Die Cyber-Bedrohung – Wie ernst ist es wirklich?

Am 23. September gab es an der ETH Zürich einen Vortrag zum Thema “Die Cyber-Bedrohung – Wie ernst ist es wirklich?”, präsentiert vom ehemaligen Projektleiter der “Nationalen Strategie Cyber Defense”, Divisionär Kurt Nydegger. Wir waren natürlich sehr interessiert, was dort berichtet wird.

Im Rahmen des Vortragsprogramms der Technischen Gesellschaft Zürich präsentierte Kurt Nydegger den rund 90 Anwesenden den aktuellen Stand der strategischen Aktivitäten zum Thema:

Ausgangslage…

Den ersten Teil der etwa einstündigen Veranstaltung verwendete Kurt Nydegger darauf, die komplexe Ausgangslage für Cyberbedrohungen zu skizzieren. Moderner technikaffiner Lebensstil, komplexe, vernetzte Technologien in vielen Lebensbereichen und weitreichende Abhängigkeiten von diesen Technologien sind einerseits zu nennen. Aber auch eine Professionalisierung bei Verbrechen und eine Evolution in der Kriegsführung auf der anderen Seite. Wir sind mit einer dynamischen Entwicklung von Bedrohungen in der vernetzten und globalisierten Welt konfrontiert, die äusserst facettenreich ist.

….Bedrohungspotenzial…

Verwundbarkeiten gibt es dabei – so Kurt Nydegger – Tausende: Die Spanne reicht von Belästigungen einer Einzelperson in Sozialen Netzen, über Erpressung und Sabotage – auch bei KMUs oder in Krankenhäusern – bis hin zum Szenario eines Drohnenangriffs mittels EMP, der zur weitreichenden Zerstörung elektrischer und elektronischer Infrastruktur führen würde. Auch Bedrohungen durch beispielsweise die Überflutung eines Rechenzentrums oder Angriffe auf die Infrastruktur von Blaulichtorganisationen gehören zum Spektrum, das betrachtet werden muss. Nydegger illustriert dabei anhand von verschiedenen Beispielen, dass diese Bedrohungen keinesfalls rein hypothetischer Natur sind, sondern real vorkommen. Man spricht nur nicht immer gerne darüber.

Die Bandbreite der Bedrohungsszenarien reicht von Vandalismus, über Aktivismus, Kriminalität, Terrorismus bis hin zum militärischen Konflikt. Ebenso breit ist das Kompetenzniveau der Akteure zu sehen: vom simplen Anwender von im Markt verfügbaren Hackertools bis hin zu Staaten, die umfassende Kompetenzen und das Budget besitzen, um die benötigten Spezial-Tools für den individuellen Einsatzzweck selber zu entwickeln.

…und Wahrnehmung

Kurt Nydegger hält fest: Auf den Entscheidungsebenen fehlt heute Verständnis für dieses komplexe und vernetzte Thema. Die strategischen Konsequenzen von Cyberangriffen werden von der Politik vielfach unterschätzt. Dies steht übrigens im Gegensatz zu einem Ergebnis aus einer früheren Strategischen Führungsübung: 1997 wurden die Bedrohungen als weitreichender wahrgenommen, als sie zu dieser Zeit real waren.

Was kann uns das kosten?

In dem Strategieprojekt wurden zum Thema Schadenspotenzial Schätzungen angestellt, die Nydegger ausführt: Eine Woche ohne Internet würde die Schweiz etwa 6 Milliarden Schweizer Franken kosten. Eine Woche ohne Strom beliefe sich auf schätzungsweise 10-40 Milliarden. Neben den rein finanziell bezifferbaren Schäden gibt es auch potenziell Schaden an Leib und Leben sowie ein Image- und Vertrauensverlust zum Beispiel gegenüber dem Staat.

Und wie ist nun die Antwort darauf?

Die Antwort auf die existierenden Cyber-Bedrohungen fällt – so Nydegger – zweigeteilt aus. Die zivile Antwort ist in der “Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken” zu finden, welche in einer Bundesratssitzung vom 27. Juni 2012 genehmigt wurde. Ziel ist es, “in Zusammenarbeit mit Behörden, Wirtschaft und den Betreibern kritischer Infrastrukturen die Cyber-Risiken zu minimieren, welchen sie täglich ausgesetzt sind”. Der Bundesrat setzt dabei auf Eigenverantwortung und Zusammenarbeit, ohne eine zentrale Instanz zur Koordination vorzusehen. Auf der Seite der Armee sieht dies – so Nydegger – besser aus: Hier wird das Thema Cyber Defense innerhalb eines neu eingerichteten Info-Raums (analog Luft, Boden) angegangen. Seit letzten Herbst gibt es beispielsweise eine Ausbildung im Bereich Cyber Defense und man setzt konsequent auf Synergien in Bezug auf Wissen und Netzwerke innerhalb der beruflichen Tätigkeit einerseits und den militärischen Aufgaben andererseits.

Warum Zivilbereich und Armee getrennt betrachtet werden, lautet in der anschliessenden kurzen Fragerunde der erste Beitrag, die Bedürfnisse seien ja eigentlich die gleichen. Kurt Nydegger stimmt dem zu und deutet an, dass es noch einen Weg zu gehen gibt.

“Und wie geht es nun weiter?”, mochte sich vielleicht der eine oder andere auf dem Nachhauseweg gefragt haben. Und was denken eigentlich andere Experten über das Ausmass und die Qualität der “Cyber-Bedrohung” in der Schweiz? Einen Kontrapunkt setzt sicherlich Dr. Myriam Dunn Cavelty, Expertin zum Thema Cyber Security an der ETH Zürich, in einem Interview von vergangenem Jahr: hier verlinkt.