- Die Eidgenössische Finanzkontrolle (EFK) hat bedenkliche Cyber-Risiken bei kritischen Infrastrukturen festgestellt.
- So etwa bei der Gebäudesteuerung in der Bundesverwaltung und bei den Banken.
- Generell gehe es bei der Prävention vor Cyber-Risiken in der Schweiz nur langsam voran.
Kritische Infrastrukturen stellen die Versorgung eines Landes mit wichtigen Gütern und Dienstleistungen sicher. Egal ob Stromversorgung, Trinkwasser oder Datenbanken – sie alle sind abhängig von Informatik und Telekommunikation. Technische Fehler, Datenmanipulation und Cyber-Angriffe stellen Cyber-Risiken für diese Infrastrukturen dar.
Die EFK hat nun gleich mehrere «bedenkliche Cyber-Risiken in kritischen Infrastrukturen» identifiziert, wie sie anlässlich der Publikation ihres Jahresberichts mitteilte. So zum Beispiel bei der Gebäudesteuerung in der Bundesverwaltung: Es wurden Lücken in den Bereichen Gebäudeautomation, Infrastruktur, Vernetzung der Anwendungssysteme sowie bei den Sicherheits- und Sicherungssystemen festgestellt.
Das Bundesamt für Bauten und Logistik habe die Feststellungen der EFK anerkannt. So seien bei der Informatiksicherheit der Gebäudesteuerung gezielte Massnahmen ergriffen worden, heisst es in dem Bericht. Die vollständige Umsetzung aller geplanten Massnahmen werde «mehrere Jahre» dauern.
Kritik an Banken und der Finma
Im Zusammenhang mit der Aufsicht der Finanzdienstleister stellte die Finanzkontrolle fest, dass sich die Banken nicht immer an die Pflicht halten, Cyber-Vorfälle der Eidgenössischen Finanzmarktaufsicht (Finma) zu melden. Diese Nachlässigkeit habe für die von der Finma überwachten Banken jedoch nur selten Konsequenzen.
«Mehrere Experten weisen ausserdem auf Cyber-Risiken im Interbank-Zahlungssystem hin», teilte die Finanzkontrolle weiter mit. Dieses Zahlungssystem bleibe eine «Blackbox im Schweizer Bankensystem», da die EFK aus rechtlichen Gründen die Schutzmassnahmen dieses Systems nicht prüfen könne.
Insgesamt stellt die EFK der Finma in ihrem Bericht kein gutes Zeugnis aus: «Die Informationsquelle der Finma hinsichtlich der Cyber-Risiken der Banken ist lückenhaft», heisst es. Die EFK empfehle, die Inspektionen vor Ort zu intensivieren, um die Situation zu verbessern.
Kaum Fortschritte bei der Prävention
Ganz allgemein hält die EFK in ihrem Jahresbericht fest, dass die Schweiz bei der Prävention in Sachen Cyber-Risiken nur langsam vorankomme. Dies sei vor allem «auf die mangelnde Klarheit in Bezug auf die Verantwortlichkeiten und Kompetenzen» zurückzuführen.
So befinde sich beispielsweise eine einsatzfähige Krisenorganisation immer noch im Aufbau, und seit 2018 sei nur eine einzige sektorenübergreifende Übung zur Simulation von Cyber-Angriffen durchgeführt worden.
