In den vergangenen Jahren hat der Bund viel in den Schutz kritischer Infrastrukturen (SKI) investiert: von der ersten SKI-Strategie 2012, der Überarbeitung 2017 bis zur laufenden Umsetzung 2018 - 2022.
Von Jürgen Stückle & Matthias Roeser
November 2020
Fokus.swiss
Aber wie sieht es mit den Unternehmern und deren Mitarbeitern aus, wie mit der Bevölkerung? Wer hat die Strategie gelesen und wann fand die letzte Simulation statt? Wer wusste vor der laufenden Pandemie, wie auf einen Lockdown zu reagieren ist? Wo stand, dass es zu Grenzschliessungen kommen kann? Wir stellen uns zur Zeit viele Fragen, oft im Kontext von harten Interessenskonflikten.
Die aktuelle Krise macht Krisenszenarien greifbar. Was früher nur einem kleinen Kreis transparent war, spürt heute jeder im täglichen Leben. Eine Frage geht unter: Wie binden wir Unternehmen und Bevölkerung in die Umsetzung der SKI-Strategie ein, um auf zukünftige grosse Ausfälle unserer SKI vorbereitet zu sein, besser vorbereitet als auf die Pandemie?
Was müssen und können wir tun, wenn es zu einem flächendeckenden grossen Cyber-Incident kommt? Ein Szenario, von dem wir seit Jahren reden, das wir allerdings ausserhalb der SKI-Arbeitsgruppen nie wirklich zu Ende gedacht haben. Nun wäre die Zeit reif. Jeder ist sensibilisiert.
Sind wir alle auf den grossen Cyber- Shutdown vorbereitet?
Wenn wir heute von kritischen Infrastrukturen sprechen, dann sind diese weitgehend abhängig von einer funktionierenden IT-Infrastrukur, sowie IT-gesteuerten Netzinfrastrukturen (Strom, Wasser, etc.). Eine Abhängigkeit, deren sich heute weder Unternehmer, noch Bevölkerung tatsächlich in aller Konsequenz bewusst sind – bis zu dem Tag, an dem das Mobile Phone nicht mehr funktioniert, die Onlineshops innert eines Sekundenbruchteils verschwunden sind und Zahlsysteme nicht mehr reagieren. Unternehmen und Mitarbeiter waren im Lockdown der Pandemie (weitgehend) erstaunlich flexibel in der Umstellung auf das Arbeiten im Homeoffice. Digitalisierung sei Dank. Im Cyber-Shutdown dürfte es dann schwierig werden. Man muss schon sehr genau nachdenken, um zu identifizieren welcher Service dann noch verfügbar ist. Der Vorteil des Pandemie-Szenarios ist, dass es sich langsam entwickelt – man sieht es kommen, anfangs fast unbeachtet, doch stetig. Ein Cyber-Shutdown enwickelt sich in wenigen Minuten bis Stunden und im Extremfall instantan. Auch das Recovery verläuft nach komplett anderen Mustern.
Lässt uns die Cloud im Stich?
Die fortschreitende Digitalisierung unserer Gesellschaft geht einher mit einer nicht mehr umkehrbaren und rasant zunehmenden Abhängigkeit von Cloud-Diensten. Nun sind gerade diese besonders anfällig, sollte es zu einem Cyber-Shutdown kommen. Wenn wir also von Resilienz-Massnahmen sprechen, dann müssen diese insbesondere im Bereich der Cloud-Service-Nutzung wirken. Dabei gilt es einiges zu bedenken, was wir in der Vergangenheit in grossen Teilen vernachlässigt haben. Interessant ist, dass Cloud-Dienste oberflächlich betrachtet sehr anfällig wirken, allerdings aufgrund der zugrundeliegeneden Architektur gerade auch eine Lösung für Resilienz-Optimierungen bieten. Cloud- Dienste können über Geo-Zonen hinweg resilient verfügbar sein. Funktioniert mein Mobile Phone in der Schweiz nicht, gehe ich ins Nachbarland und kommuniziere weiter. Wir müssen die Cloud-Anbieter eng in die Pflicht nehmen und auch über Notfall-Szenarien nachdenken, wo wir aus anderen Geo-Zonen auf unsere Daten und Services zugreifen können. Das wird für Schulen nicht funktionieren, sicher aber für private Dienste und Unternehmen.
Wie setzen wir das Gelernte um?
Wir haben durch Covid-19 vieles zu Krisenbewältigungsszenarien gelernt und jeden Tag kommt Neues dazu. Nun gilt es das Erlernte auch konkret umzusetzen. Wir kennen alle das im Covid-19 Fall aktivierte Shutdown- Skript. Die meisten waren völlig unvorbereitet und hatten Mühe mit der Entwicklung Schritt zu halten. Es sind nun alle gefordert, das bisher Vernachlässigte nachzuholen. Auf einen grossen Cyber-Shutdown müssen wir alle vorbereitet sein. Jeder, ob privat, in der Schule oder im Unternehmen sollte sein Cyber-Incident- Shutdown-Script kennen und aktivieren können. Für zukünftige Szenarien reicht es nicht mehr, in Facharbeitsgruppen an SKI Aktionsplänen zu arbeiten. Es gilt alle einzubeziehen und jeder sollte auch seinen Beitrag leisten. Beruhigend ist, dass Schulen und Gastrobetriebe im Cyber- Shutdown nach alten Mustern weitgehend weiter funktionieren werden. Unternehmen und Behörden werden praktisch ausgeschaltet, sollten sie nicht vorbereitet sein.
Der Beitrag von Jürgen Stückle & Matthias Roeser ist in der Fokus Beilage „Sicherheit" des Tages-Anzeigers vom 20. November 2020 erschienen.
