsmassnahmen für die Cyber-Sicherheit sind Abbild unterschiedlicher Risikoeinschätzungen und damit auch entsprechend heterogen. Sie führen zu nicht abgestimmten Vorgehensweisen, der Informationsaustausch zwischen den Akteuren funktioniert kaum und ist oft auf den eigenen Betrieb beschränkt.
Mängel bei der Cyber-Sicherheit werden oft auf die fehlenden finanziellen und personellen Ressourcen zurückgeführt. Dies gilt nicht nur für die Wirtschaft, sondern insbesondere auch für den Bund, wo die personellen Ressourcen nicht ausreichend vorhanden sind, sodass die geforderten Aufgaben sogar in der normalen Lage nur unzureichend erfüllt werden können. Ein Problem ist auch, dass es nach allgemeiner Einschätzung zu wenig IKT-Spezialisten gibt.
In der Zusammenarbeit zwischen der Wirtschaft und den Behörden gibt es bei der Aufteilung der Aufgaben, Fähigkeiten und Kompetenzen diverse Schwachstellen und Klärungsbedarf. Die Analyse der bestehenden Strukturen hat insbesondere gezeigt, dass der Bundesverwaltung genügend Mittel zur Identifikation von Risiken und zur gesamtheitlichen Auswertung von Informationen und Lageeinschätzungen zuhanden der Wirtschaft, KI-Betreiber und Behörden fehlen und somit der Schutz vor Cyber-Risiken wegen ungenügendem Informationsaustausch unzureichend erreicht werden kann. Dabei wird auch die Zusammenarbeit mit kritischen IKTLeistungserbringern und Systemlieferanten zu wenig systematisiert. Weiter sind Synergien unter den bestehenden behördlichen Stellen besser zu nutzen und die Meldesysteme
und -wege mit Blick auf den Informationsaustausch auf ihre Effizienz hin zu untersuchen. Ausserdem fehlen Risikoanalysen und daraus abgeleitete Definitionen für Sicherheitsanforderungen bei IKT-Infrastrukturen mit der daraus folgenden Aufteilung der Verantwortung und der Mehrkosten.
Das Internet wird noch zu oft von verschiedensten Akteuren als rechtfreier Raum betrachtet und die alltägliche Sicherheit bei der Nutzung des Internets ist nur ungenügend gewährleistet. Insbesondere die Strafverfolgungsbehörden verfügen nicht immer über genügende Mittel und Fähigkeiten, um effizient gegen Verstösse vorgehen zu können. Auch sind die Schnittstellen und der Informationsaustausch mit präventiven Stellen im Umfeld der Minimierung von Cyber-Risiken nicht genügend geklärt um eine zielführende Mischung aus präventiven und repressiven Massnahmen zu erlangen.
Insgesamt kann festgehalten werden, dass das heutige System kaum in der Lage ist, grössere, gezielte Cyber-Angriffe aktiv abzuwehren oder deren Folgen sofern diese gravierend sind in der gebotenen Kürze zu beheben. Die befragten Unternehmen und KI-Betreiber fordern deshalb, dass gemeinsam mit den Behörden minimale Sicherheitsvorgaben definiert und umgesetzt werden, und dass die Mass592
nahmen zur Verbesserung der Sicherheitslage, zur Bewältigung von Angriffen sowie zur Sensibilisierung besser koordiniert werden. Ausserdem wird vom Bund gefordert, den Informationsaustausch zu institutionalisieren, ein umfassendes aktuelles Cyber-Lagebild zur Verfügung zu stellen und eine erweiterte subsidiäre Unterstützungsleistung sicherzustellen.
Die bestehenden, verschiedenen Rechtsgrundlagen widerspiegeln die CyberAusprägung von bestehenden Aufgaben und Verantwortlichkeiten. Entsprechend ist eine Lösung im Rahmen eines einzigen Cyber-Spezialgesetzes ungeeignet. Die bestehenden Gesetzeswerke sind daher fortlaufend, im Rahmen der Revision an die Entwicklungen im Cyber-Bereich innerhalb ihres Geltungsbereiches anzupassen.
Ferner ist eine zunehmende internationale Vernetzung und Zusammenarbeit zur Minimierung von Cyber-Risiken feststellbar.
Gestützt auf diesen erkannten Handlungsbedarf schlägt die vorliegende Strategie eine Reihe konkreter Massnahmen vor, die nachfolgend dargelegt werden.
4
Dispositiv für den Schutz vor Cyber-Risiken
4.1
Übergeordnete Ziele
Der Bundesrat erkennt, dass die Cyber-Problematik primär eine Ausprägung bestehender Aufgaben und Verantwortlichkeiten von Behörden, Wirtschaft und Gesellschaft darstellt. Die Minimierung von Cyber-Risiken ist somit Sache der jeweiligen Verantwortungsträger.
Der Bundesrat will die Chancen und Vorteile, die der Cyber-Bereich mit sich bringt, für die Schweizer Wirtschaft, Politik und Bevölkerung fördern. Er stellt aber auch fest, dass die Entwicklungen in diesem Bereich mit Risiken verbunden und entsprechende Minimierungsmassnahmen nötig sind.
Die vorliegende nationale Strategie regelt die Anwendung der beschriebenen Massnahmen in Friedenszeiten und schliesst damit den Kriegsfall explizit aus.
Der Bundesrat verfolgt mit der nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken folgende übergeordnete Ziele:
Risiken im Cyber-Bereich sollen frühzeitig erkannt und bewertet werden, damit risikominimierende- und vorsorgliche Massnahmen in Zusammenarbeit mit allen Beteiligten aus Wirtschaft, Politik und Gesellschaft getroffen werden können.
Die Widerstandsfähigkeit (Resilienz) von kritischen Infrastrukturen gegenüber Cyber-Angriffen - also die Fähigkeit, möglichst rasch wieder den Normalbetrieb zu gewährleisten - soll in Zusammenarbeit mit deren Betreibern, den IKT-Leistungserbringern, Systemlieferanten und dem vom Bund geführten Programm zum Schutz kritischer Infrastrukturen (SKI-Programm) erhöht werden.
Es sollen Voraussetzungen für eine wirksame Reduktion von Cyber-Risiken, insbesondere der Cyber-Kriminalität, Cyber-Spionage und Cyber-Sabotage sichergestellt, und wo nötig geschaffen werden.
593
Diese Ziele können in den bestehenden dezentralen Strukturen auf verschiedene Arten erreicht werden. In jedem Fall sind das Handeln in Eigenverantwortung in den verschiedenen Wirtschaftsbereichen sowie der Dialog und die Zusammenarbeit zwischen der Wirtschaft und den Behörden wesentliche Voraussetzungen. Durch einen permanenten Informationsaustausch sollen Transparenz und Vertrauen geschaffen werden, und der Staat soll nur dann eingreifen, wenn öffentliche Interessen auf dem Spiel stehen und er im Sinne der Subsidiarität handelt.
Der Umgang mit Cyber-Risiken ist eine Querschnittsaufgabe, die von Wirtschaft, KI-Betreibern, den IKT-Leistungserbringern, Systemlieferanten und Behörden auf kantonaler sowie Bundesebene wahrgenommen werden muss. Diese müssen als Teil eines integralen Geschäfts-, Produktions-, oder Verwaltungsprozesses verstanden werden. In diese Prozesse sind alle Akteure von der administrativ-technischen bis hin zur strategisch-politischen Ebene einzubeziehen. Ein wirksamer Umgang mit Gefahren und Bedrohungen aus dem Netz setzt die Erkenntnis voraus, dass bestehende Aufgaben und Verantwortlichkeiten von Behörden, Wirtschaft und Bevölkerung eine Cyber-Ausprägung haben. Jede Organisationseinheit aus Politik, Wirtschaft und Gesellschaft trägt die Verantwortung, diese Cyber-Ausprägung zu erkennen, die damit einhergehenden Risiken in ihren jeweiligen Prozess aufzunehmen und damit zu reduzieren. Zu diesem Zweck sollen die dezentral bestehenden Strukturen befähigt, allenfalls gestärkt werden, um die cyber-spezifische Ausprägung ihrer Aufgaben und Verantwortlichkeiten umfassend abzudecken.
4.2
Rahmenbedingungen und Voraussetzungen
Rechtliche Grundlagen Da die Cyber-Problematik eine Ausprägung bestehender Aufgaben und Verantwortlichkeiten ist, muss in einem ersten Schritt überprüft werden, ob die bestehenden Rechtsgrundlagen dieser gerecht werden. Wird Handlungsbedarf festgestellt, geht es vorerst darum, notwendige Bestimmungen in die geltenden und geplanten Gesetze zu integrieren (z.B. Nachrichtendienstgesetz [NDG]). Der vom Cyber-Bereich erforderte Regelungsbedarf ist deshalb eng mit laufenden und vorgesehenen Rechtssetzungsprojekten abzustimmen (z.B. die Gesetzgebung für die Informationssicherheit, das Nachrichtendienstgesetz, das Landesversorgungsgesetz, das BÜPF, Übereinkommen über Cyberkriminalität usw.).
Die Anpassung der rechtlichen Grundlagen an die raschen Entwicklungen des Cyber-Bereichs und der Cyber-Risiken ist ein permanenter Prozess. Wo nötig sollen für komplexe Fragen Rechtsgutachten erstellt werden. Die Rechtsgrundlagen der Strafverfolgung (insbesondere das Strafgesetzbuch, die Strafprozessordnung, die kantonalen Polizeigesetze und die Regelung der Zuständigkeit) und präventiv tätiger Einheiten (Nachrichtendienst des Bundes und Kantonspolizeikorps) sind auf die spezifischen Herausforderungen (z.B. geografische Distanzen, Geschwindigkeit und Vergänglichkeit von Spuren und somit die Gerichtsverwertbarkeit von Indizien) des Cyber-Bereichs hin zu überprüfen. Es geht vor allem um die Frage, wie Taten, die mittels elektronischen Netzwerken ausgeführt werden, frühzeitig erkannt und verhindert bzw. wirksam ermittelt werden können. Besonderes Augenmerk ist dabei auf die Güterabwägung zwischen Persönlichkeitsschutz sowie öffentlicher und innerer Sicherheit zu legen.
594
Weiter sind die Verantwortlichkeiten von (Computer-)System- und NetzwerkBetreibern, (Netzwerk-)Infrastruktur- und Dienstleistungsanbietern sowie allfälligen weiteren im Internet tätigen Akteuren zu überprüfen. Auch hier ist eine rechtliche und politische Abwägung zwischen Datenschutzpflicht und Datenbearbeitungsrecht aller Parteien vorzunehmen, um Kooperationen zum Schutz von Informations- und Kommunikationsinfrastrukturen sowie privaten und öffentlichen Personen zu ermöglichen.
Informationsaustausch und Prävention Die Cyber-Ausprägung von Aufgaben und Verantwortlichkeiten und die damit einhergehenden Risiken müssen erkannt und analysiert werden. Dies obliegt den jeweiligen Behörden im Austausch mit Akteuren aus Wirtschaft und Gesellschaft.
Eine enge Zusammenarbeit privater und öffentlicher Akteure in Form von PPP wurde vom Bundesrat 2003 und 2007 als zielführend bestätigt und ist weiterhin zu verfolgen.32 Um eine umfassende Lagedarstellung zu erstellen, müssen technische und nicht technische Informationen koordiniert gesammelt, analysiert und bewertet werden.
Die Erkenntnisse aus den Untersuchungen werden anschliessend allen Akteuren zur Verfügung gestellt. Dabei ist es wichtig, die bereits bestehende Partnerschaft zwischen nachrichtendienstlichen und technischen Fähigkeiten zu Gunsten der KI-Betreiber und Wirtschaft im Rahmen von MELANI weiter zu vertiefen.
Vom Staat wird erwartet, dass er über Mittel verfügt, die es ihm ermöglichen, verantwortliche Stellen subsidiär zu unterstützen, wenn diese nicht mehr fähig sind, Massnahmen zu deren Bewältigung selber zu ergreifen.
Zusammenarbeit mit dem Ausland Cyber-Risiken sind länderübergreifend. Für eine fundierte und realistische Risikoanalyse ist internationale Kooperation wesentlich. Der Austausch von Erfahrungen, Forschungs- und Entwicklungsarbeiten, vorfallbezogenen Informationen sowie Ausbildungs- und Übungstätigkeiten soll deshalb verstärkt werden.
Bemühungen, den Cyber-Raum mit international vereinbarten Regeln und Standards vor Missbrauch zu schützen, liegen im Interesse der Schweiz als technologisch hochentwickeltes Land. Die Schweiz beteiligt sich deshalb im Rahmen von internationalen staatlichen und nicht-staatlichen Organisationen bei der Suche nach Lösungen auf politischer Ebene, Kooperationsmöglichkeiten sowie nach völkerrechtlichen
Vereinbarungen zur Minderung von Cyber-Risiken. Strukturbedingte Probleme der globalen Vernetzung, sowie die Schaffung und Beeinflussung von internationalen Standards, Regeln und Normen werden idealerweise in globalen Foren angegangen.
Entsprechend sind die Schweizer Interessen von Wirtschaft, Behörden und Gesellschaft bereits auf dieser Stufe einzubringen.
Dasselbe gilt für den Ausbau der Kooperation bei der gemeinsamen Krisenbewältigung. Durch verstärkte Zusammenarbeit im nachrichtendienstlichen Bereich, im Informationsaustausch mit relevanten IKT-Leistungserbringern und Systemlieferanten, in der technischen Analyse und bei der Strafverfolgung (Rechts- und Amtshilfe) kann die Schweiz die eigene Handlungsfähigkeit und Wirksamkeit ihrer Massnahmen erhöhen. Dabei ist der Einbezug auch nichtstaatlicher Akteure auf den jeweili32
Vgl. BRB 2003 und 2007
595
gen Ebenen, wie beispielsweise Verbände, Interessenorganisationen, internationalen Arbeitsgruppen oder Nicht-Regierungsorganisationen unabdingbar.
Strafverfolgung Im Rahmen der Strafverfolgung sollen gerichtsverwertbare Informationen über Straftaten im Cyber-Bereich gewonnen, die Täter verfolgt, die Straftaten geahndet und die Zusammenarbeit mit ausländischen Strafverfolgungsbehörden sichergestellt werden. Gerade im Hinblick auf die kriminalstrategische Priorisierung 20122015 des Bundesrates ist die Strafverfolgung dazu angehalten, auf Cyberangriffe als schwere Staatsschutzdelikte wie auch als besondere Form von Wirtschaftskriminalität zu fokussieren.
Armee Die Armee als strategische Reserve der Schweiz muss ihre Aufträge in allen Einsatzformen erfüllen. Sie trifft deshalb Massnahmen zum Schutz der eigenen Infrastrukturen und stellt die Führung in der Krise mit ausfallsresistenten Infrastrukturen sicher. Erkenntnisse aus der Tätigkeit der Armee und der Zugang zu den ausfallresistenten Infrastrukturen können auf Gesuch hin anderen Behörden und Betreibern kritischer Infrastrukturen zur Verfügung gestellt werden.
In diesem Sinne ist die Armee eng mit dem zivilen Bereich verknüpft und soll beim Aufbau ihrer Fähigkeiten zur Minimierung von Cyber-Risiken die Umsetzung mit den anderen Behörden abstimmen.
4.3
Handlungsfelder und Massnahmen
Bei der Umsetzung der Massnahmen für einen besseren Schutz der Schweiz vor Cyber-Risiken gilt es, die politische und wirtschaftliche Zweckmässigkeit, Verhältnismässigkeit und Wirksamkeit zu berücksichtigen und der dezentralen Staats- und Wirtschaftsstruktur der Schweiz Rechnung zu tragen. Dies setzt bei allen Akteuren die Erkenntnis voraus, inwiefern ihre jeweiligen Aufgaben und Verantwortlichkeiten eine Cyber-Ausprägung aufweisen und mit welchen Partnern aus Wirtschaft, Politik und Gesellschaft die Massnahmen zur Risikominimierung angegangen werden müssen.
Nachfolgend werden Handlungsfelder und Massnahmen aufgeführt, die zur Reduktion der Cyber-Risiken dienen sollen. Diese Handlungsfelder werden entlang eines Risikomanagement- und Schutzkreislaufes umschrieben.33 Während der Risikomanagement- und Schutzkreislauf fünf Teilprozesse umfasst (Identifikation, Analyse und Bewertung; Leistungsziel und Planung; Massnahmen; Umsetzung und Kontrolle sowie Überprüfung), geht die vorliegende Strategie für jedes einzelne Handlungsfeld nur auf die ersten drei Schritte ein (Identifikation, Analyse und Bewertung; Leistungsziel und Planung und Massnahmen).
33
596
Der Risikomanagement- und Schutzkreislauf lehnt sich stak an den Schutzzyklus an, der in der nationalen Strategie zum Schutz kritischer Infrastrukturen (beim BABS) eingesetzt und von der wirtschaftlichen Landesversorgung verwendet wird.
Die Umsetzung der Massnahmen erfolgt durch die zuständigen Akteure aus der Verwaltung, Wirtschaft und Gesellschaft. Soweit Umsetzungsschritte Bundestellen betreffen, sind diese beschrieben. Dabei handelt es sich in erster Linie um erste Umsetzungsschritte auf Stufe Bund zur Einleitung der Umsetzungsplanung auf allen Ebenen in Zusammenarbeit mit den jeweiligen Partnern aus Verwaltung, Wirtschaft und Gesellschaft.
Die Kontrolle und Überprüfung der umgesetzten Massnahmen obliegt, in enger Zusammenarbeit mit den verantwortlichen Stellen, der zu schaffenden Koordinationsstelle.
4.3.1
Handlungsfeld 1: Forschung und Entwicklung
Identifikation, Analyse und Bewertung Neue Risiken im Zusammenhang mit der Cyber-Problematik sollen erforscht werden, damit Entscheide in Politik, Wirtschaft und Forschung frühzeitig und informiert getroffen werden können. Die Forschung fokussiert auf technologische, gesellschaftliche, politische und wirtschaftliche Tendenzen, die sich auf Cyber-Risiken auswirken können. Forschung und Entwicklung wird durch die Akteure aus Wissenschaft, Wirtschaft, Gesellschaft und Behörden initiiert oder selbständig durchgeführt.
Leistungsziele und Planung Die Fähigkeiten, Risiken im Zusammenhang mit der Cyber-Problematik in der eigenen Verantwortungsdomäne zu identifizieren, zu bewerten und zu analysieren, müssen vorhanden sein. Dies soll in Zusammenarbeit mit den Verantwortlichen der Strategie des Bundesrates für eine Informationsgesellschaft in der Schweiz (Eidgenössischen Departement für Umwelt, Verkehr, Energie und Kommunikation [UVEK] - BAKOM) und der Nationalen Strategie zum Schutz kritischer Infrastrukturen (VBS - BABS) und des Risikomanagements Bund geschehen.
597
Massnahmen Massnahme 1 Die verantwortlichen Bundesstellen tauschen sich untereinander und mit Akteuren ausserhalb der Bundesverwaltung zu aktuellen und zu erforschenden Entwicklungen im Zusammenhang mit Cyber-Risiken aus und treiben bei Bedarf intra muros Forschung oder erteilen Forschungsaufträge.
Umsetzung Die einzelnen Bundesstellen sind verantwortlich für die Ressortforschung in ihrem Zuständigkeitsgebiet. Der Steuerungsausschuss Bildung, Forschung und Technologie (BFT-Steuerungsausschuss) beauftragt die Ämter mit der Ausarbeitung von reifenden Mehrjahresprogrammen zur Ressortforschung in ihren Politikbereichen (Forschungskonzepte). Diese Forschungskonzepte geben Auskunft über die geplanten Schwerpunkte in der Ressortforschung. Dabei berücksichtigen sie namentlich die bestehenden Forschungsschwerpunkte der Hochschulen, die im Auftrag des Bundes durchgeführten Förderprogramme des Schweizerischen Nationalfonds sowie die Tätigkeit der Kommission für Technologie und Innovation.
4.3.2
Handlungsfeld 2: Risiko- und Verwundbarkeitsanalyse
Identifikation, Analyse und Bewertung Risiken, die sich aus der Cyber-Ausprägung ergeben, müssen von allen zuständigen behördlichen Stellen, KI-Betreibern, den IKT-Leistungserbringern, Systemlieferanten und Verbänden (im Sinne einer Branchenbündelung) auf ihrer Stufe identifiziert, deren Eintrittswahrscheinlichkeit und potenziellen Auswirkungen bewertet und analysiert werden.
Leistungsziele und Planung Die verantwortlichen Akteure aus Politik, Wirtschaft und Gesellschaft sollen über Mittel und Fähigkeiten verfügen, um frühzeitig Cyber-Risiken identifizieren, die Bedrohungslage bewerten und die Implikationen in Form von gemeinsamen Risikoanalysen für ihren Bereich analysieren zu können. Die Umsetzung erfolgt in Zusammenarbeit mit dem Risikomanagement Bund, der «Nationalen Strategie zum Schutz kritischer Infrastrukturen» und den Arbeiten zu «Risiken Schweiz».
Massnahmen Massnahme 2 Risiko- und Verwundbarkeitsanalysen sollen auf allen Stufen (Bund, Kantone und KI-Betreiber) unter Einbezug der IKT-Leistungserbringern und Systemlieferanten erstellt werden. Dies umfasst die selbstständige und regelmässige Überprüfung der Systeme durch die Betreiber. Die Erarbeitung von (sektoriellen) Risikoanalysen erfordert eine enge Zusammenarbeit mit den Behörden. (Eidgenössisches Volkswirtschaftsdepartement [EVD], Eidgenössisches Finanzdepartement [EFD], UVEK)
598
Umsetzung Das EVD passt im Rahmen der Revision des LVG seine Kompetenzen an, um mit allen Teilsektoren der wirtschaftlichen Landesversorgung (Bundesamt für wirtschaftliche Landesversorgung) bedarfsorientiert Risiko- und Verwundbarkeitsanalysen unter situativem Einbezug der zuständigen Behörden (in erster Linie UVEK und EFD) durchführen zu können. Sofern KI-Betreiber nicht über die wirtschaftlichen Landesversorgung erfasst werden, sind diese über die jeweiligen, zuständigen Behörden anzugehen, welche ihre sektorspezifische Gesetzgebung bei Bedarf entsprechend anpassen. Die Risiko- und Verwundbarkeitsanalysen sollen nach einem möglichst einheitlichen Ansatz erfolgen. Bei der Umsetzung der Erkenntnisse sind die zuständigen Behörden (in erster Linie beim UVEK und EFD) einzubeziehen.
Die Konsolidierung der Ergebnisse zu einer gesamtheitlichen Analyse der Bedrohungslage erfolgt in Zusammenarbeit mit MELANI.
Massnahme 3 Die Behörden, KI-Betreiber und Forschungseinrichtungen untersuchen, unter Einbezug der IKT-Leistungserbringer und Systemlieferanten, ihre IKT-Infrastrukturen auf Verwundbarkeiten. Dazu gehören systemische, organisatorische, und technische Schwächen. Die Erkenntnisse werden konsolidiert, bewertet und bei öffentlichem Interesse in entsprechenden Berichten publiziert.34 (EVD, EFD, VBS, UVEK) Umsetzung Das ISB erstellt in Zusammenarbeit mit den IKT-Leistungserbringern ein Prüfkonzept per Mitte 2015 zur periodischen Überprüfung der IKT-Infrastrukturen der Bundesverwaltung auf systemische, organisatorische und technische Schwächen.
Dieses wird von den zuständigen Leistungserbringern und den jeweiligen Verantwortlichen in den Generalsekretariaten der Departemente umgesetzt.
Das Prüfkonzept kann als Empfehlung oder zur Unterstützung der Wirtschaft und KI-Betreiber für deren eigene Überprüfungen abgegeben werden.
Die Konsolidierung der Ergebnisse zu einer gesamtheitlichen Analyse der Bedrohungslage erfolgt in Zusammenarbeit mit MELANI.
4.3.3
Handlungsfeld 3: Analyse der Bedrohungslage
Identifikation, Analyse und Bewertung Vorfälle von nationaler Bedeutung und von besonderer Relevanz sollen identifiziert, bewertet und analysiert werden. Die Erkenntnisse daraus sollen stufengerecht für die jeweiligen Verantwortungsbereiche aufgearbeitet und verfügbar gemacht werden.
Leistungsziele und -planung Die Akteure aus Politik, Wirtschaft und Gesellschaft sollen über Mittel und Fähigkeiten verfügen, um die Bedrohungslage in enger Zusammenarbeit untereinander 34
Kryptographische Methoden und Produkte zum Schutz von klassifizierten (VERTRAULICH / GEHEIM) Informationen nach Informationsschutz-Verordnung müssen durch die Fachstelle für Kryptologie des VBS freigegeben werden.
599
mit den Verantwortungsträgern identifizieren, bewerten und analysieren zu können. Soweit nötig soll eine Meldeermächtigung für die verantwortlichen Stellen, KI-Betreiber und die Wirtschaft geprüft werden.
Massnahmen Massnahme 4 Aus nicht öffentlichen und öffentlichen Quellen werden nachrichtendienstliche, polizeiliche, forensische und technische Informationen zur Bedrohungs- und Risikolage im Cyber-Bereich beschafft, bewertet und analysiert. Diese Erkenntnisse sollen im Rahmen des PPP-Modells von MELANI gesammelt, gesamthaft bewertet, analysiert und in einer Lagedarstellung und Lagefortschreibung fusioniert, sowie mit Lageentwicklungsmöglichkeiten versehen werden. Diese Ergebnisse werden den relevanten und verantwortlichen Akteuren zur Verfügung gestellt. (EFD, VBS) Umsetzung Der NDB wird zur Bewältigung und Nachbearbeitung von für den Staatschutz relevanten Vorfällen im Zusammenhang mit IKT-Mitteln die Cyber-Ausprägung seines Auftrags abdecken müssen. Dies geschieht unter Einbezug der FUB als technischer Dienstleistungserbringerin für den NDB und wenn angezeigt den MND.
Die Erkenntnisse fliessen über MELANI in die gesamtheitliche Analyse der Bedrohungslage ein.
Die technischen Kapazitäten zur konstanten Überwachung (24/7) der Bundesnetze sind innerhalb der Dienstleistungserbringer (CERT) per Ende 2015 aufzubauen. Die Erkenntnisse fliessen über MELANI in die gesamtheitliche Analyse der Bedrohungslage ein.
MELANI stärkt den freiwilligen Informationsaustausch mit den KI-Betreibern und seinen internationalen Partnern. Dies führt Grund zu einem erhöhten Bedarf an forensische Fähigkeiten, zunehmenden Informationsflusses und einer Stärkung des Informationsaustausches mit KI-Betreibern und der Wirtschaft. Zusätzliche Fähigkeiten und Kapazitäten werden mittels einer systematischen Zusammenarbeit mit relevanten IKT-Leistungserbringern und Systemlieferanten geschaffen.
Massnahme 5 Der Bund, die Kantone und die KI-Betreiber sollen relevante Vorfälle nachbereiten und Möglichkeiten zur Weiterentwicklung der eigenen Massnahmen im Umgang mit Vorfällen im Zusammenhang mit Cyber-Risiken überprüfen. Dies erfolgt grundsätzlich im Rahmen des eigenen Auftrags individuell. Diese Erkenntnisse sollen im Rahmen der PPP von MELANI gesammelt, gesamthaft bewertet, analysiert und die Ergebnisse den relevanten Akteuren,
insbesondere jenen die für Risiko- und Verwundbarkeitsanalysen zuständig sind, zur Verfügung gestellt werden. (EFD, VBS) Umsetzung MELANI stärkt den freiwilligen Informationsaustausch mit den KI-Betreibern, den relevanten IKT-Leistungserbringern und Systemlieferanten untereinander und unterstützt die Nachbearbeitung von relevanten Vorfällen. Dies führt zu einem erhöhten Bedarf an forensischen Fähigkeiten, zunehmendem Informationsfluss und einer Stärkung des Informationsaustausches mit KI-Betreibern und der Wirtschaft.
600
Der Nachrichtendienst des Bundes wird zur Bewältigung und Nachbearbeitung von Staatschutz relevanten Vorfällen im Zusammenhang mit IKT-Mitteln die CyberAusprägung seines Auftrages abdecken müssen. Dies passiert unter Einbezug der FUB als technischem Dienstleistungserbringer für den NDB. Die Erkenntnisse fliessen über MELANI in die gesamtheitliche Analyse der Bedrohungslage ein.
Die technischen Kapazitäten zur konstanten (24/7) Überwachung der Bundesnetze sind innerhalb der Dienstleistungserbringer (CERT) aufzubauen. Die Erkenntnisse fliessen über MELANI in die gesamtheitliche Analyse der Bedrohungslage ein.
Massnahme 6 Es sollen auf nationaler Ebene eine möglichst vollständige Fallübersicht (Straffälle) geführt und interkantonale Fallkomplexe koordiniert werden. Die gewonnen Informationen aus der Fallübersicht und die Erkenntnisse zu Fallkomplexen insbesondere aus der technisch-operativen Analyse der Strafverfolgung in Strafverfahren sollen in die gesamtheitliche Lagedarstellung einfliessen. (Eidgenössisches Justiz- und Polizeidepartement [EJPD]) Umsetzung Das EJPD legt in Zusammenarbeit mit den Kantonen per Ende 2016 ein Konzept zur Führung einer gesamtheitlichen Fallübersicht (Straffälle) vor. Dieses Konzept umfasst auch die Klärung von Schnittstellen mit weiteren Akteuren auf dem Gebiet der Minimierung von Cyber-Risiken, die Koordination mit der Lagedarstellung und die für die Umsetzung des Konzeptes benötigten Ressourcen und rechtlichen Anpassungen auf Stufe Bund und Kantone.
Die gewonnenen Informationen aus der Fallübersicht (Straffälle) und Erkenntnisse zu Fallkomplexen aus der technisch-operativen Analyse der Strafverfolgung in Strafverfahren fliessen über MELANI in die gesamtheitliche Analyse der Bedrohungslage ein.
4.3.4
Handlungsfeld 4: Kompetenzbildung
Identifikation, Analyse und Bewertung Alle Akteure aus Wirtschaft, Gesellschaft und Behörden sollen für Cyber-Risiken sensibilisiert und ausgebildet werden, damit sie Risiken erkennen und Massnahmen zur Minimierung ihrer Risikoexponierung treffen können.
Leistungsziele und Planung Um das Bewusstsein für Cyber-Risiken und den richtigen Umgang damit zu erhöhen, sollen Sensibilisierungs- und Bildungsmassnahmen unter Berücksichtigung bereits bestehender Ansätze und Initiativen erarbeitet werden, die in den jeweiligen Verantwortungsbereichen umgesetzt werden. Dies erfolgt in enger Abstimmung der Umsetzung der Strategie des Bundesrates für eine Informationsgesellschaft in der Schweiz.
601
Massnahmen Massnahme 7 Es soll eine Übersicht über bestehende Kompetenzbildungsangebote geschaffen werden. Diese dient als Grundlage, um einerseits Angebotslücken zu erkennen und andererseits die Akteure aus Wirtschaft, Verwaltung und Zivilgesellschaft bedürfnisgerecht über Angebote zum Umgang mit Cyber-Risiken zu informieren. (EFD, UVEK, EDA) Umsetzung Die Koordinationsstelle zur Strategieumsetzung unterstützt die Erarbeitung einer Übersicht der formellen und informellen Bildungsangeboten zur bedürfnisgerechten Stärkung der Kompetenzen im Cyber-Bereich und identifiziert qualitativ hochstehende Beispiele und Angebotslücken. Die Erarbeitung der Übersicht und die Identifizierung der qualitativ hochstehenden Beispiele und Angebotslücken erfolgt bis Ende 2013 in Abstimmung mit den Umsetzungsarbeiten der «Strategie des Bundesrates für eine Informationsgesellschaft in der Schweiz» und den Kantonen. Das EDA vermittelt Informationen über Angebote im Rahmen von internationalen Organisationen und Institutionen. Bis Mitte 2014 werden die Kompetenzbildungsangebote und qualitativ hochstehenden Beispiele in geeigneter Form veröffentlicht.
Massnahme 8 Es sollen erkannte Lücken des Kompetenzbildungsangebots zum Umgang mit Cyber-Risiken angegangen, wie auch die vermehrte Nutzung der bestehenden qualitativ hochstehenden Angebote vorangetrieben werden. (EFD, UVEK) Umsetzung Die Koordinationsstelle zur Strategieumsetzung koordiniert in Abstimmung mit der «Strategie des Bundesrates für eine Informationsgesellschaft in der Schweiz», den Kantonen und der Wirtschaft die Erarbeitung eines Umsetzungskonzepts zur vermehrten Nutzung von bestehenden, qualitativ hochstehenden Angeboten zum Umgang mit Cyber-Risiken und zur Schaffung von neuen formellen und informellen Kompetenzbildungsangeboten bis Mitte 2014. Die Angebote erstrecken sich von der administrativen über die technische bis zur strategischen Ebene und sind z.B. Kampagnen oder Ausbildungsleitfäden.
4.3.5
Handlungsfeld 5: Internationale Beziehungen und Initiativen
Identifikation, Analyse und Bewertung Internet-Governance35 funktioniert gemäss den von den UNO-Weltgipfeln zur Informationsgesellschaft (WSIS) in Genf (2003) und Tunis (2005) festgelegten Prinzipien nach einem so genannten Multi-Stakeholder-Ansatz, also unter Einbezug verschiedenster Interessengruppen und Behördenstellen, welche in ihren entsprechenden Rollen agieren. Alle relevanten und zuständigen Akteure (Behörden, Wirtschaft und Gesellschaft) können sich in diesen Prozess einbringen. Die Spielregeln 35
602
Tunis Agenda for the Information Society (WSIS 2005), § 34.
für die Nutzung und Verwaltung des Internets sind fundamental für die Möglichkeiten, Pflichten und Rechte von Bürgern, Unternehmen und Staaten in einer vernetzten, freien und kompetitiven Welt. Auf Grund der globalen und vielfältigen Natur des Internets können Regulierungen nur sehr beschränkt unilateral von einzelnen Staaten beschlossen und durchgesetzt werden. Dies gilt auch für die Formulierung von sogenannten Policies, Best Practices und Gremien zu Ausarbeitung von De-facto-Sicherheitsstandards für Produkte und Prozesse.
Insbesondere Interessen von kleinen Staaten wie der Schweiz können global nur durch «proaktive» Diplomatie und gutes, koordiniertes Einbringen von Positionen im globalen Netzwerk vertreten werden.
Leistungsziele und Planung Strukturbedingte Probleme der globalen Vernetzung werden idealerweise global angegangen. Entsprechend sind die Schweizer Interessen von Wirtschaft, Gesellschaft und Behörden soweit möglich koordiniert einzubringen.
Die Verwaltung der Internet-Kernressourcen soll zwar weiterhin nach freiheitlichen Grundsätzen geleistet werden, soll aber weniger von den Interessen der wenigen Länder der Internetindustrie dominiert werden. Die gemeinsamen Leitplanken sollen von Regierungen gemeinsam erlassen und durchgesetzt werden. Die Stabilität und Verfügbarkeit des Internets für alle soll sichergestellt und die Freiheit der Bürger und Unternehmen im Internet nicht in unverhältnismässiger Weise eingeschränkt werden.
Im Hinblick auf die Schaffung internationaler Best Practices, Policies und Vereinbarungen im Bereich von Sicherungs- und Sicherheitsstandards sowie im sicherheitspolitischen Umfeld ist ein koordiniertes Auftreten vor allem wirtschaftlicher Akteure und behördlicher Stellen zur Einbringung der Schweizer Interessen unabdingbar.
Massnahmen Massnahme 9 Die Schweiz (Wirtschaft, Gesellschaft, Behörden) setzt sich aktiv und soweit möglich koordiniert für eine Internet-Governance ein, welche mit den Schweizer Vorstellungen von Freiheit und (Selbst-)Verantwortung, Grundversorgung, Chancengleichheit, Menschenrechten und Rechtsstaatlichkeit vereinbar ist. Die Schweiz setzt sich zudem für eine vernünftige Internationalisierung und Demokratisierung der Internetverwaltung ein. Durch ihre Erfahrung im demokratischen Entscheidfindungsprozess erbringt sie einen Mehrwert bei
der Konsensfindung. (UVEK, EDA, VBS, EFD) Umsetzung Das UVEK vertritt die Schweiz und deren Interessen in den relevanten Prozessen und Institutionen im Bereich Internet-Governance. Es koordiniert und definiert die Interessen und die Positionen der Schweiz im Bereich Internet-Governance mit den relevanten Bundesstellen. Zudem betreibt das UVEK eine MultistakoholderAustausch-Plattform («Plateforme Tripartite»), welche allen Interessierten aus der Schweizer Verwaltung, Privatwirtschaft, Zivilgesellschaft und Akademie offensteht, und bezieht deren Interessen angemessen ein.
603
In internationalen Gremien und Veranstaltungen mit sicherheitspolitischem Charakter, welche direkt oder indirekt Einfluss auf die Internet-Governance haben, wird die Vertretung der relevanten Akteure durch das EDA und VBS sichergestellt.
Das UVEK und EDA erarbeiten per Ende 2013 in Zusammenarbeit mit den beteiligten Departementen, eine Übersicht zu den prioritären Veranstaltungen, Initiativen und internationalen Gremien mit Bezug zur Internet-Governance.
Massnahme 10 Die Schweiz kooperiert auf der Ebene der internationalen Sicherheitspolitik, um der Bedrohung im Cyber-Raum in Zusammenarbeit mit anderen Staaten und internationalen Organisationen zu begegnen. Sie verfolgt die entsprechenden Entwicklungen auf diplomatischer Ebene und fördert den politischen Austausch im Rahmen von internationalen Konferenzen und anderen diplomatischen Initiativen. (EDA, VBS) Umsetzung Das EDA vertritt die Schweiz in Zusammenarbeit mit dem VBS auf diplomatischer Ebene und wahrt die sicherheitspolitischen Interessen unseres Landes gegenüber internationalen Organisationen und anderen Staaten und setzt sich für völkerrechtliche Initiativen ein, welche zum Ziel haben, den Cyber-Raum frei von Konflikten zu halten.
Massnahme 11 Im Rahmen privater und staatlicher Initiativen, Konferenzen und Standardisierungsprozessen im Bereich Sicherheit und Sicherung koordinieren sich die Betreiber, Verbände und Behörden, um sich in diese Gremien einzubringen. (UVEK, EDA, VBS, EFD) Umsetzung MELANI und das UVEK stärken den Informationsaustausch unter den KIBetreibern, den IKT-Leistungserbringern, Systemlieferanten und den Verbänden zu internationalen Ansätzen und Initiativen. Damit unterstützen MELANI und das UVEK die koordinierte Einbringung des Wirtschaftstandorts Schweiz in diesen internationalen Gremien. Sofern gewünscht stellen MELANI und das UVEK in Absprache mit den Departementen, insbesondere dem EDA, die Teilnahme sicher.
4.3.6
Handlungsfeld 6: Kontinuitäts- und Krisenmanagement
Identifikation, Analyse und Bewertung Die Aktivitäten der verschiedenen Akteure sollen über alle Stufen koordiniert werden.
Der zivile Alltag ist durch die normale Betriebsführung der gesamten IKTInfrastruktur charakterisiert. In dieser Lage steht die Bundesverwaltung, Gesellschaft sowie Wirtschaft und KI-Betreiber unter permanenten Angriffen, die erkannt bzw. detektiert und durch Gegenmassnahmen abgewehrt werden müssen. Im Vordergrund stehen präventive Massnahmen in Infrastruktur und Betrieb, mit regelmässigen reaktiven Interventionen ohne relevante Konsequenzen.
604
Im Falle einer Krise zeichnet sich diese durch einen gelungenen Angriff oder eine nachhaltige Störung mit gravierenden Konsequenzen aus, welche sich in extremis auf das ganze Land auswirken können. Je nach Intensität einer Krise erhöht diese den Führungsrhythmus innerhalb der bestehenden Strukturen zum Krisen- und Kontinuitätsmanagement. Im Vordergrund steht ein Zusammenspiel von Handlungen, welche unter Umständen von politisch geführten technischen Massnahmen auf Landesebene zu begleiten sind. Dabei ist die Ursachenherleitung einer Krise Teil der Bewältigung. Die KI-Betreiber, sowie die relevanten IKT-Leistungserbringer und Systemlieferanten werden auf der Basis von Vereinbarungen in den Entscheidungsprozess einbezogen.
Leistungsziele und Planung Die individuellen und sektoriellen Risikoanalysen sollen als Grundlage für Sektorenvereinbarungen und der Kontinuitätsplanung dienen. Diese sind in enger Zusammenarbeit mit den Betreibern und regulierenden Behörden auszuarbeiten oder abzustimmen. Für Krisenfälle sind die entsprechenden Planungen in enger Abstimmung mit den Behörden und Wirtschaftsvertretern auszuarbeiten, respektive wo nötig Vereinbarungen zu treffen. Dies erfolgt in Zusammenarbeit und Absprache mit dem Risikomanagement Bund und der nationalen Strategie zum Schutz kritischer Infrastrukturen.
Die Schweiz soll in der Lage sein, Angriffe, die sie betreffen oder betreffen könnten, allein oder in Kooperation mit ausländischen Partnern, aktiv zu ermitteln und abzuwehren und somit das reaktive Krisenmanagement zu unterstützen. Die verantwortlichen Stellen werden befähigt, gezielte Operationen zur Informationsbeschaffung von Angriffsinfrastrukturen zu führen. Dies soll in den relevanten Rechtsgrundlagen vorgesehen (z.B. NDG) und den politischen Entscheidungsträgern vorgelegt werden.
Massnahmen Massnahme 12 Die Akteure aus Wirtschaft, Gesellschaft und Behörden sollen mit einem Kontinuitätsmanagement die Widerstandsfähigkeit (Resilienz) gegenüber Störungen und Ereignissen in enger Zusammenarbeit stärken und verbessern. (EVD, EFD, VBS, UVEK) Umsetzung Das EVD passt im Rahmen der Revision des LVG seine Kompetenzen an, um mit allen Teilsektoren der wirtschaftlichen Landesversorgung bedarfsorientiert Risikound Verwundbarkeitsanalysen unter situativem Einbezug der zuständigen Behörden (in erster
Linie UVEK und EFD) durchführen zu können. Die Ergebnisse sind in entsprechende Kontinuitäts- und Krisenmanagementpläne umzusetzen. Sofern KIBetreiber nicht über die wirtschaftlichen Landesversorgung erfasst werden, sind diese über die jeweiligen, zuständigen Behörden anzugehen, welche ihre sektorspezifische Gesetzgebung bei Bedarf entsprechend anpassen.
MELANI unterstützt und stärkt den freiwilligen Informationsaustausch mit KI-Betreibern, IKT-Leistungserbringern und Systemlieferanten untereinander zur Unterstützung der Kontinuität und Widerstandsfähigkeit auf der Basis der Selbsthilfe. Dies führt zu einem erhöhten Bedarf an forensischen Fähigkeiten, zunehmendem Informationsfluss und einer Stärkung des Informationsaustausches mit KI605
Betreibern und der Wirtschaft. Zusätzliche Fähigkeiten und Kapazitäten werden mittels einer systematischen Zusammenarbeit mit relevanten IKT-Leistungserbringern und Systemlieferanten geschaffen.
Massnahmen 13 In einer Krise sollen die Aktivitäten in erster Linie mit den direkt betroffenen Akteuren durch MELANI koordiniert und die Entscheidfindungsprozesse innerhalb der bestehenden Strukturen für das Krisen- und Kontinuitätsmanagement mit fachlicher Expertise unterstützt werden, um ein kohärentes Handeln zur Bewältigung der Krise zu gewährleisten. Dabei sind auch die Gesetzmässigkeiten der Strafverfolgung zu berücksichtigen. Der nationale und internationale Informationsaustausch spielt für die Krisenbewältigung eine wesentliche Rolle und muss deshalb sichergestellt werden und koordiniert erfolgen. (EVD, EFD, VBS, EJPD) Umsetzung Zur Unterstützung der betroffenen Akteure in einer Krise, unterstützt und stärkt MELANI den freiwilligen Informationsaustausch mit den KI-Betreibern und seinen internationalen Partnern und stellt den Einbezug polizeilicher Stellen sicher. Dies führt zu einem erhöhten Bedarf an forensischen Fähigkeiten, zunehmenden Informationsfluss und einer Stärkung des Informationsaustausches mit KI-Betreibern und der Wirtschaft. Zusätzliche Fähigkeiten und Kapazitäten werden mittels einer systematischen Zusammenarbeit mit relevanten IKT-Leistungserbringern und Systemlieferanten geschaffen.
Massnahme 14 Im Falle einer spezifischen Bedrohung werden aktive Massnahmen zur Identifikation der Täterschaft und ihrer Absichten, zur Ermittlung der Fähigkeiten der Täterschaft und zur Beeinträchtigung ihrer Infrastruktur vorgesehen. (VBS, EJPD) Umsetzung Der NDB soll zur Bewältigung und Nachbearbeitung von für den Staatschutz relevanten Vorfällen im Zusammenhang mit IKT-Mitteln die Cyber-Ausprägung seines Auftrags abdecken. Dies geschieht unter Einbezug der FUB als technischer Dienstleistungserbringerin für den NDB und den MND als Schnittstelle zu den militärischen Partnerdiensten, internationalen Militärbündnissen und deren Agenturen. Dies soll in den relevanten Rechtsgrundlagen vorgesehen (in erster Linie NDG) und den politischen Entscheidungsträgern vorgelegt werden.
Die Erkenntnisse der Analyse der Bedrohungslage durch MELANI und die im Rahmen des gesetzlichen Auftrags der Strafverfolgung
liegenden Möglichkeiten zur Ermittlung und Überführung der Täterschaft fliessen in die Massnahmen ein.
Massnahme 15 Es soll dafür gesorgt werden, dass Führungsabläufe und -prozesse innerhalb der bestehenden Strukturen, welche einem erhöhten Führungsrhythmus zur zeitgerechten Problemlösung im Falle einer Krise dienen, der Cyber-Ausprägung Rechnung tragen. Dies erfolgt in Abstimmung mit der nationalen Strategie zum Schutz kritischer Infrastrukturen und den Departementen. (Bundeskanzlei)
606
Umsetzung Falls die Bundeskanzlei vom Bundesrat beauftragt wird, dem Bundesrat im Rahmen der Regierungsreform unter den Punkten «Krisenfrüherkennung» und «Krisenmanagement» Vorschläge zu unterbreiten, muss sie dabei die zuständigen Partner in Sachen Cyber-Risiken einbeziehen.
4.3.7
Handlungsfeld 7: Rechtliche Grundlagen
Identifikation, Analyse und Bewertung Rechtliche Grundlagen für den Cyber-Bereich finden sich heute in einer Vielzahl von Bundesgesetzen und Verordnungen. Problematisch dabei ist, dass diese Regelungen kaum aufeinander abgestimmt und zum Teil noch lückenhaft sind.
Im Rahmen der Umsetzung der Massnahmen sollen auch im Bedarfsfall die Möglichkeiten der Verwaltung, über ihre Stellen hinaus rechtlich verpflichtende Auflagen im Zusammenhang mit der Minimierung von Cyber-Risiken zu erlassen, geklärt werden.
Leistungsziele und Planung Die bestehenden Rechtsgrundlagen widerspiegeln die Cyber-Ausprägung von bestehenden Aufgaben und Verantwortlichkeiten. Entsprechend ist eine Lösung im Rahmen von nur einem nationalen Cyber-Spezialgesetzes ungeeignet. Die bestehenden Gesetzeswerke sind daher fortlaufend, im Rahmen der Revision an die Entwicklungen im Cyber-Bereich innerhalb ihres Geltungsbereiches anzupassen. Die Kohärenz und Konsistenz dieser Arbeiten ist jedoch zwingend sicherzustellen.
Auch ist die Frage zu klären, in welchem Ausmass rechtliche Grundlagen zur Verpflichtung relevanter Akteure (speziell Kantone, KI-Betreiber und Wirtschaft) über die Behördenstellen hinaus bereits existieren, respektive welche rechtlichen Abklärungen vorgenommen werden müssen, um im Bedarfsfall solche Weisungsbefugnisse zu schaffen.
Massnahmen Massnahme 16 Bestehende rechtliche Grundlagen sind im Hinblick auf die Massnahmen auf ihre Kohärenz und Lückenlosigkeit hin zu überprüfen. Dabei ist eine Priorisierung vorzunehmen um jene Grundlagen unverzüglich anzupassen, die nicht erst im Rahmen einer periodischen Revision einer Überarbeitung bedürfen. (EFD) Umsetzung Die Koordinationsstelle zur Strategieumsetzung erarbeitet per Ende 2013 in Zusammenarbeit mit den Departementen eine erste Übersicht zum vordringlichen Gesetzgebungs- und Revisionsbedarfs im Cyber-Bereich, auf Grund der dargelegten Massnahmen. Dabei ist unter anderem auch darauf zu achten, dass der Informationsaustausch mit Dritten und der Umgang mit Daten möglichst über alle Gesetzestexte einheitlich gehandhabt werden. Weiter sollen allfällige weitergehende Verpflichtungen an die Kantone, KI-Betreiber und die Wirtschaft ausgewiesen werden. Die 607
Verfassungsmässigkeit der vorgeschlagenen Regelungen ist in Zusammenarbeit mit dem Bundesamt für Justiz sicherzustellen. Für die als prioritär identifizierten Gesetzgebungslücken und nötigen rechtlichen Anpassungen ist von den zuständigen Departementen bis Ende 2014 ein vernehmlassungsreifer Vorentwurf mit erläuterndem Bericht zu erarbeiten.
4.3.8
Koordinationsstelle zur Strategieumsetzung
Die stufengerechte Erarbeitung und Umsetzung der Massnahmen ist Sache der jeweiligen verantwortlichen Stellen innerhalb ihres Auftrages und erfolgt in Zusammenarbeit mit deren jeweiligen, zuständigen Partnern in Behörden (auf Stufe Bund, Kantone und Gemeinden), aus Wirtschaft (Betreiber und Verbände) und Gesellschaft. Die zuständigen Stellen stellen den Einbezug dieser Akteure sicher.
Eine Koordinationsstelle zur Strategieumsetzung im EFD unterstützt in enger Zusammenarbeit mit den verantwortlichen Stellen die fortlaufende Umsetzung und Erfüllung der geforderten Massnahmen. Dies soll im Zeitraum von vier bis sechs Jahren erreicht werden. Die Koordinationsstelle soll eng mit bestehenden Koordinations- und Geschäftsstellen für weitere Strategien des Bundes zusammenarbeiten und Doppelspurigkeiten vermeiden.
Nach Abschluss der Umsetzung und somit der Überführung der relevanten Prozesse und Anpassungen in den regulären Betrieb, wird die Koordinationsstelle zur Strategieumsetzung aufgelöst. MELANI übernimmt nach Abschluss der Umsetzungen, sofern notwendig, eine Koordinations- und Leitungsrolle.
Aufgaben der Koordinationsstelle zur Strategieumsetzung sind:
Sie führt einen interdepartementalen Steuerungsausschuss zur Koordination der Umsetzungsschritte auf Stufe Bund. Dieser besteht aus Vertretern der verantwortlichen Bundesstellen. Die Departemente bezeichnen ihre Vertreter selber.
Sie begleitet in Zusammenarbeit mit dem Konsultations- und Koordinationsmechanismus Sicherheitsverbund Schweiz eine Fachgruppe «Cyber», bestehend aus Vertretern der Stufen Bund, Kantone und Gemeinden sowie der Infrastrukturbetreiber, der Wirtschaft und der Gesellschaft. Diese Fachgruppe fördert den Informationsgleichstand unter den Partnern sowie die Initiierung und Koordination von gemeinsamen Problemlösungen.
Sie erarbeitet einen detaillierten Umsetzungsplan mit den verantwortlichen Stellen auf Stufe Bund. Der Umsetzungsplan umfasst die Konkretisierung für die jeweiligen Bereiche und beinhaltet die Anpassungen von Ressourcen und rechtlichen Grundlagen.
Sie erstattet dem Bundesrat jährlich Bericht zum Stand der Umsetzung.
Sie sorgt für ein koordiniertes Vorgehen der zuständigen Departemente bei der Umsetzung der Massnahmen, sofern diese den Rechtsetzungsbereich tangieren. Insbesondere mit bereits bestehenden und zukünftigen Rechtsetzungsprojekten und Gesetzesrevisionen (FOGIS, PolAG, NDG, LVG, BÜPF).
608
Sie überwacht die Umsetzung der nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken, unter Berücksichtigung der Risikopolitik des Bundes, der nationalen Strategie zum Schutz kritischer Infrastrukturen und «Risiken Schweiz» (VBS - BABS) sowie der Strategie des Bundesrates für eine Informationsgesellschaft in der Schweiz (UVEK - BAKOM).
Sie prüft mit den verantwortlichen Stellen eine Vereinfachung und Verschlankung der Meldewege und systeme.
Sie prüft mit den verantwortlichen Stellen mögliche Synergien (z.B. im technisch-operativen Bereich).
Sie koordiniert die Umsetzung der Massnahmen 7, 8 und 15 mit den zuständigen Ämtern und Akteuren und unterstützt bei Bedarf mit fachlichen Eingaben bei der Umsetzung von Massnahme 1.
Sie überprüft nach fünf Jahren die nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken und deren Umsetzungsplanung im Hinblick auf die Entwicklung im Cyber-Bereich und die getroffenen Massnahmen. Dazu wird ein systematisches Benchmarking erstellt.
609
610