Darum gehts
- Innert fünf Monaten 150 Cyberangriffe auf kritische Infrastrukturen in der Schweiz
- Finanzsektor am stärksten betroffen, gefolgt von IT und Energiesektor
- Axpo hat 7,5 Millionen Franken in ein Security Operations Center investiert
150 Cyberangriffe auf kritische Infrastrukturen in fünf Monaten: Das ist die erste Bilanz der neuen Meldepflicht, die seit 1. April in der Schweiz gilt. Manuel Suter, stellvertretender Direktor des Bundesamts für Cybersicherheit (Bacs), präsentierte die Zahlen an einer Veranstaltung in Bern.
Besonders betroffen: der Finanzsektor (19,7 Prozent), gefolgt von der IT (9 Prozent) und vom Energiesektor (7,8 Prozent). Zielscheibe sind auch Telecom-Firmen (5,3 Prozent), Bundesbehörden (4,9 Prozent), Gemeinden (4,9 Prozent), medizinische Versorgung, Gesundheitswesen und Spitäler (4,9 Prozent), Bahnbetriebe (2,9 Prozent), die Post (1,2 Prozent), Lufttransporte (0,8 Prozent) sowie Medien und NGOs (je 0,4 Prozent). Zu den häufigsten Angriffsformen zählen DDoS-Attacken (19,3 Prozent), Hacking (15,9 Prozent) und Ransomware (12,5 Prozent). Weitere Kategorien sind: Log-in-Diebstahl (10,2 Prozent), Datenlecks (9,7 Prozent) und Malware (9,1 Prozent).
«Die grosse Mehrheit der Angriffe ist nach wie vor kriminell motiviert. Es geht ums Geld», erklärt Suter. Sorge bereiten aber neue Akteure: «Wir sehen heute Angreifer, die sich nicht wie Kriminelle verhalten. Die gehen in die Systeme rein, machen dann aber nichts.» Diese könnten staatliche Akteure sein, die Cyberfähigkeiten aufbauen.
Axpo: Millionen für Cybersicherheit
René Oester, CEO von Axpo Systems, schilderte konkret, was hinter den Kulissen läuft: «Wir haben rund eine halbe Million Cyber-Ereignisse pro Monat.» Sein Team bearbeitet 9500 «Nichtkonformitäten», 30 Anomalien erfordern direkte Eingriffe, 7- bis 10-mal müssen Experten vor Ort kommen. Etwa 5 Zero-Day-Schwachstellen (eine noch unbekannte Sicherheitslücke in Software, Hardware oder Firmware, die dem Hersteller oder Entwickler bisher nicht gemeldet wurde) werden pro Monat geschlossen.
Die Axpo hat dafür ein Security Operations Center (SOC) ins Leben gerufen: Die Bauzeit betrug 1,5 Jahre. 7,5 Millionen Franken wurden investiert, 5 Millionen Franken kostet der jährliche Betrieb. «Es ist eine 24-Stunden-Organisation an 7 Tagen die Woche, im Schichtbetrieb», so Oester. Das Zentrum überwacht über 50 Anlagen und rund 100 Kraftwerke.
Kooperation statt Konfrontation
Die Meldepflicht besteht laut dem Bacs, um zu verstehen, wo die Probleme sind und welche Technologien es zur Bewältigung der Attacken benötigt. Wenn ein Cyberangriff abgewehrt wird oder keine nachweisbaren Auswirkungen hat, besteht grundsätzlich keine Meldepflicht.
Die Zusammenarbeit zwischen Bund und Organisationen funktioniere gut. Die erste Meldung muss binnen 24 Stunden erfolgen, Details innerhalb von 14 Tagen. Das Ziel: Frühwarnungen für andere kritische Infrastrukturen. Und obwohl bei Verstössen ab dem 1. Oktober Bussen bis 100’000 Franken drohen, setzt das Bacs auf Vertrauen statt auf Strafen. «Die Unternehmen sind Opfer. Die haben schon genug Probleme», betont Suter. Bisher gab es keine unkooperativen Firmen. In zwei Fällen erfuhr das Bacs aus den Medien von Angriffen und fragte nach, die Unternehmen meldeten den Vorfall im Anschluss.