Vielen Dank für Ihre Registrierung. Sie haben den Aktivierungslink für Ihr Benutzerkonto per E-Mail erhalten.

Vielen Dank für Ihre Anmeldung.

Vielen Dank für Ihre Bestellung. Wir wünschen Ihnen viel Spass beim Lesen.

Cyberangriffe durch die Hintertür

Für FDP-Nationalrat Marcel Dobler ist die Versorgungssicherheit der Schweiz gefährdet. Er fordert nun den Bund auf, kritische Infrastrukturen wie Spitäler oder Stromwerke besser zu schützen.
Michel Burtscher
Schützenswert, weil lebensnotwendig: ein Serverraum. (Bild: Getty)

Schützenswert, weil lebensnotwendig: ein Serverraum. (Bild: Getty)

Marcel Dobler macht sich Sorgen. Der St. Galler FDP-Nationalrat befürchtet, dass der Sicherheit von Software und insbesondere Hardware bei den kritischen ­Infrastrukturen hierzulande zu wenig Beachtung geschenkt wird. Dazu gehören Spitäler, Telekomfirmen, Stromversorger oder die Armee. Die Versorgungssicherheit der Schweiz sei gefährdet, weil deren Betreiber ihre IT-Komponenten bei verschiedenen nationalen und internationalen Lieferanten kaufen.

Daraus entstünden Cyber­risiken, welche die «Integrität der landeskritischen Infrastrukturen und die Versorgungssicherheit der Schweiz gefährden». Das schreibt Dobler in zwei Vorstössen zum Thema, die er heute im Parlament einreicht.

Ernst zu nehmende Gefährdung

Was der IT-Unternehmer damit meint: Software oder Hardware für die kritischen Infrastrukturen könnte manipuliert angeliefert werden, ohne dass die Käufer oder unter Umständen sogar die Hersteller und Lieferanten selbst davon wissen. Irgendwo in der Lieferkette könnten Fehler eingebaut worden sein, von ausländischen Geheimdiensten etwa, um in den Computersystemen zu spionieren oder sie zu sabotieren. «Von aussen in ein System zu ­hacken, ist etwas für Anfänger. Profis bauen Hintertüren direkt in die Hardware ein», sagt ­Dobler. Und das könnte fatal sein. Dobler nennt ein Beispiel: Kraftwerke sind hierzulande ans Netz angeschlossen, damit sie aus der Ferne gewartet werden können. Wenn dort beispielsweise Computerchips manipuliert wurden, könnte jemand auf die IT-Systeme zugreifen und ein Kraftwerk abstellen. Im schlimmsten Fall sogar mehrere Kraftwerke mit­einander. Die Folge: ein Blackout in Teilen der Schweiz.

Das ist natürlich ein fiktives Szenario. Doch die Angst vor ­Sabotage und Spionage ist da. In diesem Zusammenhang macht im Moment vor allem der chinesische Technologiekonzern Huawei Schlagzeilen. Von mehreren westlichen Ländern wird ihm vorgeworfen, für die chinesische Regierung zu spionieren. Auch in der Schweiz ist das Unternehmen aktiv. So arbeitet es etwa mit Sunrise zusammen beim Aufbau des 5G-Netzes. Huawei wie auch Sunrise weisen die Kritik zurück. Für Dobler ist der Fokus einzig auf Huawei sowieso zu wenig weitsichtig. Er sagt: «Das Grundproblem ist, dass die Schweiz und auch der Rest Europas keine eigenen Soft- oder Hardwarehersteller haben.» Die Schweiz und Europa seien diesbezüglich vollkommen abhängig von den USA und Asien. Dobler fordert darum, dass der Schutz der Hardware und Software von kritischen Infrastrukturen hierzulande ausgebaut wird. So weit geht er in seinen Vorstössen aber nicht. In einem ersten Schritt will er den Bundesrat beauftragen, ganz allgemein Bericht zu erstatten über die heutigen Massnahmen im ­Bereich der «Supply Chain Security», also der Sicherheit in der Lieferkette. «Im Moment gibt es diesbezüglich keine verbindlichen Standards. Der Bund hat kein übergreifendes Konzept», bemängelt Dobler. «Die Sensibilität gegenüber diesen Risiken fehlt vielerorts.» Deutlicher drückt sich Stefan Frei aus. Er ist Dozent für Cyber Security an der ETH Zürich und sagt: «Die Schweiz ist blind gegenüber diesen Gefahren.» Es bestehe dringender Handlungsbedarf, sonst werde die Digitalisierung zur «Hypothek, die uns am Ende das Genick bricht», warnt Frei. Spionage und Sabotage seien schon immer Auftrag von Geheimdiensten gewesen, sagt der ­Sicherheitsexperte. «Es wäre naiv zu glauben, dass das Staaten nicht machen.» Man müsse auch in der Schweiz davon ausgehen, dass kritische IT-Komponenten von Haus aus kompromittiert seien, sagt Frei. Für ihn ist darum klar: Unternehmen müssen stärker in die Pflicht genommen werden und kritische Systeme besser und systematisch auf allfällige Manipulationen untersuchen. Frei schlägt die Gründung einer unabhängigen europäischen Organisation vor, die solche Tests durchführt.

In der Schweiz ist das Bun­desamt für Bevölkerungsschutz (Babs) zuständig für die Umsetzung der Strategie zum Schutz ­kritischer Infrastrukturen. Dort heisst es dazu auf Anfrage: «Das Babs erachtet Supply-Chain-Angriffe als zunehmende und ernst zu nehmende Gefährdung.» Man verfüge jedoch nicht über die technische Expertise oder Zuständigkeit, um über die Bedrohungslage oder konkrete Angriffe eine Einschätzung abzugeben. Für weitere Informationen verweist das Babs deshalb an die Melde- und Analysestelle Informationssicherung (Melani) des Bundes.

Deren stellvertretender Leiter ist Max Klaus. Er sagt: «Wir wissen, dass so ein Vorfall jederzeit passieren kann, und haben das Thema auf dem Radar.» Die Experten beschäftigten sich nicht tagtäglich mit diesem Problem, auch habe man bisher keine Empfehlungen dazu abgegeben. Klaus begründet dies so: «Bisher gab es nach unseren Kenntnissen nur ganz wenige Angriffe über die Lieferkette.»

Merkliste

Hier speichern Sie interessante Artikel, um sie später zu lesen.

  • Legen Sie Ihr persönliches Archiv an.
  • Finden Sie gespeicherte Artikel schnell und einfach.
  • Lesen Sie Ihre Artikel auf allen Geräten.