Von Peter Grütter
Eine erhebliche Mehrheit von Führungskräften und Cyberverantwortlichen rechnet laut dem neusten «Global Cybersecurity Outlook» des World Economic Forum (WEF) in den nächsten zwei Jahren mit einem katastrophalen Cyberereignis. Das hat einerseits mit der turbulenten geopolitischen Lage zu tun, in deren Rahmen die Digitalisierung derzeit stattfindet: Zum Krieg in der Ukraine und die damit verbundene Gefahr von Energieengpässen in ganz Europa kommen der nach wie vor instabile Nahe Osten, die Migrationsbewegungen von Afrika nach Europa und die Geburtswehen einer multipolaren Weltordnung, in der China, Indien und die USA sich neu zu positionieren versuchen. Kein Zweifel, wir leben in einer instabilen Welt: Alternde Gesellschaften im Westen und in China; Überbevölkerung und galoppierende Urbanisierung in Afrika und Südostasien.
Die Globalisierung und die Möglichkeit, Güter, Dienstleistungen, Informationen und Daten schnell und günstig von jedem beliebigen Ort auf der Weltkugel abzurufen, haben die Welt – der Vorhersage von Thomas L. Friedmann zum Trotz – nicht wirklich flacher gemacht. Sondern vor allem unvorhersehbarer. Zwar bringen redundante Lieferketten und immer engmaschiger verknüpfte Netze ein deutliches Mehr an Sicherheit und Resilienz. Aber die umfassende Vernetzung führt auch zu einer umfassenden Verletzlichkeit. Der Ausfall wichtiger Netzknoten genügt, um den Datenverkehr lahmzulegen. Und die nächsten grossen Herausforderungen für Security Teams dürften Angriffe auf Collaboration Tools, Deepfakes und Hacktivismus, d.h. das Kapern von Rechnernetzen als Protestmittel sein.
Es geht mir nicht darum, Cyberrisiken klein zu reden. Aber wir sollten sie ins richtige Licht rücken: Als wachsende Gefahr, der man aber etwas entgegensetzen kann.
Doch nicht jeder Systemfehler ist auf einen Cyberangriff zurückzuführen. Und es gibt rund um das Thema Cyberrisiken auch viel Hype, vor allem in der Beratungsindustrie und in den Branchen, die mit der Furcht vor Cyberangriffen Geld verdienen. So ist die Anzahl Cyberangriffe auf Schweizer Unternehmen seit 2022 zwar weiter angestiegen (insgesamt um 61% gegenüber dem Vorjahr) und das, neben der hauptsächlich betroffenen Fertigungsindustrie, besonders in der Finanz- und Kommunikationsbranche. Trotzdem ist das Gesamtschadenvolumen im Vergleich zu «klassischen» Schäden wie Unwetter, Verkehrsunfälle, Feuer usw. noch marginal.
Es geht mir nicht darum, Cyberrisiken klein zu reden. Aber wir sollten sie ins richtige Licht rücken: Als wachsende Gefahr, der man aber etwas entgegensetzen kann. Ein gutes Beispiel dafür ist die Schweizer Kommunkationsinfrastruktur. Hierzulande sind 80 bis 90 Prozent der Haushalte durch zwei Festnetze erschlossen. Zusätzlich versorgen die drei Mobilfunknetze flächendecken fast die ganze Schweiz. Diese redundante Versorgung bietet Sicherheit. Natürlich können Ausfälle, Instabilität und Überlastung des Systems nie ausgeschlossen werden. Aber in Bezug auf Cybersecurity betreiben die Fernmeldedienstanbeiter umfangreiche Security Operations Center und Informations-Sicherheits-Managementsysteme. Und auf übergeordneter Ebene stehen der Bund mit dem NCSC oder Switch mit dem «Computer Emergency Response Team» bereit.
Sicherheit und Resilienz im Cyberraum, das liegt deshalb auf der Hand, sind eine Verbundaufgabe. Das gilt, in einer vernetzten Welt, auf nationaler genauso wie auf internationaler Ebene. Gefragt ist ein Multistakeholderansatz, der die vorhandene öffentliche, private und zivile Expertise bündelt: Der Tech-Sektor muss ebenso mitmachen, wie die Finanzbranche und das Ingenieurwesen. Das Versicherungswesen muss Hand für vernünftige Versicherungslösungen bieten. Und auch der Regierung und den Bundesstellen kommt eine wichtige Rolle zu. Gemeinsam müssen Risiken antizipiert, Schwachstellen analysiert, Redundanzen geschaffen und Partnerschaften über den ganzen Lebenszyklus digitaler Services und Produkte geschlossen werden.
Auf internationaler Ebene geht es dabei um intensive multilaterale Zusammenarbeit. Darum, Cybersicherheitsregeln in einem völkerrechtlich bindenden Rahmenabkommen festzulegen und zweitens, Cybersicherheitsregeln in technischen Normen und Standards zu verankern. asut wirkt als Vertreterin der Schweiz im ETSI, dem Europäischen Institut für Telekommunikationsnormen, konsequent in diese Richtung und auf politischer Ebene könnte die neutrale Schweiz im UN-Sicherheitsrat Vorschläge für ein Cyber-Rahmenabkommen unterbreiten.