Daniel Caduff
Daniel Caduff ist stellvertretender Leiter für die Geschäftsstelle Informations- und Kommunikationstechnologie (IKT) beim Bundesamt für Wirtschaftliche Landesversorgung (BWL) in der Schweiz. Im folgenden Interview berichtet er von Cybersicherheit als eine gemeinsame Aufgabe für Wirtschaft und Staat. In diesem Kontext erzählt er nicht nur von seinen Aufgaben und Schwerpunkten in seiner Arbeit, sondern auch von Herausforderungen sowie Entwicklungen, Mindeststandards und Strategien zum Schutz vor Cyberrisiken.
Lieber Daniel, Ihr beschäftigt Euch innerhalb der wirtschaftlichen Landesversorgung (WL) mit dem Schutz der kritischen Infrastrukturen der Schweiz vor Cyberrisiken. Welche Aufgabenschwerpunkte setzt Ihr und wie unterstützt Ihr öffentliche/privatwirtschaftliche Unternehmen?
Zuerst eine Vorbemerkung: In der Schweiz ist die Wirtschaft für die Versorgung des Landes zuständig. Erst wenn die Wirtschaft diese Funktion in einer schweren Mangellage nicht mehr selber wahrnehmen kann, greift der Staat mit gezielten Maßnahmen in das Marktgeschehen ein, um zum Beispiel entstandene Angebotslücken bei lebenswichtigen Gütern und Dienstleistungen zu schließen.
Das System der wirtschaftlichen Landesversorgung beruht auf einer Kooperation zwischen Wirtschaft und Staat, was sich auch in der Organisation zeigt: Die wirtschaftliche Landesversorgung ist eigentlich eine Private Public Partnership und besteht aus einem Stabsorgan, dem Bundesamt, und den Experten und Expertinnen aus der Wirtschaft. Diese übernehmen Führungsverantwortung in der WL und bringen ihre Erfahrung ein. In einer Krise werden dadurch sowohl das professionelle Wissen wie auch die bestehenden Strukturen der Privatwirtschaft für die Erfüllung staatlicher Aufgaben genutzt.
In einer globalisierten Wirtschaftswelt ist ein solch vernetztes Know-how eine wichtige Voraussetzung, um den Versorgungsauftrag professionell erfüllen zu können. Diese Nähe ermöglicht es uns, die öffentlichen und privatwirtschaftlichen Unternehmen praxisnah unterstützen zu können.
Der Fachbereich Informations- und Kommunikationstechnologie (IKT) ist einer von sechs Fachbereichen (Heilmittel, Ernährung, Logistik, Energie und Industrie) innerhalb der wirtschaftlichen Landesversorgung. Er hat drei Hauptaufgabengebiete:
- Sicherstellen der Verfügbarkeit der kritischen IKT-Infrastruktur in der Schweiz, z. B. von Leitungen, Rechenzentren und Mobilfunksendeanlagen, sowie der darauf aufbauenden kritischen Dienste, z. B. Zugang zu Notrufnummern, Information an die Bevölkerung, Sprach- und Datenkommunikation.
- Sicherstellen der Verfügbarkeit der IKT als kritische Ressource für die übrigen Versorgungsbereiche, beispielsweise von notwendigen IKT-Diensten zur Steuerung der Schweizer Stromversorgung.
- Entwicklung von IKT-Minimalstandards für die Betreiber von kritischen Infrastrukturen im Rahmen der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS), u. a. zur Energieversorgung, zum Gesundheitswesen und zur Nahrungsmittelversorgung.
Zur Erreichung dieser Ziele entwickelt der Fachbereich IKT präventive und reaktive Maßnahmen, erarbeitet mögliche Szenarien und erstellt Risikoanalysen. Der Fachbereich IKT arbeitet dabei eng zusammen mit anderen Bundesstellen, wie z.B. dem Bundesamt für Kommunikation (BAKOM), dem Nationalen Center für Cybersicherheit (NCSC) oder dem Nachrichtendienst des Bundes (NDB).
Was sind aus Eurer Sicht die Hauptthemenbereiche der letzten Monate, an denen Ihr gearbeitet habt? Ist es rein auf Ransomware beschränkt oder darüber hinaus?
Ransomware ist aktuell ein häufiges Thema und wird von vielen Betreibern kritischer Infrastrukturen als großes Risiko angesehen. Der Zuständigkeitsbereich der wirtschaftlichen Landesversorgung ist aber eher auf die langfristige Perspektive angelegt. Entsprechend fokussieren wir uns weniger auf einzelne Gefährdungen oder Angriffsvektoren, sondern primär auf die Entwicklung neuer IKT-Minimalstandards. Aktuell arbeiten wir an der Fernwärmeversorgung, der Abfallentsorgung, dem Gesundheitswesen, sowie im Bereich Awareness an Schulungen für die Anwender der Standards, also IT-Verantwortliche der Betreiber von kritischen Infrastrukturen.
Von den Angriffsarten, der regionalen Ausbreitung, der Unternehmensgröße und den Branchen aus betrachtet – Wohin entwickeln sich die Cyberrisiken aus Eurer Sicht?
Cyberbedrohungen sind global. Die Vorstellung einer „regionalen Ausbreitung“ entspricht nicht mehr der aktuellen Bedrohungslage. Wie z. B. die Ransomware Angriffe auf Solarwinds oder Kaseya gezeigt haben, kann man heute auch als Betreiber eigentlich alles richtigmachen und trotzdem Opfer werden, wenn der Dienstleister, auf den man sich verlässt, angegriffen wird. Treffen kann es heute grundsätzlich jedes Unternehmen und jede Branche. Gerade Ransomware Angriffe können auch typische KMU treffen. Daneben gibt es aber auch neue Entwicklungen, durch die sich die Risiken verändern:
- Kryptowährungen bilden die Basis für neue, globale Kriminalität, von Pädokriminalität über Geldwäscherei bis hin zu Erpressung und Ransomware.
- Ein Angriff auf einen großen Dienstleister hat potenziell desaströse Auswirkungen auf die Kunden. Die Angriffe gegen Solarwinds und Kaseya waren ein Vorgeschmack. Trifft es z. B. Azure oder AWS, als führende Cloud-Anbieter, sind die Auswirkungen potenziell katastrophal.
- Embedded Systems: Es gibt keine IT mehr. IT ist heute Bestandteil von unzähligen Geräten. Security ist aber oft kein Bestandteil. Es ist schon schwierig den Anwendern die Bedeutung von Security im IT-Bereich verständlich zu machen. Bei Smartphones interessiert es die Leute dann schon deutlich weniger als beim Desktop- PC. Beim vernetzten Gerät zuhause interessiert es kaum noch jemanden.
- ICS-Angriffe: ICS, SCADA, OT-Angriffe haben ein enormes Bedrohungspotenzial. Der Grund dafür liegt darin, dass bei Angriffen auf Industriesteuerungen nicht mehr nur die Informatik ausfällt, sondern auch die Dienste, die damit überwacht werden. Es fällt also nicht nur ein Computer aus, sondern z.B. die Strom- oder Wasserversorgung. Es ist dabei nicht die Frage, ob das zukünftig passieren wird, sondern nur wann und wo.
Leider hat sich die Risikobewertung auch durch den Krieg in der Ukraine erneut verändert. Wir sehen eine Intensivierung im Bereich Cyberwar mit staatlichen und nicht-staatlichen Akteuren. Damit steigt die Gefahr von Kollateralschäden auch im Cyberbereich. Viele der Tools, die von irgendjemandem für Cyberwaraktionen eingesetzt werden, tauchen später in anderer Form wieder auf. Man sah das bereits bei Stuxnet. Codebestandteile von Stuxnet fanden sich später auch in anderer Malware. Dasselbe auch bei NotPetya. Es ist vergleichbar mit physischen Waffen: Auch diese verschwinden nach einem Krieg nicht einfach, sondern kursieren weiter und können für neue Angriffe eingesetzt werden.
Ihr habt gemeinsam mit der Privatwirtschaft die IKT-Mindeststandards definiert. Warum wird der Bund hier aktiv und wie kam es zu der Ausgestaltung?
2012 hat das Schweizer Parlament die Regierung beauftragt, sich mehr um das Thema Cybersecurity zu kümmern. Daraus entstand die „Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken“ (NCS). Die NCS hat zwei Hauptziele:
- Nutzen der Chancen der Digitalisierung
- Schutz vor den Risiken der Digitalisierung
Organisatorisch ist die NCS in drei Aufgabengebiete mit jeweils unterschiedlichen Zuständigkeiten aufgeteilt:
- Cyberverteidigung (Cyberdefence): Zuständigkeit bei der Armee und dem Nachrichtendienst
- Cyberstrafverfolgung (Cybercrime): Zuständigkeit beim Bundesamt für Polizei (FEDPOL)
- Cybersicherheit (Cybersecurity): Zuständigkeit u. a. bei der WL und diversen Bundesämtern
Dazu kommt das neue Nationale Center für Cybersicherheit NCSC, welches die Gesamtverantwortung hat und zwischen den drei Aufgabengebieten koordiniert.
Um die Ziele zu erreichen, wurden verschiedene Maßnahmen entwickelt. Eine davon sind die IKT-Minimalstandards für die Betreiber von kritischen Infrastrukturen.
Werden die Mindeststandards zukünftig von Behördenseite oder anderen Marktteilnehmern/-innen vorgeschrieben?
Verschiedene Branchenverbände, z. B. der Verband der Schweizer Elektrizitätsunternehmen (VSE), haben die Standards für ihre Mitglieder bereits als verbindlich erklärt. Auch gesetzgeberisch sind verschiedene Parlamentarier tätig geworden. Entsprechende Vorstöße sind im Parlament hängig, oder noch nicht abschließend bearbeitet.
Zudem fordern weitere Gesetzesartikel von den Betreibern von kritischen Infrastrukturen grundsätzlich einen sicheren Betrieb“. Dazu gehört auch der Schutz vor Cyberrisiken.
Es gibt Unternehmen und Organisationen, die schon heute freiwillig über das angestrebte Sicherheitsniveau der IKT-Minimalstandards hinausgehen.
Was sind die Herausforderungen, die Unternehmen bei der Absicherung in Richtung Cybersicherheit begegnen?
Wir stellen fest, dass oft das Know-How fehlt und dass dem Thema zu wenig Bedeutung geschenkt wird: Daraus folgt ein mangelndes Risikobewusstsein, oder IT-Risiken werden nicht als Unternehmensrisiken verstanden. In der Folge verfügt ein Unternehmen nicht über die erforderlichen Ressourcen in Form von Zeit, Personal und/oder Geld. Eine veraltete und statische Denkweise führt dazu, dass Sicherheit als Zustand gedacht wird, der erreicht werden kann. Eigentlich sollte Sicherheit aber als ein Prozess verstanden werden, der täglich gelebt werden muss.
Wie bewertest Du den Reifegrad in der Betriebstechnik und in der Absicherung von physischen Produkten, die in Richtung Internet of Things (IoT) immer vernetzter werden? Erkennst Du hier inhaltliche Trends?
Die technische Analyse der Schutzniveaus von Geräten, egal ob IT oder IoT, gehört nicht zu den Aufgaben der wirtschaftlichen Landesversorgung. In der Tendenz würde ich behaupten, dass die Bedeutung des Thema Security im Bereich IoT bis jetzt noch zu wenig beachtet wird. Wir müssen hier allerdings unterschieden zwischen IoT im Consumer-Bereich und IoT für kritische Infrastrukturen. Probleme, z.B. bei zu großen Latenzzeiten durch vollständige E2E-Verschlüsselung in IoT-Netzwerken, werden erst nach und nach bearbeitet. Ebenfalls gibt es im IoT-Bereich, und vor allem im ICS / SCADA-Bereich, ein Problem von zwei unterschiedlichen Geschwindigkeiten: Komplexe ICS haben von der Konzeption bis zu End-of-Life oftmals eine Lebensdauer von über 10 Jahren, nicht selten auch über 20 Jahren. Innerhalb dieser Lebensdauer werden sie zudem ständig modifiziert. Ursprünglich wurden diese Netze Standalone konzipiert. In der Realität bestehen heute fast immer Schnittstellen zu anderen Netzen. 10 oder 20 Jahre sind im ICS-Bereich eine durchaus übliche Betriebsspanne. Im Bereich der IT-Security sind 10 oder 20 Jahre jedoch eine halbe Ewigkeit. Aus IT-Security-Perspektive müssten diese Netze laufend auf dem neusten Stand sein. In der Realität ist das oft nicht möglich, bzw. nicht schnell genug möglich.
Welche technischen Entwicklungen findest Du besonders interessant?
Persönlich finde ich z. B. die technischen Entwicklungen Richtung Quantum-Computing, also das Ende der klassischen Verschlüsselungstechniken, Passwordless-Authentication, Zero-Trust-Architekturen und SCADA / ICS aus der Cloud besonders interessant.
Stell Dir vor, Du könntest einem CIO/CISO von einem öffentlichen/
privatwirtschaftlichen Unternehmen einen Rat geben. Was wäre dieser?
Mach mehr, als Du bisher getan hast. Glaub nicht, dass Du sicher bist. Sorge für ein vollständiges Asset-Inventar – schon heute. Erstelle detaillierte BCM-Pläne. Erstelle Incident-Management-Pläne. Sorge für saubere Backups und Restore-Prozesse. Übe und teste diese Prozesse! Schule Deine Mitarbeitenden immer wieder. Implementiere einen Cybersecurity-Standard, der Deinen Unternehmensrisiken gerecht wird und besprich Cyberrisiken mit Deinen IT-Dienstleistern. Lass Deine Cyberrisiken zudem extern evaluieren.
In kurz: Evaluieren, Dokumentieren, Implementieren, Schulen, Testen, Üben. Und das immer wieder.
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.