Völlig ungenügender Schutz vor Cyberangriffen
Eine Umfrage zeigt erstmals, dass Schweizer Stromversorger im Schnitt nicht einmal über eine minimale Absicherung gegen Attacken aus dem Internet verfügen. Jetzt will der Bund handeln.
Wie verheerend ein Cyberangriff sein kann, hat der Fall der Colonial Pipeline in den USA gezeigt. Anfang Mai musste die Betreiberfirma die Rohrleitung abschalten – wegen eines sogenannten Ransomware-Angriffs. Als Folge wurde das Benzin an der Ostküste knapp.
Ein solcher Vorfall kann sich auch bei den Schweizer Stromversorgern ereignen, denn die Strombranche ist hierzulande nur ungenügend geschützt. Das zeigt eine umfassende Umfrage zum Stand der IT-Sicherheit, die das Bundesamt für Energie (BfE) erstmals bei Stromproduzenten, Netzbetreibern und Messstellen durchgeführt hat. Das Ergebnis fällt «ernüchternd» aus, wie es im Bericht heisst. Der Grad der Cybersicherheit sei generell «sehr niedrig». Ein Grund dafür scheint das fehlende Bewusstsein zu sein: «Die Cybersicherheit wird oft als Nebentätigkeit mit geringer Priorität angesehen.»
Konkret erreichen die Elektrizitätsunternehmen auf einer Skala von 0 bis 4 im Schnitt kaum den Wert 1. Dieser entspricht einem rudimentären Grundschutz vor Cyberangriffen. Besonders schlecht gerüstet sind die Firmen, wenn es um das Erkennen von Angriffen sowie um das Reagieren und Wiederherstellen nach einem Vorfall geht. Dieser Mangel kann verheerend sein. Angesichts der heutigen Bedrohungslage müssen Unternehmen ganz allgemein damit rechnen, Opfer eines Cyberangriffs zu werden – egal, ob von Kriminellen oder von staatlichen Akteuren. Es reicht deshalb nicht aus, auf rein präventive Massnahmen zu setzen. Viel wichtiger wird es, zu erkennen, dass man angegriffen wurde, und zur Bewältigung einen Notfallplan bereitzuhaben.
Für Matthias Galus, der beim BfE die Abteilung für digitale Innovation leitet und das Projekt verantwortet, sind die Ergebnisse der Umfrage deshalb «bedenklich», wie er auf Anfrage sagt. Denn eigentlich hat sich die Strombranche vor Jahren das Ziel gesetzt, sich bei der IT-Sicherheit zu verbessern. Die Umfrage zeige nun, dass man vom selbstgesteckten Ziel noch weit entfernt sei. Statt des erreichten Werts von knapp 1 hätten sich die Stromunternehmen eigentlich einen von 2,6 gewünscht.
Damit stellt sich die Frage, wie wirksam die Selbstregulierung der Branche ist. Heute liegt die Cybersicherheit in der Eigenverantwortung der Stromunternehmen. Der Bund hat bisher nur Empfehlungen abgegeben, etwa als das Bundesamt für wirtschaftliche Landesversorgung (BWL) vor drei Jahren einen Minimalstandard veröffentlichte. Zur gleichen Zeit publizierte auch der Verband Schweizerischer Elektrizitätsunternehmen (VSE) ein unverbindliches Handbuch zum Grundschutz.
Doch die Wirkung dieser Empfehlungen scheint bis jetzt begrenzt zu sein. Diesen Schluss lässt die Umfrage zu, die der Bund erstmals in diesem Umfang durchgeführt hat. Die Regulierungsbehörde Elcom beschränkte sich in ihrem Bericht zur Cybersicherheit von 2019 auf die Befragung der 92 wichtigsten Netzbetreiber. Bereits dort zeigten sich unter anderem Mängel beim Erkennen von Angriffen und bei der Bewältigung eines Vorfalls.
Die neue Umfrage bezieht sich auf den BWL-Mindeststandard, der den Stromunternehmen laut BfE seit 2018 bekannt ist. Die Teilnahme war freiwillig. Mitgemacht haben jedoch nur 18 Prozent der Unternehmen, wie Galus sagt. «Diese tiefe Quote bei einem Thema, das in Zeiten der Digitalisierung so wichtig ist für die Versorgungssicherheit, hat mich erstaunt.» Ob es den Elektrizitätsfirmen am nötigen Bewusstsein mangelt oder ob sie die Verbesserungen bei der IT-Sicherheit einfach zu langsam angehen, bleibt offen. Klar ist, dass der Nachholbedarf bei zahlreichen Unternehmen gross ist.
Wie viel Grundlagenarbeit betrieben werden muss, um den Schutz der IT-Systeme zu erhöhen, zeigt ein Programm von Swisspower. Dieser Verband der Stadtwerke hilft seinen Mitgliedern, den Minimalstandard des BWL umzusetzen. Der Zeitaufwand dafür sei völlig unterschätzt worden, sagte der Verantwortliche an einer Branchenveranstaltung vor einigen Wochen. Keines der fünf beteiligten Stadtwerke habe ein vollständiges IT-Inventar vorweisen können. Überall habe es alte Hard- oder Software gegeben, die vergessen gegangen oder nicht aktualisiert worden sei. In zwei Fällen sei die Konfiguration so kritisch gewesen, dass das Problem unmittelbar habe behoben werden müssen.
Der Branchenverband VSE zeigt sich auf Anfrage wenig selbstkritisch. Einen Fehler bei den Stromunternehmen ortet er nicht. Das Resultat der Umfrage zeige, schreibt er, «dass sich die Elektrizitätsunternehmen auf Dauer mit grosser Aufmerksamkeit und entsprechenden Ressourcen des Themas Cybersicherheit annehmen müssen».
Dem Bundesamt für Energie geht die Verbesserung der Cybersicherheit zu langsam voran. Deshalb will das BfE die Empfehlungen im Bericht nun rasch umsetzen. Die Arbeiten haben bereits begonnen, wie Galus sagt. Im Vordergrund stehen verbindliche Mindestanforderungen an die IT-Sicherheit. Zusätzlich soll eine Prüfbehörde kontrollieren, ob die Vorgaben auch eingehalten werden. Eine verbindliche Meldepflicht lässt der Bundesrat bereits ausarbeiten.
Damit dürfte es in Zukunft bei der Cybersicherheit in der Strombranche weniger Freiwilligkeit und eine stärkere Regulierung geben. Galus betont aber: «Wir müssen die Massnahmen pragmatisch und verhältnismässig umsetzen.» Jedoch wird die grosse Frage bleiben, wie rasch die Unternehmen die konkreten Verbesserungen schliesslich implementieren. Die Zeit drängt.