Cyber-Attacken auf Kritische Infrastrukturen treffen eine Gesellschaft ins Mark. Lahmgelegte Energieversorgung, tote Telefonleitungen, Stillstand auf Gleisen und Strassen: erschreckende Szenarien, die auch in der Schweiz Wirklichkeit werden können. Damit die Versorgungssicherheit der Schweiz weiterhin gewährleistet ist, müssen Betreiberinnen und Betreiber Kritischer Infrastrukturen jetzt handeln. Wo liegen die Handlungsfelder, um den Schutz vor Cyber-Gefahren zu stärken?
Es ist eine gespenstische Vorstellung: Plötzlich und ohne Zutun der Betreiber öffnen sich die Schleusen eines Wasserkraftwehrs. 500 Liter pro Sekunden fliessen über mehrere Stunden unkontrolliert ab. So geschehen im Frühling 2025 im Westen Norwegens. Schwerwiegende Folgen hatte das Ereignis nicht. Dennoch liefert es Grund zur Besorgnis: Denn es waren russische Hacker, welche die Kontrolle über den Damm remote übernommen hatten.
Das ist kein Einzelfall: Gemäss dem aktuellen Forescout Global Threat Roundup Report werden jährlich weltweit über 900 Millionen Cyber-Angriffe dokumentiert. Vermehrt ins Visier der Cyber-Kriminellen geraten Kritische Infrastrukturen wie Telekommunikationseinrichtungen, Spitäler, das Transportwesen oder eben Kraftwerke. Auch die Schweiz ist davor nicht gefeit: Zwar wurde die Schweiz bisher von Grossausfällen durch Malware-Attacken verschont. Doch die Gefahr spitzt sich auch hierzulande zu. Seit April 2025 sind Betreiber von Kritischen Infrastrukturen verpflichtet, Cyber-Angriffe innerhalb von 24 Stunden dem Bundesamt für Cybersicherheit (BACS) zu melden. Allein in den ersten sechs Monaten wurden 164 Angriffe gemeldet – fast ein Angriff pro Tag.
Auf verschiedenen Ebenen hat der Bund in den letzten Jahren Massnahmen ergriffen, um die Cyber-Risiken von Kritischen Infrastrukturen zu mindern. Mit den «IKT-Minimalstandards» besteht seit mehreren Jahren ein Katalog konkreter Empfehlungen. Für die Strombranche sind sie seit 2024 verpflichtend, für Gas-Anbieterinnen und -Anbieter seit 2025. Die Minimalstandards sind eine gute Leitlinie, welche den Betreibern von Kritischen Infrastrukturen helfen soll, Cyber-Risiken zu beurteilen und die Resilienz ihrer Systeme zu verbessern.
Im Juni 2023 hat der Bundesrat zudem die Nationale Strategie zum Schutz Kritischer Infrastrukturen (SKI) aktualisiert. Sie beinhaltet acht Massnahmen zur Erhaltung und Verbesserung der Versorgungssicherheit in der Schweiz. Eine davon ist die regelmässige Überprüfung der Kritischen Infrastrukturen auf ernste Verwundbarkeiten und Risiken sowie auf Möglichkeiten zur Verbesserung der Resilienz. Weiter wurde das Bundesamt für Bevölkerungsschutz (BABS) beauftragt, ein periodisch aktualisiertes Verzeichnis von essenziellen Objekten und Betreiberfirmen zu führen, das sogenannte Inventar kritischer Infrastrukturen (SKI-Inventar).
Die verschiedenen Anstrengungen des Bundes sind wichtig und verdeutlichen den Ernst der Lage. Unverzichtbar sind aber auch präventive Massnahmen, die auf Ebene der Betreiberinnen und Betreiben umgesetzt werden müssen – bei Management, Prozessen und Technik. Hier liegt eines der Probleme: Viele Unternehmen im Bereich Kritischer Infrastrukturen sind sich einer erhöhten Anfälligkeit durch die Digitalisierung und der mit Cyber-Gefahren verbundenen Risiken noch zu wenig bewusst. Vor allem im Bereich der Supply Chain Security, also der Sicherheit in der Lieferkette, fehlt die Sensibilität vielerorts. Hierbei besteht das Grundproblem in der Abhängigkeit von ausländischer Hard- und Software. Weisen Hard- und Softwarekomponenten lückenhafte Konfigurationen und Fehler auf, so gelangen sie unbemerkt via Lieferkette in die Schweiz.
Jeder Infrastruktur-Sektor ist einer spezifischen Bedrohungslage ausgesetzt: Cyber-Angriffe können mit Erpressung, Datendiebstahl oder einem lahmgelegten Betrieb einhergehen. Nur wenn das Wissen über die spezifische Bedrohungslage vorhanden ist, lassen sich adäquate Sensibilisierungs- und Schutzmassnahmen entwickeln.
Beitrag teilen
