"Unter kritischen Infrastrukturen verstand jeder etwas anderes"

Herr Brem, gleichzeitig mit der Cyber-Risiken-Strategie des Bundes wurde im vergangenen Juni eine neue Strategie zum Schutz kritischer Infrastrukturen in Kraft gesetzt. Cyberangriffe wie Stuxnet haben aufgezeigt, dass diese sehr verletzlich sind. Was sind die wichtigsten Eckpunkte der neuen Strategie des Bundes?

Ursprünglich standen nicht Cyberangriffe im Vordergrund der Strategie, sondern vor allem Unwetter und Stromausfälle. So kam es 2003 aufgrund grosser Belastungen im Übertragungsnetz aus der Schweiz nach Italien zu einem kaskadenartigen Zusammenbruch der italienischen Stromversorgung. 2005 gab es einen grossflächigen Stromausfall bei den SBB. International gesehen war auch 9/11 einer der Hauptauslöser. Dank der Strategie gibt es jetzt in der Schweiz erstmals ein koordiniertes Vorgehen zum Schutz der kritischen Infrastrukturen über alle Sektoren hinweg. Damit haben wir gemeinsame Grundlagen und eine gemeinsame Vision. Es geht insgesamt um einen risikobasierten Ansatz, der nicht der Illusion nacheifert, eine hundertprozentige Sicherheit schaffen zu können. Die Verhältnismässigkeit zwischen Massnahmen und Sicherheitsgewinn ist sehr wichtig. Jeder Akteur trägt eine Mitverantwortung. Damit verbunden ist auch die Notwendigkeit, dass der öffentliche und der private Sektor verstärkt zusammenarbeiten.

IT und Telekommunikation haben laut der neuen Strategie eine "sehr grosse Kritikalität". Was soll in diesen Bereichen konkret getan werden, um den Schutz zu erhöhen?

Die Strategie äussert sich nicht zu einzelnen Massnahmen in den Sektoren; es stehen koordinierende Massnahmen im Vordergrund. Unser Amt hat dazu eine Methode entwickelt, die es erlaubt, in den jeweiligen Teilsektoren die kritischen Infrastrukturen zu erfassen. Dies erfolgt zusammen mit den zuständigen Fachämtern, Branchenverbänden und Betreibern. Damit kann gewährleistet werden, dass alle Beteiligten das Gleiche unter kritische Infrastrukturen verstehen. Die Methode schafft auch einen Gesamtüberblick und zeigt die Vernetzung zwischen den Teilsektoren auf; erfasst werden aber in einem ersten Schritt nur Einzelobjekte. Um den Schutz zu erhöhen, soll nicht ein separater Prozess etabliert, sondern die kontinuierliche Verbesserung der IT-Sicherheit in den bestehenden Prozessen angestrebt werden. Gerade im IT- und Telko-Umfeld ist schon viel erreicht, wenn man die Leute an einen gemeinsamen Tisch bringt. Ohne ein gewisses Grundvertrauen ist es schwierig, gemeinsame Lösungen zu schaffen.

In der Schweiz funktioniert die Zusammenarbeit zwischen öffentlichen und privaten Institutionen besser als anderswo. Sehen Sie dort auch Risiken?

Es gibt zwei Probleme: Die mangelnden Ressourcen und die Durchsetzungsfähigkeit von Massnahmen im Ernstfall. Letzteres könnte zum Problem werden, da das meiste auf Freiwilligkeit basiert. Es ist zwar gut, wenn die Akteure Informationen austauschen. Hier gibt es jedoch bereits ein nächstes Risiko. Heikle Informationen können etwa durch Social Engineering in falsche Hände geraten. Hier wird eine Verbesserung des Informationsaustausches angestrebt.

Wie nehmen Sie die Themen Cyberkrieg und Cyberkriminalität insgesamt wahr?

Sie sind medial sehr präsent. Die Themen sind selbstverständlich auch für die kritischen Infrastrukturen relevant, aufgrund der Strategie haben wir keine explizite Zuständigkeit. Das Ganze wird natürlich in der Cyber-Risiko-Strategie vertieft betrachtet, die eng mit unserer Strategie verknüpft ist. Den Begriff Cyberkrieg würde ich eher in «Cybered Krieg» umbenennen. Aktivitäten von staatlichen und parastaatlichen Akteuren mit militärischen Zielen stellen keinen Cyberkrieg dar.

Sie sind Leiter Risikogrundlagen und Forschungskoordination beim Bundesamt für Bevölkerungsschutz. Wie weit ist die Forschung zu Cyberkrieg und Cyberkriminalität heute?

Es ist insgesamt ein enorm dynamisches und heterogenes Umfeld. Das alleine macht es schwierig, mit vernünftigem Aufwand systematisch verfolgen zu können, was genau läuft. Die Schweiz muss sich im internationalen Vergleich nicht verstecken. Wir können jedoch nicht auf Ressourcen zurückgreifen, wie sie zum Beispiel Unternehmen wie McAfee oder Symantec haben. Zudem haben wir in der IT-Sicherheit, wie in vielen anderen Bereichen auch, ein Nachwuchsproblem.