Politik macht sich Sorgen um Sicherheit im Web
Die neue Strategie zum Schutz der Schweiz vor Cyberrisiken setzt vorab auf Eigenverantwortung. Sie stösst bei Politikern nicht nur auf Gegenliebe.
Früher war alles besser. Wenn von der Sicherheit im Web die Rede ist, dann deuten Aussagen im Interview der Netzwoche vom 24. August mit Scout24-CEO Olivier Rihs darauf hin, dass genau dies für ihn zutrifft. Denn dem Unternehmen machen Cyberattacken zunehmend zu schaffen. "Noch bis vor drei Jahren waren solche Delikte kaum ein Thema. Damals hatten wir vielleicht vier bis fünf Fälle pro Jahr. Das war dann schon viel."
Seither hat sich einiges verändert. Rund sechs Millionen Franken hat Scout24 wegen zunehmender Cyberattacken in den letzten drei Jahren in Sicherheitstechnik und zusätzliches Personal investieren müssen. "Wir sind nicht die Einzigen im E-Commerce, die davon betroffen sind", ergänzt Rihs.
Politik macht sich Sorgen
Die Sorgenfalten werden indes nicht nur bei den Unternehmen, sondern auch bei Politikern zusehends tiefer. Nationalrätin Corina Eichenberger (FDP), Mitglied der Sicherheitspolitischen Kommission, ortet Handlungsbedarf für die Politik: "Wenn ein Problem – wie eben die Cyber-Wirtschaftskriminalität – wächst, dann wird offensichtlich zu wenig getan."
Ein Hauptproblem sei gerade auch die unendliche Komplexität und Schnelllebigkeit des Themas – auch für sie selbst, wie sie zugibt. "Ich beobachte, ehrlich gesagt, eine gewisse Erkenntnisresistenz: Mancherorts hat man Mühe, einzusehen, dass im Cyberspace ein Problem bestehen kann, das es im richtigen Leben so noch nicht gibt."
Umstrittene Gesetze
Die Politik ist längst aktiv geworden und hat Spezialgesetze wie das Bundesgesetz über die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) oder das Bundesgesetz über die Wahrung der Inneren Sicherheit (BWIS) geschaffen. Beide sind bereits vorab in der Netzgemeinde teils sehr umstritten. Zudem wurde Ende 2010 die Erarbeitung einer nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken angestossen.
Ende Juni dieses Jahres hat der Bundesrat diese gutgeheissen. Sie beinhaltet einen Katalog mit 16 Massnahmen. Dazu gehören Risikoanalysen zu kritischen ICT-Infrastrukturen oder die stärkere Einbringung der Schweizer Interessen auf internationaler Ebene. In der neuen Strategie appelliert der Bund zudem an die Selbstverantwortung von Wirtschaft, Staat und Gesellschaft.
Harsche Kritik an Cyber-Defense-Strategie
Neue Organe und Gesetze sind in der Strategie nicht vorgesehen. Peter Fischer, Leiter des Informatiksteuerorgans des Bundes (ISB) erklärt, dass der Bundesrat den Auftrag erteilt hat, im Rahmen der Umsetzung der Strategie zu prüfen, ob Gesetze angepasst werden müssten. Er sieht derzeit keinen Bedarf für neue Bundesstellen. "Die bestehenden Organe müssen jedoch besser zusammenarbeiten und sich besser vernetzen", ergänzt Fischer.
Die neue Cyber-Defense-Strategie ist bereits stark kritisiert worden. IT-Sicherheits-Experte Guido Rudolphi sagte im Interview mit dem "Tages-Anzeiger" vom 28. Juni, dass die vorgeschlagenen Massnahmen denkbar schwach seien. Der Bund gebe darin zu, "dass er nicht in der Lage ist, sich gegen grosse Cyberangriffe zu wehren." Zudem habe er den Eindruck, dass in der Verwaltung Wissen fehle, jedoch offenbar viel Zeit für weitere Analysen vorhanden sei.
Cyber-Diplomatie gefordert
Insgesamt wenig begeistert von der Strategie ist auch FDP-Politiker und ICT-Switzerland-Präsident Ruedi Noser, wie er gegenüber der Netzwoche erläutert. "Ein Schweizer Alleingang in der Cyber Defense wird nicht funktionieren." Vielmehr muss laut Noser das Aussendepartement EDA aktiv werden und eine aktive Cyber-Diplomatie betreiben.
Komme heute ein Angriff aus einem anderen Land, könnten die Regierungen die Verantwortung einfach abschieben und sagen, dass sie von nichts wüssten. "Mit einem Cyber-Abkommen hätte man etwa auch deutlich bessere Sanktionsmöglichkeiten in der Hand", sagt Noser.
Grundrechte schützen
Noser mahnt zur Zurückhaltung bezüglich voreiliger Sicherheitsmassnahmen. "Bevor die Polizei mit zusätzlichen Mitteln für die Bekämpfung der Cyberkriminalität ausgestattet wird, müssen bestimmte Werte definiert werden." Damit meint Noser zum Beispiel die Grundrechte des Individuums im Web.
Denn viel zu oft führten diffuse Ängste dazu, dass man voreilig handle und dabei den Datenschutz ausheble. Zudem muss laut Noser klar definiert werden, was Cyberkriminalität genau ist: "Wenn ich per Post einen Versand an alle Schweizer Haushalte mache, dann ist das etwas Legales. Verschicke ich hingegen eine E-Mail an alle Schweizer, dann bin ich ein Cyberkrimineller."
Gründung von Melani eine "Meisterleistung"
Aller Kritik zum Trotz dürfte der Schweiz mit der Einrichtung der Melde- und Analysestelle für Informationssicherung Melani ein geschickter Schachzug gelungen sein. "Wenn es Melani nicht gäbe, müsste man es erfinden", streicht ISB-Leiter Fischer heraus.
Auch für Eichenberger ist Melani ein "Paradepferd" der Schweizer Bestrebungen für ein sichereres Web. Dessen Gründung sei "eine Meisterleistung, um die wir zum Beispiel in Deutschland beneidet werden."
"KMUs zu wenig berücksichtigt"
Melani ist in erster Linie für Betreiber kritischer Infrastrukturen zuständig. Trotz des Lobes für Melani findet Eichenberger, dass KMUs, die die grösste Gruppe der Wirtschaft darstellen, derzeit in der Strategie zu wenig berücksichtigt würden.
"Auch die Nutzniesser von Melani anerkennen offen, dass sich niemand um den Rest der Wirtschaft schert." Und, wie die Strategie zeige, kümmere sich diese auch selbst viel zu wenig um Informationsschutz.
Ressourcen begrenzt
Klar ist, wieso Melani nicht für alle da sein kann: Die personellen Ressourcen sind derzeit laut Marc Henauer, dem Leiter des Lagezentrums Melani, auf 680 Stellenprozente begrenzt und der Auftrag umfasst nur die kritischen Infrastrukturen. Im Rahmen der Umsetzung der Strategie wird das Personal bei Melani allerdings ab 2013 aufgestockt werden.
Bezüglich der Situation für die KMUs gibt Henauer Entwarnung. "Die Einschätzung der Bedrohungslage soll möglichst breit verfügbar gemacht werden und somit auch den KMUs helfen, ihre Situation und Risiken besser einschätzen zu können." Auch werden Cyberdelikte schon heute verfolgt, und die Strafverfolgung verbuche auch vermehrt Erfolge.
Unternehmen handeln
Vielmehr müssten die Unternehmen selbst die Cyberrisiken verstärkt ins strategische Risikomanagement aufnehmen. Denn allzu oft würden Geschäftsleitungen strategische Risiken lieber an den Staat delegieren, weil sie meinen, alleine ohnehin nichts unternehmen zu können. "Das ist ein gefährlicher Fehlschluss. Eine Cybertruppe auf Bundesebene wird auch in Zukunft kein Risikomanagement für Unternehmen übernehmen können", sagt Henauer.
Wollen sich KMUs vor Cyberattacken schützen, müssen sie folglich – wie es vorab grosse Unternehmen schon längst tun – selbst aktiv werden. Das bedeutet, nicht "nur" in Technik, sondern auch in personelle Ressourcen zu investieren, so wie es Scout24 getan hat. So informiert das Unternehmen seine Nutzer laut CEO Rihs regelmässig über die Gefahr von Phishing-Mails. Da es hin und wieder vorkommt, dass Konsumenten darauf hereinfallen, gibt es zusätzlich eine Hotline. Weiter überprüft das Unternehmen täglich rund 500 Inserate manuell – "an sieben Tagen die Woche, jeweils von 4 Uhr bis 23 Uhr".