Bund
20.05.2021, 15:03 Uhr
EFK identifiziert Cyberrisiken in kritischen Infrastrukturen
Die Eidgenössische Finanzkontrolle (EFK) hat Cyberrisiken in kritischen Infrastrukturen festgestellt. So etwa bei der Gebäudesteuerung in der Bundesverwaltung und bei den Banken. Generell gehe es bei der Prävention vor Cyberrisiken in der Schweiz nur langsam voran.
Sitz des BBL in Bern: Unter anderem bei der Gebäudeautomation für die Bundesverwaltung wurden Mängel festgestellt
(Quelle: Google Street View)
Kritische Infrastrukturen stellen die Versorgung eines Landes mit wichtigen Gütern und Dienstleistungen sicher. Egal ob Stromversorgung, Trinkwasser oder Datenbanken - sie alle sind abhängig von Informatik und Telekommunikation. Technische Fehler, Datenmanipulation und Cyberangriffe stellen Cyberrisiken für diese Infrastrukturen dar.
Die EFK hat nun gleich mehrere «bedenkliche Cyberrisiken in kritischen Infrastrukturen» identifiziert, wie sie anlässlich der Publikation ihres Jahresberichts mitteilte. So zum Beispiel bei der Gebäudesteuerung in der Bundesverwaltung: Es wurden Lücken in den Bereichen Gebäudeautomation, Infrastruktur, Vernetzung der Anwendungssysteme sowie bei den Sicherheits- und Sicherungssystemen festgestellt.
Das Bundesamt für Bauten und Logistik (BBL) habe die Feststellungen der EFK anerkannt. So seien bei der Informatiksicherheit der Gebäudesteuerung gezielte Massnahmen ergriffen worden, heisst es in dem Bericht. Die vollständige Umsetzung aller geplanten Massnahmen werde «mehrere Jahre» dauern.
Kritik an Banken und der Finma
Im Zusammenhang mit der Aufsicht der Finanzdienstleister stellte die Finanzkontrolle fest, dass sich die Banken nicht immer an die Pflicht halten, Cybervorfälle der Eidgenössischen Finanzmarktaufsicht (Finma) zu melden. Diese Nachlässigkeit habe für die von der Finma überwachten Banken jedoch nur selten Konsequenzen.
«Mehrere Experten weisen ausserdem auf Cyberrisiken im Interbank-Zahlungssystem hin», teilte die Finanzkontrolle weiter mit. Dieses Zahlungssystem bleibe eine «Blackbox im Schweizer Bankensystem», da die EFK aus rechtlichen Gründen die Schutzmassnahmen dieses Systems nicht prüfen könne.
Insgesamt stellt die EFK der Finma in ihrem Bericht kein gutes Zeugnis aus: «Die Informationsquelle der Finma hinsichtlich der Cyberrisiken der Banken ist lückenhaft», heisst es. Die EFK empfehle, die Inspektionen vor Ort zu intensivieren, um die Situation zu verbessern.
Kaum Fortschritte bei der Prävention
Ganz allgemein hält die EFK in ihrem Jahresbericht fest, dass die Schweiz bei der Prävention in Sachen Cyberrisiken nur langsam vorankomme. Dies sei vor allem «auf die mangelnde Klarheit in Bezug auf die Verantwortlichkeiten und Kompetenzen» zurückzuführen.
So befinde sich beispielsweise eine einsatzfähige Krisenorganisation immer noch im Aufbau, und seit 2018 sei nur eine einzige sektorenübergreifende Übung zur Simulation von Cyberangriffen durchgeführt worden.
Der Bundesrat hatte 2017 die Nationale Strategie zum Schutz kritischer Infrastrukturen 2018-2022 verabschiedet. Die Finma ist für die Aufsicht über die Finanzdienstleister und die Finanzmärkte zuständig. Die EFK prüfte die Effizienz und Wirksamkeit der Aufsicht der Finma im Bereich der Cybersicherheit bei den Finanzdienstleistern.