Der Bundesrat hat die „Nationale Strategie zum Schutz von Cyber-Risiken 2018-2022“ veröffentlicht und behandelt damit Schutz und Prävention vor Bedrohungen im virtuellen Raum prioritär. Der Bund hat das Strategiepapier in enger Zusammenarbeit mit der Wirtschaft, den Kantonen und Hochschulen ausgearbeitet.
Am 18. April 2018 hat der Bundesrat die „Nationale Strategie zum Schutz vor Cyber-Risiken 2018-2022“ verabschiedet, welche auf dem Strategiepapier „Nationale Strategie zum Schutz vor Cyber-Risiken 2012-2017“ aufbaut und neue Entwicklungen und Gegebenheiten berücksichtigt. Der Bundesrat erkennt in dem Papier eine gesteigerte Bedrohungslage, sowie eine immer stärker werdende Abhängigkeit von ICT (Informations- und Kommunikationstechnik) für das Aufrechterhalten kritischer Infrastrukturen und eine funktionierende Wirtschaft. Erarbeitet wurde die Strategie in Zusammenarbeit zwischen Bund, Kantonen, Wirtschaft und den schweizerischen Hochschulen. Im Vergleich zur vorangehenden Strategie wird das Thema Cyber-Sicherheit ab 2018 klar aufgewertet und es konnten neue Problemfelder identifiziert werden.
Die Bedrohungslage
Bedrohungen unter dem Begriff „Cyber Angriffe“
- Cyber-Kriminalität: Straftaten, die mit Hilfe on IKT werden, oder Schwachstellen in Systemen zur Ausübung der Straftat nutzen
- Cyber-Spionage: Spionage im Cyber-Raum um für politische, wirtschaftliche oder militärische Zwecke unerlaubt an Informationen zu kommen
- Cyber-Sabotage und -Terrorismus: Im Cyber-Raum das zuverlässige Funktionieren von IKT zu stören oder zu zerstören, was auch Auswirkungen auf den physischen Raum haben kann
- Desinformation und Propaganda: Bedrohung durch gezielte Verbreitung von Falschinformationen oder von illegal über Cyber-Angriffe beschafften Informationen
- Cyber in Konflikten: Cyber-Angriffe als Teil der strategischen Kriegsführung
Besonders erwähnenswert scheint hier die Tatsache, dass die Bedrohung durch Desinformation und Propaganda in der Vorgängerstrategie noch nicht vertreten war und somit eine neue Herausforderung darstellt. Die Aufnahme der Bedrohung in den oben dargelegten Katalog dürfte im Zusammenhang stehen mit der weltweiten medialen Berichterstattung rund um Fake-News im Umfeld der US-Präsidentschaftswahlen im Jahr 2017.
Zieldefinition der Strategie
Die „Nationale Strategie zum Schutz von Cyber-Risiken 2018-2022“ schlägt 7 Ziele vor, die zum Schutz vor Cyber-Herausforderungen im Jahr 2018 zu erfüllen sind und auf die identifizierte gesteigerte Bedrohungslage eingehen:
- Die Schweiz verfügt über das Wissen, die Kompetenzen und die Fähigkeiten, Cyber-Risiken frühzeitig zu erkennen und richtig einzuschätzen.
- Die Schweiz entwickelt wirksame Präventiv-Massnahmen zur Reduktion der Cyber-Risiken und setzt diese um.
- Die Schweiz verfügt in allen Lagen über die nötigen Kapazitäten und Organisationsstrukturen, um Cyber-Vorfälle rasch zu erkennen und auch dann zu bewältigen, wenn diese über längere Zeit andauern und verschiedene Bereiche gleichzeitig betreffen.
- Die Schweiz ist gegenüber Cyber-Risiken resilient. Die Fähigkeit der kritischen Infrastrukturen, wichtige Dienstleistungen und Güter zur Verfügung zu stellen, bleibt auch bei grossen Cyber-Vorfällen gewährleistet.
- Der Schutz der Schweiz vor Cyber-Risiken wird als gemeinschaftliche Aufgabe von Gesellschaft, Wirtschaft und Staat wahrgenommen, wobei die Verantwortungen und Zuständigkeiten klar definiert sein müssen.
- Die Schweiz engagiert sich international zur Erhöhung der Cyber-Sicherheit. Sie fördert den Dialog in der Aussen- und Sicherheitspolitik und beteiligt sich aktiv in den internationalen Fachgremien. Ausserdem pflegt die Schweiz den Austausch mit anderen Staaten und internationalen Organisationen.
- Die Schweiz lernt aus Cyber-Angriffen und -Herausforderungen im In- und Ausland. Relevante Cyber-Vorfälle werden sorgfältig analysiert und aufgrund der Erkenntnisse Massnahmen getroffen.
Identifizierte Handlungsfelder und Massnahmen
Zur Zielerreichung werden weiter zehn Handlungsfelder, sowie deren zugehörigen Massnahmen identifiziert:
- Kompetenzen- und Wissensaufbau
- Früherkennung von Trends und Technologien und Wissensaufbau
- Ausbau und Förderung von Forschungs- und Bildungskompetenz
- Schaffung von günstigen Rahmenbedingungen für eine innovative IKT-Sicherheitswirtschaft in der Schweiz
- Bedrohungslage
- Ausbau der Fähigkeiten zur Beurteilung und Darstellung der Cyber-Bedrohungslage
- Resilienz-Management
- Verbesserung der IKT-Resilienz der kritischen Infrastrukturen
- Verbesserung der IKT-Resilienz in der Bundesverwaltung
- Erfahrungsaustausch und Schaffung von Grundlagen zur Verbesserung der IKT-Resilienz in den Kantonen
- Standardisierung / Regulierung
- Evaluierung und Einführung von Minimalstandards
- Prüfung einer Meldepflicht für Cyber-Vorfälle und Entscheid über Einführung Globale Internet-Gouvernanz
- Aufbau von Expertise zu Fragen der Standardisierung in Bezug auf Cyber-Sicherheit
- Vorfallbewältigung
- Ausbau von MELANI als Public-Private-Partnership für die Betreiber kritischer Infrastrukturen
- Aufbau von Dienstleistungen für alle Unternehmen
- Zusammenarbeit des Bundes mit relevanten Stellen und Kompetenzzentren
- Prozesse und Grundlagen der Vorfallbewältigung des Bundes
- Krisenmanagement
- Integration der zuständigen Fachstellen aus dem Bereich Cyber-Sicherheit in die Krisenstäbe des Bundes
- Gemeinsame Übungen zum Krisenmanagement
- Strafverfolgung
- Lagebild Cyber-Kriminalität
- Netzwerk Ermittlungsunterstützung digitale Kriminalitätsbekämpfung
- Ausbildung
- Zentralstelle Cyber-Kriminalität
- Cyber-Defence
- Ausbau der Fähigkeiten zur Informationsbeschaffung und Attribution
- Fähigkeit zur Durchführung von aktiven Massnahmen im Cyber-Raum gemäss NDG und MG
- Gewährleistung Einsatzbereitschaft der Armee über alle Lagen im Cyber-Raum und Regelung ihrer subsidiären Rolle zur Unterstützung der zivilen Behörden
- Aktive Positionierung der Schweiz in der internationalen Cyber-Sicherheitspolitik
- Aktive Mitgestaltung und Teilnahme an Prozessen der Cyber-Aussensicherheitspolitik
- Internationale Kooperation zum Auf- und Ausbau von Kapazitäten im Bereich Cyber-Sicherheit
- Bilaterale politische Konsultationen und multilaterale Dialoge zu Cyber Aussensicherheitspolitik
- Aussenwirkung und Sensibilisierung
- Erstellung und Umsetzung eines Kommunikationskonzepts zur NCS
- Sensibilisierung der Öffentlichkeit für Cyber-Risiken (Awareness)
Fazit
Der Bundesrat hat in seinem Strategiepapier Cyber-Risiken als zentrale Herausforderung erkannt und in Zusammenarbeit mit Kantonen, der Wirtschaft und den schweizerischen Hochschulen eine systematische Verortung vorgenommen. Richtigerweise werden dabei nicht nur die traditionellen Risiken durch Cyber-Angriffe, -Spionage und Kriegsführung im virtuellen Raum identifiziert, sondern auch aktuelle Herausforderungen durch Desinformation und Verbreitung von Falschinformationen erkannt. In welchem Ausmass die Strategie geeignet ist, die Schweiz bereit zu machen für die gesteigerten Herausforderungen im Bereich der Cyber-Risiken, wird sich in den kommenden Jahren erweisen, wenn das Strategiepapier umgesetzt wird.