Kritische Infrastrukturen stellen die Versorgung eines Landes mit wichtigen Gütern und Dienstleistungen sicher. Egal ob Stromversorgung, Trinkwasser oder Datenbanken – sie alle sind abhängig von Informatik und Telekommunikation. Technische Fehler, Datenmanipulation und Cyberangriffe stellen Risiken für diese Infrastrukturen dar.
Die EFK hat nun gleich mehrere «bedenkliche Cyberrisiken in kritischen Infrastrukturen» identifiziert, wie sie anlässlich der Publikation ihres Jahresberichts am Donnerstag mitteilte. So zum Beispiel bei der Gebäudesteuerung in der Bundesverwaltung: Es wurden Lücken in den Bereichen Gebäudeautomation, Infrastruktur, Vernetzung der Anwendungssysteme sowie bei den Sicherheits- und Sicherungssystemen festgestellt.
Das Bundesamt für Bauten und Logistik (BBL) habe die Feststellungen der EFK anerkannt, heisst es in dem Bericht. So seien bei der Informatiksicherheit der Gebäudesteuerung gezielte Massnahmen ergriffen worden. Die vollständige Umsetzung aller geplanten Massnahmen werde «mehrere Jahre» dauern.
Banken halten Probleme teilweise unter dem Deckel
Im Zusammenhang mit der Aufsicht der Finanzdienstleister stellt die Finanzkontrolle fest, dass sich die Banken nicht immer an die Pflicht halten, Cybervorfälle der Eidgenössischen Finanzmarktaufsicht (Finma) zu melden. Diese Nachlässigkeit habe für die von der Finma überwachten Banken jedoch nur selten Konsequenzen.
«Mehrere Experten weisen ausserdem auf Cyberrisiken im Interbank-Zahlungssystem hin», teilte die Finanzkontrolle weiter mit. Dieses Zahlungssystem bleibe eine «Blackbox im Schweizer Bankensystem», da die EFK aus rechtlichen Gründen die Schutzmassnahmen dieses Systems nicht prüfen könne.
Insgesamt stellt die EFK der Finma in ihrem Bericht kein gutes Zeugnis aus: «Die Informationsquelle der Finma hinsichtlich der Cyberrisiken der Banken ist lückenhaft», heisst es. Die EFK empfehle, die Inspektionen vor Ort zu intensivieren, um die Situation zu verbessern.
Die Schweiz hinkt hinterher
Ganz allgemein hält die EFK in ihrem Jahresbericht fest, dass die Schweiz bei der Prävention in Sachen Cyberrisiken nur langsam vorankomme. Dies sei vor allem «auf die mangelnde Klarheit in Bezug auf die Verantwortlichkeiten und Kompetenzen» zurückzuführen.
So befinde sich beispielsweise eine einsatzfähige Krisenorganisation immer noch im Aufbau. Seit 2018 sei nur eine einzige sektorenübergreifende Übung zur Simulation von Cyberangriffen durchgeführt worden.
Der Bundesrat hatte 2017 die Nationale Strategie zum Schutz kritischer Infrastrukturen 2018-2022 verabschiedet. Die Finma ist für die Aufsicht über die Finanzdienstleister und die Finanzmärkte zuständig. Die EFK prüfte die Effizienz und Wirksamkeit der Aufsicht der Finma im Bereich der Cybersicherheit bei den Finanzdienstleistern. (SDA)
