Schutz vor Cyber-Risiken

Stand Mai 2019

Das Wichtigste in Kürze

Mit der zunehmenden Vernetzung von Arbeitsplätzen sowie von Steuerungs- und Kontrollsystemen nimmt auch die Bedrohung für kritische Informationsinfrastrukturen, die von Informations- und Kommunikationstechnologien (IKT) abhängen, kontinuierlich zu. Dabei sind professionelle Angriffe an der Tagesordnung. Der Bundesrat tritt diesen Cyber-Risiken aktiv entgegen und ergreift die nötigen Massnahmen, um die Sicherheit des Landes vor den Bedrohungen aus dem Cyber-Raum zu wahren. Er hat dazu einerseits die neu erarbeitete Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) für die Jahre 2018-2022 sowie deren Umsetzungsplan verabschiedet und anderseits die Zuständigkeiten und Aufgaben im Bereich Cyber-Risiken angepasst sowie mit weiteren personellen Ressourcen gestärkt. Er schafft auf der Grundlage der Melde- und Analysestelle Informationssicherung (MELANI) ein Kompetenzzentrum Cyber-Sicherheit, welches die nationale Anlaufstelle für Fragen zu Cyber-Risiken wird. Vorstehen wird dem Kompetenzzentrum eine/ein Delegierte/r für Cyberfragen, welche/r die Cyber-Politik des Bundes mitprägt und gegen aussen vertritt. Zudem schafft der Bundesrat für die Verbesserung der interdepartementalen Koordination und zur Stärkung seiner Führungsrolle im Bereich Cyber-Risiken einen Cyber-Ausschuss aus den Vorstehenden des EFD, des VBS und des EJPD.


Kompetenzzentrum Cyber-Sicherheit

Kernelement der neuen Organisation ist das «Kompetenzzentrum Cyber-Sicherheit», welches auf den bestehenden Kompetenzen der Melde- und Analysestelle Informationssicherung (MELANI) aufgebaut wird. MELANI wird so erweitert, dass es Dienstleistungen für die gesamte Wirtschaft und Bevölkerung anbieten kann und zur ersten Anlaufstelle für Wirtschaft, Öffentlichkeit und Politik für Fragen zu Cyber-Risiken wird. Dazu wird die bestehende Meldeplattform bei MELANI ausgebaut und die vorhandenen Informationskanäle von MELANI, wie beispielsweise die Halbjahresberichte, die Newsletter, die Tweets, und der Blog verstärkt genutzt, um die Öffentlichkeit über Cyber-Risiken und mögliche Schutzmassnahmen aufzuklären (siehe http://www.melani.admin.ch).

Innerhalb des Bundes unterstützt das Kompetenzzentrum die Ämter mit Cyber-Fachwissen bei Prävention, Standardisierung und Regulierung. Es erhält bei der Bewältigung von Cyber-Vorfällen Weisungskompetenzen gegenüber den Bundesstellen.

Die bestehende Organisation und Funktion von MELANI zur Unterstützung der Betreiber kritischer Informationsinfrastrukturen wird bei der Schaffung des Kompetenzzentrums erhalten und gestärkt. Die bewährte Zusammenarbeit mit Unternehmen über den geschlossenen Kundenkreis wird dazu weitergeführt. Ebenso wird MELANI weiterhin als permanentes Lagezentrum fungieren. Die fortwährende Beobachtung der Lage unterstützt die Prävention, ermöglicht die Frühwarnung und liefert eine wichtige Grundlage zur Bewältigung einer Krise. MELANI konzentriert sich dabei darauf, Wissen und Mittel einzubringen, die nur ihr als staatlicher Stelle zur Verfügung stehen und der Wirtschaft nicht anderweitig zugänglich sind. In MELANI arbeiten der Nachrichtendienst des Bundes (NDB), das Informatiksteuerungsorgan des Bundes (ISB) mit der strategischen Leitung und dem GovCERT.ch zusammen. Letzteres wurde 2008 geschaffen, um eigene technischen Kompetenzen aufzubauen und umso noch schneller auf Vorfälle reagieren zu können.

Drei-Säulenmodell der Informationssicherung

Das ISB hat ein gesamtheitliches System zum Schutz der kritischen Informationsinfrastrukturen erarbeitet. In dem Drei-Säulenmodell hat MELANI folgende Aufgaben:

1. Prävention

Durch geeignete Massnahmen im technischen und organisatorischen Bereich ist von den Betreibern der kritischen Informationsinfrastrukturen dafür zu sorgen, dass sich möglichst wenig Vorfälle ereignen und der Schaden möglichst gering gehalten wird. Hierzu liefert MELANI den Betreibern wichtige und vorwiegend vertrauliche Informationen.

2. Früherkennung

Durch MELANI sollen Gefahren und Bedrohungen möglichst früh erkannt werden, so dass die Betreiber kritischer Infrastrukturen Abwehrdispositive bereitstellen und gewisse, mit Risiken behaftete Technologien meiden resp. anpassen können.

3. Krisenmanagement

In einer Krise unterstützt MELANI die Betreiber von kritischen Informationsinfrastrukturen bei der Bewältigung und ist koordinierend zwischen Staat und Privatwirtschaft tätig. MELANI informiert unverzüglich die betroffenen Stellen in Wirtschaft und Verwaltung.

Säulendiagramm: Anzahl gemeldete Bedrohungen und/oder Vorfällen zwischen 2005 bis 2018
Gemeldete Bedrohungen und/oder Vorfälle bei der Melde- und Analysestelle Informationssicherung MELANI während einer Periode von 14 Jahren.
© EFD / DFF

Stand der Arbeiten

Der Bundesrat hat am 18. April 2018 die „Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) 2018-2022“ verabschiedet. Die Strategie baut auf den Arbeiten der ersten NCS (2012-2017) auf, weitet diese wo nötig aus und ergänzt sie mit neuen Massnahmen, so dass sie der heutigen Bedrohungslage entspricht. Sie wurde zusammen mit der Wirtschaft, den Kantonen und den Hochschulen erarbeitet und bildet so die Basis für die nötigen gemeinsamen Anstrengungen zur Minderung der Cyber-Risiken.

Die Strategie definiert sieben Ziele, welche über zehn Handlungsfelder erreicht werden sollen. Diese sind sehr vielfältig und reichen vom Aufbau von Kompetenzen und Wissen und der Förderung der internationalen Kooperation über die Stärkung des Vorfall- und Krisenmanagements sowie der Zusammenarbeit bei der Cyber-Strafverfolgung bis hin zu Massnahmen der Cyber-Abwehr durch die Armee und den Nachrichtendienst des Bundes (NDB).

Zur Konkretisierung der Strategie wurde am 15. Mai 2019 der Umsetzungsplan zur «NCS 2018–2022» vom Bundesrat verabschiedet. Der Umsetzungsplan wurde zusammen mit allen beteiligten Bundesämtern, den Kantonen, der Wirtschaft und den Hochschulen erarbeitet. Dieser legt fest, wer bis wann welche Massnahmen umsetzen soll und welche Leistungsziele dabei erreicht werden sollen. Basis für diese Planung sind die Grundsatzentscheide zur Organisation des Bundes im Bereich Cyber-Risiken, welche der Bundesrat im Januar dieses Jahres gefällt hat. Das dabei beschlossene Kompetenzzentrum unter der Leitung der/des Delegierten für Cyber-Sicherheit nimmt bei der Umsetzung der NCS eine Schlüsselrolle ein. Mit ihrer/seiner Geschäftsstelle ist sie/er verantwortlich für die Koordination der bundesweiten Umsetzungsarbeiten.

https://www.efd.admin.ch/content/efd/de/home/themen/Digitalisierung/informationssicherung-in-der-elektronischen-kommunikation/fb-schutz_vor_cyber-risiken.html