«Ein Cyber-Angriff verursacht Vertrauensverlust»

Bulletin: Roman Haltinner, als wie hoch schätzen Sie das Risiko ein, dass Schweizer Energieversorger Opfer einer Cyber-Attacke werden könnten?

Roman Haltinner: Die Bedrohung für Unternehmen durch Cyber-Attacken hat stark zugenommen. Cyber-Angriffe richten sich gegen Unternehmen aller Industrien weltweit. Laut verschiedenen Befragungen und unserer EY-Studie wurde mehr als die Hälfte der befragten Schweizer Unternehmen in den letzten zwölf Monaten Opfer von Cyber-Angriffen. Durch unsere tägliche Arbeit haben wir auch Kenntnisse von aktuellen Fällen, die Schweizer Energieversorger betreffen.

Wie gut sind die Schweizer Energieversorger gegen solche Attacken und digitale Intrusion gerüstet?

Je stärker die Digitalisierung fortschreitet, je mehr sie die Geschäftsprozesse der Energieversorger durchdringt, desto grösser ist die Gefahr, dass Unternehmen Opfer von Cyber-Attacken werden. Das Management von Cyber-Risiken ist daher ein kontinuierlicher Prozess. Die Schweizer Energieversorger haben dafür ein Bewusstsein entwickelt und Massnahmen auf allen Ebenen ergriffen. Zudem steht die Branche vor spezifischen Herausforderungen bezüglich der Sicherheit, weil die klassische Büroinformatik und die operationelle Technologie aufgrund des technologischen Fortschritts immer mehr zusammenwachsen.

Im Dezember 2015 führte eine Cyber-Attacke zu einem Blackout in der Ukraine. Allerdings geschah dies vor dem Hintergrund des Konflikts zwischen der Ukraine und Russland. Wäre eine solche Attacke auch in der Schweiz denkbar? Oder gab es sogar schon solche Fälle?

Unter Blackout versteht man einen grossräumigen Stromausfall, von dem eine sehr grosse Zahl von Menschen betroffen ist. Auch wenn sich ein solcher Vorfall meines Wissens in der Schweiz im Zusammenhang mit einem Cyber-Angriff noch nie ereignet hat, stellt er doch ein Risiko dar, das die Energiebranche nicht unterschätzen darf. Tatsächlich müssen solche Szenarien in Betracht gezogen und die zu ergreifenden Massnahmen vorausschauend geplant werden. Cyber-Angriffe stellen neben operativen auch rechtliche Risiken dar. Zu nennen sind der Verlust von geistigem Eigentum, Bussen aufgrund von Datenschutzverletzungen oder Schadenersatzforderungen wegen Vertragsverletzungen. Für kritische Infrastrukturen führt ein Cyber-Angriff zu Untersuchungen durch Behörden. Dies bindet adminis­trative Ressourcen, verursacht Kosten und führt zu einem Vertrauensverlust.

Wäre es möglich, dass sich ein solcher – womöglich lokal begrenzter – Blackout bereits ereignet hat, ohne dass er als Cyber-Attacke erkannt worden wäre? Quasi als Testlauf für eine grössere Attacke?

Akteure, die sich ein Blackout einer Region oder gar eines Landes zum Ziel setzen, werden dies tun. Militärische Operationen im Cyberspace beinhalten in der Regel «Testläufe», also vorbereitende oder täuschende Massnahmen, die verschiedene Angriffsvektoren beinhalten. Das «Wall Street Journal» hat im Januar in einer aufwendigen Recherche minuziös beschrieben, wie sich Angreifer Zugang zu den Schaltstellen der amerikanischen Stromversorgung zu verschaffen suchen. Im vergangenen Juli wurde bekannt, dass es Hackern schon gelang, an die Schalthebel einiger Produktionsanlagen heranzukommen.

Cyber-Kriminelle sind den Betreibern von digitalen Infrastrukturen immer einen Schritt voraus. Können sie also gar nicht anders, als bloss zu reagieren?

Der Angreifer ist immer im Vorteil. Er versucht, gezielt Schwachstellen in einem System auszunützen und diese anzugreifen. Der Verteidiger ist daher ständig in der Abwehrhaltung. Dieser asymmetrischen Bedrohung können wir nur entgegenwirken, wenn Staat, Wirtschaft und Gesellschaft sich besser schützen, Sorgfalt beim Umgang mit Daten walten lassen und gemeinsam handeln. Daher ist es unerlässlich, dass bei der Strategieentwicklung zur Widerstandsfähigkeit gegen Cyber-Risiken die Unternehmen das Verständnis für mögliche Angriff Szenarien ins Zentrum rücken und die Massnahmen risikoorientiert auf den «einzutreffenden Fall» konzipieren.

Was tun Energieversorger heute, um einen solchen absichtlich verursachten Blackout zu verhindern?

Das Bewirtschaften von Cyber-Risiken ist ein kontinuierlicher Prozess. In unserer stark vernetzten Welt können Probleme, denen sich ein Lieferant oder Geschäftspartner gegenübersieht, auch für die eigene Unternehmung eine reale Bedrohung darstellen. Und während sich dieses Umfeld immer komplexer und vielschichtiger gestaltet, wird es gleichzeitig immer schwieriger, Schwachstellen zu erkennen und aufzudecken. Kein Energieversorger kann es sich leisten, die eigene Cyber-Sicherheit isoliert und unabhängig vom Rest seines Umfelds zu betrachten.

Welche Rolle spielt der Faktor Mensch?

Der Mensch ist und bleibt das schwächste Glied. Angreifer machen sich den Faktor Mensch zu Nutze und umgehen so prozessuale und technische Abwehrmassnahmen. Das ist nicht nur eine Frage der unvorsichtigen Benutzer. Es ist auch ein Designproblem der technischen Massnahmen. «Security by design» bietet ein starkes Potenzial zur Verbesserung der Anwendung und Handhabung sicherer Systeme. Aus diesem Grund müssen Unternehmen vermehrt auch weiche Faktoren, wie etwa die Unternehmenskultur ins Zentrum ihrer Sicherheitsüberlegungen stellen und die «Sicherheitsfreundlichkeit» der Nutzung von Technologiekomponenten (Produktesicherheit) berücksichtigen. Insbesondere Unternehmen in der Energieversorgung verfügen über diverse Nutzer in der Stromproduktion, dem Energiehandel und der klassischen Büroinformatik, die alle gezielt unterstützt werden müssen.

Wer könnte überhaupt ein Interesse daran haben, in der Schweiz einen Blackout herbeizuführen? Und mit welcher Motivation?

In Frage kommen Cyberkriminelle, welche Erpressertrojaner (Ransomware) einsetzen und dadurch einen «Kollateralschaden» anrichten. Wir haben eine starke Zunahme solcher Angriffe auf Energieversorger in den letzten Monaten feststellen können, welche zu namhaften Lieferausfällen führten. Nie ausser Acht lassen darf man Umweltaktivisten, die für ihre ideologischen und politischen Interessen Mittel einsetzen, die als Cyber-Angriff klassifiziert werden können.

Wird das Risiko in Zukunft eher zunehmen oder – auch dank grösserer Aware­ness bei Betreibern – auf dem bisherigen Stand verbleiben?

Aus heutiger Sicht wird das Risiko durch die Digitalisierung und dem damit verbunden technologischen Wandel steigen. Das grössere Bewusstsein und entsprechende Massnahmen werden dazu führen, dass der Umgang mit Cyber-Angriffen besser bewältigt werden kann und Systeme grundsätzlich widerstandsfähiger werden. Es ist aber nicht nur aufgrund des asymmetrischen Verhältnisses und der Agilität der Angreifer davon auszugehen, dass das Mittel des Cyberangriffs zum Erreichen eines Vermögensvorteils, zur Verbreitung und zum Erkennbar-machen ideologischer Haltungen (Aktivismus) oder zur Durchsetzung militärischer Ziele auch künftig zum Inventar von Cyber-Akteuren gehören werden.