Experteninterview: Cyber-Angriffe vereiteln
Die Schweizerische Eidgenossenschaft rüstet auf, sie investiert viel in einzelne Departemente. Wie hingegen könnten sich die vielzähligen Klein- und Mittelbetriebe der Schweiz gegenüber Cyber-Eingriffen wehren? Peter Regli, einst der oberste Verantwortliche im Schweizerischen Nachrichtendienst, Divisionär a. D. und heute Sicherheitsexperte, zeigt die wenigen Möglichkeiten.
Branchenberichte über die Entwicklung von Cyber-Schwarzmärkten verdeutlichen von Jahr zu Jahr, dass der Cyberspace längst nicht mehr nur eine Spielwiese von einzelnen Akteuren ist, sondern Hierarchien von akribisch organisierten Gruppen beflügelt. Serge Droz, Leiter der Security-Abteilung «Switch», die im Auftrag des Bundes Internetadressen vergibt, spricht von 40 000 bis 50 000 neuen Computerviren, welche die Schweizer Wirtschaft täglich attackieren. Die meisten Angriffe seien harmlos, so Droz. Phasenweise drängten jedoch auch hochgefährliche Viren in Netzwerke und Rechenzentren. Jene finanzgesteuerten Eindringlinge bringen Schäden und wirtschaftliche Konsequenzen mit sich. Wie würde nun der einst oberste Verantwortliche des Schweizerischen Nachrichtendienstes im Range eines Divisionärs im Generalstab, Peter Regli, heute viel beachteter Sicherheitsexperte, sich gegen neue Formen von Cyber-Attacken schützen – dies vielleicht aus der Sicht eines KMU?
«Die Notwendigkeit eines Verbundes zwischen nationaler Sicherheit und Verteidigung im Cyberraum scheint kein Thema zu sein.»
Wie beurteilen Sie die Zusammenarbeit zwischen Behörden und Wirtschaft, zwischen staatliche «Cyber Defense»-Akten und Betrieben, die sich unterschiedlich auf Cyber-Attacken einstellen?
2012 verabschiedete der Bundesrat eine von allen Departementen mit der Wirtschaft zusammen definierte «Strategie zum Schutz der Schweiz vor Cyber-Risiken». Bei der Planung der Umsetzung ging dann aber jedes Departement einen eigenen Weg. Auf Bundesverwaltungsebene sind die Tätigkeiten der Akteure der Cyber-Sicherheit zwar koordiniert, eine echte Führung und klar definierte sicherheitspolitische Ziele fehlen jedoch weitgehend. So sorgen das EFD und das EDA primär für sich. Die Armee bleibt überwiegend ausgeschlossen. Sie wird immer wieder mit dem Oberbegriff «Subsidiarität» – sie solle sich mit Krisen- und Konfliktszenarien befassen – in eine Ecke gestellt. Die Notwendigkeit eines Verbundes zwischen nationaler Sicherheit und Verteidigung im Cyberraum scheint also kein Thema zu sein. Die Wirtschaft arbeitet überwiegend alleine gegen Cyberattacken. Diese Situation ist sehr bedenklich.
Die NSA-Affäre und die mit ihr verknüpften Enthüllungen haben die transatlantischen Beziehungen erschüttert. Sie haben auch verdeutlicht, welche politisch wichtige Rolle dem Internet beigemessen und wie unterschiedlich mit Datenspeichern auf beiden Seiten des Atlantiks umgegangen wird. Würden Sie sagen, die NSA-Affäre brachte mehr Transparenz in die Sicherheitsindustrie?
Der durch Edward Snowden ausgelöste mediale Tsunami trägt zweifellos dazu bei, dass auch in der hintersten Ecke unseres Landes die Bedeutung von Informationstechnologie, Internet, Mobilgeräten und sozialen Medien diskutiert wird. Der tägliche Gebrauch modernster Technologie, inklusive Aktivitäten in den verschiedensten sozialen Netzwerken, zeigt die aktuelle Situation des gläsernen Bürgers drastisch auf. Es obliegt daher jedem einzelnen Anwender, eigene Verantwortung zu übernehmen in dieser sich rasant entwickelnden Informationssphäre. Anwender neuer Technologien müssten die Gefahren ihres Tuns auch selber beurteilen können. Sie sollten ihre Informationen überlegt weitergeben oder sie «in die Wolke» stellen.
Die Armee hat «Cyber Defence» analog zu den Bereichen «Luft» und «Boden» auf ihre Banner geschrieben. Seit letztem Herbst gibt es Ausbildungen im «Cyber Defence»-Bereich. Hierbei setzt man auf Synergien in Bezug auf Wissen und Netzwerke ausserhalb der Armee. Wie beurteilen Sie diese Entwicklung?
Nachdem man sich auf Stufe Bund 2012 nicht auf eine gemeinsame Umsetzung der Cyber-Strategie einigen konnte, wurde das VBS aktiv. Es ernannte für den Bereich «Verteidigung/Armee» einen Delegierten. Dieser kann sich bei seiner Strategieumsetzung auch auf die Fähigkeiten und Kenntnisse von Milizangehörigen abstützen. Das in der Wirtschaft und in der Forschung – siehe unsere Hochschulen – vorhandene Wissen wird somit über hoch qualifizierte Angehörige der Milizarmee ins Projekt «Cyber-Abwehr Armee» einfliessen. Dabei wird es sicher auch positive Effekte für die Wirtschaft geben. Es müsste für alle Akteure eine Win-win-Situation entstehen. Die strategische Umsetzung, die Analyse und Synthese, wird allerdings Jahre brauchen. Ein kurzfristig sichtbares Resultat verzeichnen zu wollen, wäre jedoch illusorisch.
Kurt Nydegger, Chef der Abteilung Elektronische Kriegsführung und Chef der Schweizer Führungsunterstützungsbasis, verweist immer wieder darauf, dass auf den Entscheidungsebenen des Bundes das Verständnis für Cyber-Attacken fehle. Können Sie sich vorstellen, weshalb Kurt Nydegger eine politische Unterstützung in der Schweiz vermisst?
Divisionär a. D. Nydegger ist Experte in der Führungsunterstützung unserer Armee und als höherer Stabsoffizier ein Kenner der Aufgaben und der Abläufe in unserem Staat und in den Departementen. Er kennt das fehlende Bewusstsein der Verantwortungsträger bezüglich Cyber-Bedrohung. Er kennt die geringere Motivation, Massnahmen gegen Cyberattacken zu ergreifen – die notwendigen Investitionen inklusive rechtlicher Grundlagen zu schaffen. Kurt Nydegger müsste daraus langsam schliessen, dass es zuerst in der Schweiz einen grösseren Schaden braucht, um in einem natürlichen Risikogebiet Fortschritte erzielen zu können.
Cyber-Abwehr heisst nicht einfach Ausspähen und Offenlegen privater E-Mails durch staatliche oder private Spezialisten, es geht vielmehr um öffentliche kritische Objekte. Welche Infrastrukturen der Schweiz sollten Ihrer Meinung nach wirklich beobachtet werden und weshalb?
Seit 1994 wird von der «nationalen kritischen Infrastruktur» gesprochen. Die Gebiete, welche durch einen Cyber-Krieg nachhaltig beeinträchtigt werden können (und auch schon mehrmals angegriffen wurden), sind definiert (per se für alle Verantwortungsstufen). Es fallen die wichtigsten Leistungserbringer unseres Landes darunter. Mitunter sind es all diejenigen, die durch Informatik betrieben, gesteuert und vernetzt werden: Energie, Elektrizität, Wasser, Verkehr, Blaulicht-Organisationen, Finanz- und Bankenplatz, Verwaltung, Luftverkehr usw. Im November 2014 wird im Rahmen des «Sicherheitsverbundes Schweiz» über mehrere Wochen eine kombinierte Übung durchgeführt. Dieses Szenario sieht für weite Teile des Landes einen mehrtägiger Stromausfall, ein flächendeckendes «Blackout» sowie gleichzeitig eine Grippepandemie vor. Lassen Sie sich überraschen, welche Beobachtungen und Lehren nach der Übung von Stufe Bund und Kantonen der Öffentlichkeit publiziert werden. Sicher wird die Übung viele Leute und insbesondere Verantwortungsträger auf den Boden der Wirklichkeit holen. Ich hoffe, dass spätestens dann die Motivation, miteinander zu arbeiten und die Cyber-Bedrohung zwischen Staat und Wirtschaft effizienter zu koordinieren, grösser wird.
Gibt es überhaupt so etwas wie ein Allheilmittel gegen Hackerübergriffe?
Um fingierten und echten Cyber-Attacken wirklich begegnen zu können, wird sicher auch ein neues Nachrichtendienst-Gesetz (NDG) zwingend notwendig sein. Die «Weltverbesserer» unter unseren Parlamentariern, welche an den ewigen Frieden und an den «guten Menschen» glauben, sehen mit diesem Gesetz die Privatsphäre bedroht. Gleichwohl braucht es Schutzmassnahmen für die Privatsphäre. Es ist zu hoffen, dass nach der Übung im November 2014 die sieben Departemente, die Kantone und die Wirtschaft zur Überzeugung kommen, dass nur gemeinsames Vorgehen gegen Cyber-Attacken zum Erfolg führen kann. Die Welt ist ein Pulverfass. Die Lunte im «Cyber-Krieg» brennt schon lange – und das weltweit! Die politischen Verantwortungsträger in unserem Land sollten sich dessen bewusst werden, und zwar bevor eine Cyber-Attacke das Ausmass eines Krieges annimmt.
Denken Sie, Zivilbereich und Armee sollten möglichst getrennt betrachtet werden, oder wo sehen Sie Aufgabengebiete, die KMU und staatliche Behörden teilen könnten – hinsichtlich neuer Cyber-Bedrohungen?
Wie erwähnt, ist auf dem Gebiet der Cyber-Abwehr die Zusammenarbeit und Koordination eine unabdingbare Voraussetzung für den Erfolg. Der Bund unterstützt die Öffentlichkeit mit der eigenen «Melde- und Analysestelle Informationssicherung», MELANI genannt. Diese erfasst aktuelle Risiken und Gefahren im IT-Bereich, bewertet sie und verbreitet deren Bedeutung. Dies dient insbesondere der Frühwarnung und der Alarmierung. Leider erreicht MELANI nur einen Teil der kritischen Infrastrukturen der Wirtschaft und der Kantone.
Herr Regli, besten Dank für das Gespräch.
Info: Investitionen gegen Risiken
Bis 2017 soll die Bundesverwaltung 38 neue Stellen für die Abwehr von Cyber-Attacken erhalten. Zusätzlich sind 21 neue Stellen für die Armee geplant. Die «Nationale Strategie zum Schutz vor Cyber-Risiken 2012» zeigte personellen wie technischen Aufholungsbedarf, um gegen die sich stets aufrüstenden Hacker oder gar gegen Cyber-Attentäter konsequenter vorzugehen. Eine Umsetzung der nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken kostet laut dem obigen Planungsdokument jedes Jahr mindestens acht Millionen Franken.
