Cyber-Defense: So wichtig wie die Luftraum-Verteidigung?
Schweizer Firmen verlieren Hunderte Millionen Franken wegen Cyberangriffen. Der Bund will helfen – mit einer Meldepflicht. Das genüge nicht, sagen Politiker.
Das Wichtigste in Kürze
- Schweizer Firmen werden immer mehr Opfer von Cyberangriffen – mit Millionenkosten.
- Der Bund habe die Entwicklung verpasst, sagen Sicherheitspolitiker.
- Jetzt soll es eine Meldepflicht für Firmen kritischer Infrastrukturen geben.
Zwei Millionen Franken verlor das Zürcher Gebäudetechnik-Unternehmen Meier Tobler im Juli 2019. Hacker hatten die Systeme lahmgelegt: Das zentrale Datensystem, das Lagerleitsystem, Festnetz-Telefone, die Webseite sowie die E-Mail-Adressen wurden blockiert. Die Kriminellen forderten Lösegeld.
Die Beratungsfirma KPMG schätzt, dass Schweizer Firmen jährlich etwa 200 Millionen Franken wegen Cyberattacken verlieren. Durchschnittlich dauert es 200 Tage, bis eine gehackte Firma den Schaden entdeckt.
Und die Angriffe auf Schweizer Firmen nehmen zu. Beim Melde- und Analysestelle Informationssicherung des Bundes (Melani) wurden 2018 rund 9000 kleinere und grössere Fälle gemeldet, 2019 stieg die Zahl an. Doch: Gemeldet werden die wenigsten Attacken.
Bund will eine Meldepflicht für Unternehmen
Jetzt will der Bund besser wissen, wenn relevante Unternehmen gehackt werden. Er will eine Meldepflicht einführen – zumindest für sogenannt kritische Infrastrukturen: Energieversorgung, Verkehr, Finanzbranche, öffentliche Sicherheit. Die Behörden erhielten so einen Überblick über die Bedrohungslage und könnten andere Firmen warnen und Gegenmassnahmen koordinieren.
Ende Januar 2019 hatte der Bundesrat beschlossen, ein Kompetenzzentrum für Cybersicherheit aufzubauen. Im August nahm der Delegierte für Cybersicherheit Florian Schütz seine Arbeit auf. Und bis Ende 2020 sollen im Kompetenzzentrum zwölf zusätzliche Stellen geschaffen werden.
Gemäss Bundesrat Ueli Maurer fährt der Bund eine zweigleisige Schiene, wie der Finanzminister im Dezember auf eine Anfrage von alt Ständerat Joachim Eder erklärt: «Da ist einerseits die zivile Bundesverwaltung mit dem Kompetenzzentrum, und andererseits der Bereich der grünen Informatik, also der Armee, die entsprechend Ausbildungen durchführt und ein Kompetenzzentrum für die Ausbildung in Thun ausbaut.»
2020 will Maurer eine Vorlage für die Meldepflicht vorbereiten. «Wir gehen aber davon aus, dass eine Meldepflicht für gewisse Vorfälle zwingend ist, um erstens daraus zu lernen und zweitens auch sofort reagieren und dann entsprechende Massnahmen treffen zu können, auch präventiv.»
Josef Dittli will Koordination vom Bund
Die Anfrage von Eder hat FDP-Ständerat Josef Dittli übernommen. Er sagt auf Anfrage: «Jede Firma ist zunächst einmal selbst für ihre Cybersicherheit verantwortlich. Ich will nicht ungebührlich in die Hoheit der Unternehmen eingreifen.»
Das Kompetenzzentrum sei daher primär um die Cybersicherheit des Bundes besorgt. «Aber in Anbetracht der Gefahren ist es richtig, dass in einer zentralen Stelle die Fäden zusammenlaufen. Das Kompetenzzentrum muss Aktivitäten schweizweit koordinieren und Kräfte bündeln.»
Franz Grüter: Gefahr ist massiv gestiegen
Es brauche im Bereich Cyber ein gemeinsames Vorgehen von Bund, Wirtschaft und Wissenschaft. Eine Meldepflicht findet Dittli politisch prüfenswert.
Auch SVP-Nationalrat Franz Grüter mahnt zu Augenmass. «Es wird kaum je sinnvoll sein, jede DDoS- oder Phishing-Mail-Attacke zu melden. Es gilt hier klare Prioritäten zu setzen», so der Internet-Unternehmer und Vizepräsident der Branchenorganisation ICT Switzerland.
«Die Gefahr von Cyberangriffen ist in den letzten Jahren massiv gestiegen. Die Bedrohung ist sehr real und ist ernst zu nehmen», sagt Grüter. Es bleibe viel zu tun. «So wie wir den Luftraum schützen, müssen wir auch den Cyberraum schützen.»