Schweizer Stromnetze sind anfällig für Cyberangriffe
Schweizer Stromversorger sind nicht richtig gegen Cyberangriffe geschützt. Es fehlt an Notfallplänen, Know-how und an gesetzlichen Rahmenbedingungen, wie eine Studie des Bundesamts für Energie zeigt.
Das Bundesamts für Energie (BFE) hat eine Studie zur Cybersicherheit der Schweizer Stromversorger durchgeführt. Die Befunde seien "ernüchternd", heisst es im Ergebnisbericht. Der durchschnittliche Maturitätswert für die Bereiche IT- und OT-Sicherheit des hiesigen Stromsektors liege bei knapp unter 1 bei einer Bewertungsskala zwischen 0 und 4. Die Branche habe ursprünglich einen Wert von 2,6 angestrebt. Es wurden 124 Unternehmen aus dem Schweizer Stromsektor befragt, darunter Stromproduzenten, Netzbetreiber und Messstellen.
Besonders schlecht vorbereitet sind die Energieversorger, wenn es um das Erkennen von Angriffen und um das Reagieren und Wiederherstellen nach einem Vorfall geht. Das Erkennen von Anomalien sei keineswegs befriedigend – in diesem Punkt sei man noch weit entfernt von der fundamentalen Maturitätsstufe 1, schreiben die Studienautoren.
Der durchschnittliche Cyber-Maturitätsgrad des Schweizer Stromsektors. (Source: "Cyber-Sicherheit und Cyber Resilienz für die Schweizer Stromversorgung" / BFE)
Auch bezüglich der Reaktionsfähigkeit schienen die vorhandenen Fähigkeiten "allgemein bescheiden zu sein". Auf die meisten Vorfälle werde wohl ad-hoc reagiert, ohne bereits vordefinierten Prozessen zu folgen. Es fehle auch an analytischen Kompetenzen, was eine adäquate Reaktion auf Cybervorfälle zusätzlich erschwere. Dies, weil relevante Benachrichtigungen aus Detektionssystemen nicht die benötigten Nachforschungen auslösen und die Auswirkungen eines Cybervorfalls nicht korrekt erkannt werden können, wie es in der Studie weiter heisst.
Schweizer Energiesektor hat Nachholbedarf
Die Schweiz hinkt hinterher – der aktuelle Vorsprung der EU-Staaten im Bereich der Cyber Sicherheit und Resilienz sei beachtich, heisst es in der Studie. Viele der für die Schweiz aktuell diskutierten Massnahmen sind in der EU bereits in der Praxis umgesetzt, operativ und längst etabliert.
In der EU ist vor allem die 2016 in Kraft getretene Richtlinie für die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) massgebend. Die EU-weite Rechtsvorschrift verpflichtet Betreiber von kritischen Infrastrukturen zu einem gemeinsamen Sicherheitsniveau von Netz- und Informationssystemen. Die Richtlinie werde zurzeit überarbeitet und dürfte die Cyber-Fähigkeiten der europäischen Akteure auch im Strombereich nochmals erhöhen, schreiben die Studienautoren. Der Vorsprung der umliegenden europäischen Länder werde sich demzufolge zumindest kurzfristig wesentlich vergrössern.
Europäischer Vergleich bzgl. bindender Sicherheitsanforderungen und Meldepflichten. (Source: "Cyber-Sicherheit und Cyber Resilienz für die Schweizer Stromversorgung" / BFE)
Rahmenbedingungen, Meldepflicht und Wissensaustausch gefordert
Aus den Befunden leiten die Studienautoren einen "grundlegenden Handlungsbedarf" ab. Es gelte zunächst, eine weitere Fragmentierung von Vorgaben bezüglich Cybersicherheit und Resilienz innerhalb des Stromsektors zu vermeiden. Dementsprechend fordert das BFE einheitliche gesetzliche Rahmenbedingungen sowie eine regelmässige Kontrolle der Einhaltung der regulatorischen Anforderungen.
Handlungsbedarf bestehe auch bei den Meldepflichten: Die Studienautoren schlagen vor, ein institutionalisiertes Meldewesen für den Schweizer Stromsektor einzuführen. Ebenfalls gefordert sind Rahmenbedingungen und Mechanismen für Sanktionierungen bei allfälliger Nichteinhaltung von Meldepflichten.
Schliesslich sei auch ein regelmässiger Wissensaustausch zu aktuellen Cybergefahren nötig. Das BFE plädiert für eine branchenspezifische Form von Threat Intelligence für den Stromsektor – und für den Aufbau von entsprechendem Know-how innerhalb des BFE.
Das BFE will die Empfehlungen des Berichts rasch umsetzen; die Arbeiten seien bereits im Gange, sagt Matthias Galus vom BFE gegenüber der "NZZ". Im Vordergrund stünden verbindliche Mindestanforderungen an die IT-Sicherheit. Zusätzlich solle eine Prüfbehörde kontrollieren, ob die Vorgaben auch eingehalten werden. Eine verbindliche Meldepflicht für Betreiber kritischer Infrastrukturen ist ebenfalls in Arbeit – das Eidgenössische Finanzdepartement soll bis Ende 2021 einen entsprechenden Entwurf ausarbeiten.
Der komplette Studienbericht steht auf der Website des BFE zum Download bereit (PDF).