Gespräch mit Dr. Myriam Dunn Cavelty zum Thema Cybersicherheit
Cybercrime ist das Schlagwort der Stunde. Zum Einstieg: Welche Formen von Cyberattacken gibt es?
Dr. Myriam Dunn Cavelty: Häufig hören wir in den die Medien von Hacktivismus, einer Begleiterscheinung fast aller politischer oder wirtschaftlicher Konflikte. Das Kofferwort aus «Hacking» und «Aktivismus» bezeichnet die virtuelle Veränderung, Zerstörung und Blockierung von Inhalten, wie z.B. das Hacken von Webseiten oder das Ausschalten eines Servers durch Datenüberflutung (DDoS-Attacke) oder auch die Veröffentlichung von gestohlenen sensiblen Daten zur Blossstellung der Bestohlenen. Trotz seiner Häufigkeit verursacht der Hacktivismus geringe primäre Kosten. Der Reputationsschaden für Betroffene kann jedoch hoch sein, insbesondere bei ungeschicktem Krisenmanagement und schlechter -kommunikation.
Um einiges gravierender ist die (organisierte) Cyberkriminalität, z.B. Betrug, Identitätsdiebstahl oder Nutzung des Internets als Tatwaffe. Heute sind kaum mehr Einzeltäter, sondern vielmehr gut organisierte Profis am Werk. Die geschätzten Direktkosten gehen je nach Erhebungsmethode weit auseinander, aber meistens wird von hohen und weiter steigenden Kosten vor allem für die Wirtschaft ausgegangen. Auch kann man auf dem Schwarzmarkt zielgerichtet Malware und das notwendige Wissen um Sicherheitslücken kaufen, wovon bspw. auch Geheimdienste Gebrauch machen.
Dann gibt es die Cyberspionage. Sie bezeichnet das unautorisierte und daher illegale Herumschnüffeln in Netzwerken beziehungsweise das Stehlen von Daten aus diesen Netzwerken. Auch hier gibt es keine Klarheit darüber, wie gross das Problem ist bzw. welcher Schaden dadurch entsteht. Viele Vorfälle bleiben lange oder wohl auch ganz unentdeckt. Die Cyberspionage scheint weitverbreitet zu sein und auch staatliche Akteure bedienen sich ihrer, um andere Staaten und deren Wirtschaft auszuspionieren.
Gravierender sind zwei weitere Kategorien, die aber noch ins Reich der Fiktion gehören. Ein Angriff würde dann als Cyberterror bezeichnet, wenn er in physischer Gewalt gegen Personen oder Sachen mündete oder zumindest so viel Schaden anrichtete, dass beträchtliche Angst entstünde – dazu würden etwa Angriffe nichtstaatlicher (terroristischer) Akteure gegen kritische Infrastrukturen zählen. Dass in der Praxis bisher keine Fälle von Cyberterrorismus bekannt sind, könnte daran liegen, dass schwerwiegende Attacken nicht einfach durchzuführen sind bzw. dass mit konventionellen Mitteln (zum Beispiel Sprengstoff) billiger und einfacher eine medial ausschlachtbare Wirkung erzielt werden kann. Ebenso unwahrscheinlich schätzen Experten den Cyberkrieg ein, eine kriegerische Auseinandersetzung, die ausschliesslich im virtuellen Raum stattfindet. Kleinere Cybervorfälle in Form von Hacktivismus oder militärische Aktivitäten wie die sogenannte «elektronische Kriegsführung» sind jedoch längst Begleiterscheinungen von bewaffneten Konflikten. Auch sind Vorfälle bekannt, bei denen Staaten Malware zu strategischen Zwecken eingesetzt haben. Das Paradebeispiel dafür ist «Stuxnet», ein Wurm, der 2010 das iranische Atomprogramm sabotiert hat. Es handelt sich dabei um Cybersabotage.
Von welcher dieser Formen ist die Schweiz besonders betroffen und warum?
Die Schweiz ist laut der Halbjahresberichte der Melde- und Analysestelle Informationssicherung (MELANI) von allen Fällen betroffen, denn sie ist grundsätzlich als Ziel gleich interessant wie alle anderen vernetzten, industrialisierten Länder. Eine klare Priorisierung kann also nicht gemacht werden. Das macht die Cybersicherheit zu einer komplexen Aufgabe.
Man kennt die sowjetischen Karten von Schweizer Infrastrukturen aus dem Kalten Krieg. Der Detaillierungsgrad dieser Karten hat viele überrascht. Warum und mit welchem Ziel wurden diese Pläne erstellt?
Es ist nichts Neues, dass im Konfliktfall Ziele des Gegners angegriffen werden sollen, die einen hohen Wert besitzen. Sogenannte «kritische Infrastrukturen» sind attraktive Ziele, die man früher z.B. aus der Luft ausschalten wollte (strategic bombing). Um auf alle Eventualitäten vorbereitet zu sein, wurden solche Karten erstellt, auch wenn kein Krieg bevorstand.
Auch heute sind kritische Infrastrukturen, definiert als Prozesse, Systeme und Einrichtungen, die essenziell für das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung sind, der Brennpunkt in der Cyberdebatte. Für Cyberattacken mit schwerwiegenden Konsequenzen stellt man sich dann auch immer eine Attacke auf kritische Infrastrukturen vor, die dann über den Cyberraum erfolgen würde.
Spionage- und Sabotageaktivitäten erleben einen neuen Höhepunkt. Ist davon auszugehen, dass auch die digitalen Infrastrukturpläne für solche Aktivitäten von Interesse sind? Wenn ja, zu welchem Zweck?
Kritische Infrastrukturen sind je länger je mehr vernetzt. Das macht sie grundsätzlich verwundbarer, denn es ist neben physischer Beschädigung auch möglich, Sabotageakte auf digitalem Weg zu verüben, was wir seit Stuxnet (Malware im Atomprogramm des Iran) wissen. Solche Vorfälle sind aber bisher sehr selten und es ist auch nicht anzunehmen, dass sich das ändern wird. Man hat lange Angst davor gehabt, dass staatliche Akteure den Cyberspace für sehr viele schwerwiegende Attacken nützen könnten. Das tun sie aber nicht – es ist nicht in ihrem Interesse, einen bewaffneten Konflikt zu riskieren. Daher sehen wir heute, dass der Cyberspace vor allem für Destabilisierung (zum Beispiel Desinformationskampagnen) und eher milde Störaktionen verwendet wird, alles klar unter der Kriegsschwelle und möglichst so, dass kein zu grosses Eskalationsrisiko besteht.
Wozu der Cyberspace auch sehr rege benutzt wird ist «Aufklärung», d.h. für die Vorbereitung von anderen, auch physischen Attacken. Für Industriespionage bietet die vernetzte Welt ebenso neue, interessante Wege.
Mit welchen Auswirkungen muss man in der Ingenieur- und Baubranche rechnen? Gibt es Beispiele von sabotierten Infrastrukturanlagen?
Es gibt wenige Fälle, die für sehr viel Aufsehen gesorgt haben, keine davon in der Schweiz. In der grossen Masse von böswilligen Cyberaktivitäten sind diese gezielten Sabotagen äusserst selten und man sollte sie daher nicht überbewerten. Aber: Wir sind mittendrin in der vierten industriellen Revolution. Schlagwörter wie das «Internet der Dinge» oder «eingebettete Systeme» bezeichnen Realitäten, keine Science Fiction mehr. Die Vorteile einer Verknüpfung beispielsweise von industriellen Kontrollsystemen mit externen Netzwerken sind gross: einfachere Wartung, Kosteneinsparungen usw. Gleichzeitig wird es aber um ein Vielfaches leichter, diese Anlagen anzugreifen. Kosten-Nutzen-Abwägungen, die auf Risikoanalysen basieren, sind allerdings äusserst schwierig: Verlässliche Zahlen, die das Risiko eines Angriffs für einzelne Unternehmen abbilden, gibt es nicht.
Darüber hinaus weisen eingebettete Systeme und Industrieprozesse spezielle Merkmale auf, die spezifische und daher teure Sicherheitslösungen bedingen. Eingebettete Systeme benutzen häufig kein Betriebssystemoder sie arbeiten mit speziellen Versionen von Standard-Betriebssystemen – diese proprietären Lösungen führen oft dazu, dass Schwachstellen unter Umständen niemals untersucht, verstanden oder beseitigt wurden und dass gängige Sicherheitslösungen wie zum Beispiel der verschlüsselte Datenaustausch nicht oder nur sehr schwierig implementiert werden können.
Umgekehrt sagen wir: Ein Szenario muss für einen Angreifer Sinn machen, auch in Bezug auf Kosten-Nutzen. Es reicht nicht, Verwundbarkeiten anzuschauen und dann anzunehmen, dass diese auch ausgenutzt werden.
Bis hin zur einzelnen Schraube ist das Planungs- und Bauwesen eine Welt der Normen und Standards. Braucht es bei der Erstellung und Bereitstellung digitaler Planungsmodelle von Infrastrukturen Sicherheitsnormen? Insbesondere, wenn es sich um kritische Infrastrukturen handelt?
Es gibt schon einiges an Regulationen, die auch Cyberkomponenten beinhalten. Es ist aber nicht ganz so einfach, Standards zu setzen, denn Cyberrisiken sind sehr dynamisch. Für die Betriebssicherheit gibt es quantitative Prüf- und Zertifizierungsverfahren. Im Bereich der Cyberrisiken haben wir es hingegen mit Angreifern zu tun, die gezielt Schutzmassnahmen umgehen und Verwundbarkeiten ausnutzen. Ein fixes und quantifizierbares Mass an Informationssicherheit für die Zertifizierung ist daher ungenügend. Was zählt, ist vielmehr das Vorhandensein bestimmter Sicherheitsmanagementsysteme oder auch der Einsatz von soliden Krisenmanagementplänen. Herkömmliche IT-Sicherheitsmassnahmen greifen auch deswegen zu kurz, weil unterschiedliche Branchen unterschiedliche Anforderungen haben. Insbesondere die Unterbrechungen in Produktionsabläufen, wie sie durch IT-Wartungsarbeiten oder durch die Installation neuer IT-Sicherheitslösungen entstehen können, müssen in industriellen Prozessen vermieden werden, weil sie sehr kostspielig oder bei gewissen Dienstleistungen und Prozessen vor allem in kritischen Infrastrukturen sogar problematisch sein können.
Foreign Affairs[1] zeichnete im Herbst 2018 ein sehr beunruhigendes Bild aktueller globaler Entwicklungen und eine äusserst nachlässige Politik insbesondere westlicher Staaten in Bezug auf Cybersicherheit. Wo steht die Schweizer Politik?
Gegen Angstmache kämpfe ich schon lange an, das bringt nichts. Natürlich kann es in einer hoch technisierten Welt wie der unseren unangenehme, gar fatale Folgen haben, wenn Computer aufgrund von Fehlern ausfallen oder von Übeltätern gezielt manipuliert werden. Doch obwohl die Möglichkeit einer digitalen Katastrophe nicht ausgeschlossen werden kann, ist es bezeichnend, dass es in der gesamten Computer-Geschichte noch nie einen wirklich schwerwiegenden Vorfall von grossem Ausmass und mit langfristigen Folgen gegeben hat.
Selbstverständlich soll und muss sich die Politik auch mit sogenannten Worst-Case-Szenarien befassen. Aber Worst-Case-Überlegungen dürfen nie auf Kosten anderer, weitaus wahrscheinlicherer bzw. bereits aktueller Phänomene gehen oder zu einer Verzerrung des Bedrohungsbildes führen. Denn: Falls Worst-Case-Vorfällen, die sich immer durch ein sehr hohes Schadensausmass auszeichnen, trotz ihrer extrem kleinen Eintretenswahrscheinlichkeit ein zu grosses Gewicht beigemessen wird, tritt die Frage nach eben dieser Wahrscheinlichkeit in den Hintergrund und mit ihr auch die Forderung nach Beweisen, dass hinter diesen Szenarien nicht nur Spekulationen, sondern auch reale Bedrohungen stecken.
Der Ruf nach «mehr Staat» im Cybersicherheitsbereich ist auch so eine Sache. Alle sagen gern, dass die Staaten zu wenig machen, aber wenn man ehrlich ist, ist es doch offensichtlich, dass Cybersicherheit ein typisches Querschnittsthema ist, das – wie im Fall der Terrorismusabwehr – der Kooperation zwischen den verschiedensten Akteuren mit teilweise sehr unterschiedlichen Kulturen bedarf. Dabei handelt es sich nicht nur um Behörden, sondern auch um Akteure aus der Wirtschaft und aus der Gesellschaft.
Die genaue Rolle des Staates und seiner Verwaltung in der Cybersicherheit muss in einem politischen Prozess bestimmt und sorgfältig definiert werden. Kritische Infrastrukturen befinden sich hauptsächlich in den Händen privater Akteure. Der Cyberspace kann als Allgemeingut bezeichnet werden, dessen Dynamik oder Nutzung von einem ganzen Ökosystem staatlicher und nichtstaatlicher Akteure geformt wird. Es gibt keine einzelne Lösung, die alle Probleme der Cybersicherheit beheben kann: In Anbetracht der vielfältigen Risiken, die digitale Technologien in sich bergen, sind die Festlegung von Verantwortlichkeiten und die Planung der Ressourcenzuteilung eine anspruchsvolle und komplexe Aufgabe der Politik.
Wie sieht Cyber-Abwehr in der Schweiz aus? Wie ist sie strukturell aufgestellt? Ab welchem Punkt schreitet die Armee ein?
Die Schweiz hat 2018 ihre zweite «Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken» (NCS) veröffentlicht, in der sie wichtige Herausforderungen identifiziert, Verantwortlichkeiten umreisst und künftige Massnahmen skizziert. In der NCS kommt eine holistische Perspektive der Cybersicherheit zum Ausdruck, die sich auch in der «Nationalen Strategie zum Schutz kritischer Infrastrukturen» (SKI) sowie der Strategie «Digitale Schweiz» widerspiegelt. Die NCS berücksichtigt die verschiedenen bürokratischen Einheiten und deren Rollen und Verantwortlichkeiten. Darüber hinaus ist ein Kompetenzzentrum Cybersicherheit im Aufbau, das von einer/einem Delegierten für Cybersicherheit geleitet werden wird. Mithilfe dieser neuen Struktur sollte die Herausforderung der Koordination zwischen verschiedenen Akteuren – auch ausserhalb der Regierung – einfacher zu bewältigen sein, aber die Gefahr eines bürokratischen Kompetenzgerangels und suboptimaler Lösungen bleibt bestehen und die neuen Strukturen müssen sich erst noch bewähren. Zudem ist die Cybersicherheit kein isoliertes Thema, sondern sie muss auf sinnvolle Weise in andere Politikbereiche eingebettet werden. Die Schaffung von Parallelstrukturen nur für Cyberfragen ist dabei nicht unbedingt zielführend.
Die Armee ist primär zuständig für den Schutz der eigenen Netzwerke und Systeme. Falls es zu einer Cyberkrise kommt, die von sehr grossem Ausmass ist, kann die Armee in der Schweiz subsidiär eingesetzt werden.
Sehen Sie Optimierungspotenzial im staatlichen Bereich der Cyber-Abwehr und -Verteidigung?
Man ist sich einig: Ein zufriedenstellendes Niveau an Cybersicherheit kann nur im Verbund zwischen Staat, Wirtschaft und Gesellschaft erreicht werden. Doch verfolgen die einzelnen Sektoren häufig unterschiedliche Ziele und Interessen. Daraus entstehen mindestens drei Spannungsfelder, in denen jede Cybersicherheitspolitik positioniert werden muss.
Im ersten Spannungsfeld zwischen Staat und Wirtschaft muss eine Politik zur Sicherung der kritischen Infrastrukturen formuliert werden, welche die negativen Konsequenzen der Liberalisierung, Privatisierung und Globalisierung aus Sicht der Sicherheitspolitik auffängt, ohne die positiven Effekte zu behindern. Im zweiten Spannungsfeld zwischen Staat und Bürger gilt es, die politisch gewünschte Balance zwischen mehr Sicherheit und Wahrung der Bürgerrechte im digitalen Raum zu finden. Im dritten Spannungsfeld zwischen Bürger und Wirtschaft gilt es, die Rahmenbedingungen für die Entwicklung eines erfolgreichen Sicherheitsökosystems zu setzen, in dem eine optimale Balance zwischen Sicherheit und Funktionalität entsteht sowie Anreize zu mehr Sicherheitsverpflichtung für Anbieter von Dienstleistungen geschaffen werden.
Was für die wirtschaftlichen und zivilgesellschaftlichen Akteure selbstverständlich ist, gilt dann auch für den Staat: Er nimmt eine Vielzahl von Rollen gleichzeitig ein. Die Erkenntnis der Diversität staatlichen Handelns ist ein guter Ausgangspunkt, um Rollenkonflikte auf politischer Stufe auszutragen sowie systematisch anzugehen und somit eine proaktive Politik für die Zukunft zu gestalten.
Sind Ihrer Meinung nach die Schweizer Unternehmen auf aktuelle und kommende Herausforderungen vorbereitet?
Das ist sehr unterschiedlich. Gewisse (zum Beispiel im Finanzsektor) sind sehr gut auf Cybergefahren vorbereitet, andere eher nicht – aus verschiedenen Gründen, u.a. weil sie die Gefahr als zu wenig wichtig einschätzen oder weil sie die Ressourcen nicht haben, um professionelle Lösungen zu kaufen.
Welche Massnahmen sollten Schweizer Unternehmen Ihrer Meinung nach zwingend einleiten, insbesondere Planerbüros?
Cybergefahren ernst nehmen, die grundlegenden Cyber-Hygiene-Vorschriften beachten, sie in die Risikoanalysen einbeziehen – dann aber nicht in Panik verfallen, sondern vor allem auch auf Resilienz und Krisenmanagement setzen.
Dr. Myriam Dunn Cavelty
Dr. Myriam Dunn Cavelty ist Dozentin am „Center for Security Studies“ der ETH Zürich. Sie studierte Internationale Beziehungen, Geschichte und Internationales Recht an der Universität Zürich. Ihre Forschungen fokussieren auf «the politics of risk and uncertainty in security politics and changing conceptions of (inter-)national security due to cyber issues (cyber-security, cyber-war, critical infrastructure protection) in specific».
Neben ihren Lehraufträgen und der Forschung berät sie Regierungen, internationale Institutionen und Firmen im Bereich Cyber Security, Cyber Warfare, Schutz kritischer Infrastrukturen, Risikoanalysen und Strategie.