Prävention und Abwehr von Cyberangriffen (Teil 1) – Warum es eine neue Balance zwischen staatlichen und privaten Akteuren im Cyberspace braucht
Markus Christen, Digital Society Initiative, Universität Zürich
Melanie Knieps, CYRENZH, Universität Zürich
Reto Inversini, Technik und Informatik, Berner Fachhochschule
Weltweit diskutieren Regierungen zahlreiche Massnahmen zur Sicherung des digitalen Raums von Cyberangriffen – so auch in der Schweiz, wo aktuell diverse gesetzgeberische und politische Aktivitäten laufen. Der Trend geht dabei hin zu einer Straffung und Zentralisierung der staatlichen Massnahmen im Fall von Cyber-Vorfällen, während die Prävention weitgehend Aufgabe der einzelnen Akteure bleiben soll. Grundsätzliche Überlegungen wie auch Ergebnisse einer Umfrage unter kritischen Infrastrukturen in der Schweiz legen aber nahe, dass die Balance zwischen den drei Säulen der Nationalen Cyberstrategie der Schweiz – Cybersicherheit, Cyber-Strafverfolgung und Cyberdefence – neu tariert werden sollte. In einer dreiteiligen Serie geben Forschende der Universität Zürich und der Berner Fachhochschule eine Einschätzung der Sachlage.
Die über Jahre stetig ansteigende Zahl an Cyberangriffen wie auch der Krieg in der Ukraine mit seinem Einsatz von «patriotischen Hacktivists» zeigt, dass der digitale Raum immer stärker zu einer Konfliktzone wird. Als Reaktion auf diese Entwicklungen sind in den Ländern weltweit zahlreiche gesetzgeberische und politische Initiativen gestartet worden, insbesondere um die Sicherheit kritischer Infrastrukturen zu gewährleisten.
Diese Entwicklung spiegelt sich auch in der Schweiz wider: Kürzlich wurde die dritte, überarbeitete Auflage der Nationalen Cyberstrategie der Schweiz (NCS) veröffentlicht. Neben dem neuen Datenschutzgesetz, das im Herbst in Kraft tritt, ist aktuell auch das Informationssicherheitsgesetz (ISG), das die Zuständigkeiten des Nationalen Zentrums für Cybersicherheit (NCSC) regelt, aktuell in Revision, um die Meldepflicht von Cybervorfällen aufzunehmen. Auf politischer Ebene wurde zudem in diesem Jahr entschieden, das NCSC als neues Bundesamt für Cybersicherheit der Zuständigkeit des Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) zu unterstellen und zudem ein neues Staatssekretariat für Sicherheit zu schaffen.
All diese Aktivitäten haben das Ziel, ausgewogene Massnahmen für die drei Grundbereiche Cybersicherheit (präventive und reaktive Massnahmen zum Schutz ziviler Daten und Computersystemen), Cyber-Strafverfolgung (strafrechtliche Massnahmen gegen Cyberkriminalität) und Cyberdefence (Massnahmen zur Abwehr gravierender Bedrohungen im Krisen- und Kriegsfall) zu definieren.
Suche nach neuer Balance
Die grundlegende Herausforderung all dieser Aktivitäten ist es, die richtige Balance zu finden zwischen staatlicher Regulierung und Massnahmen privater Akteure, um Organisationen in die Lage zu versetzen, angemessen auf Cyber-Bedrohungen reagieren zu können, ohne sie dabei übermässig einzuschränken und ohne Grundrechte wie die Meinungsfreiheit oder den Schutz der Privatsphäre zu verletzen. So hatte beispielsweise der Wechsel des NCSC ins VBS die Befürchtung genährt, dass damit eine stärkere Zentralisierung der Massnahmen zur Abwehr von Cyberangriffen verbunden sein könnte.
Die bisherige Erfahrung der Cybersicherheits-Praktiker hat gezeigt, dass viele Angriffe – sowohl von Cyberkriminellen als auch von Hacktivists – mit einer entsprechenden Vorbereitung abgewehrt oder zumindest stark erschwert werden können. Als etwa im Umfeld des Ukraine-Kriegs deutlich wurde, dass Angriffe (etwa durch Ransomware oder so genannten «distributed denial of services» (DDoS) Attacken) teilweise von staatlichen Akteuren unterstützt oder zumindest geduldet wurden, wurde rasch deutlich, dass eine zentral gesteuerte Bekämpfung weder realistisch noch sinnvoll ist. Hingegen erwies sich, dass der Staat durch das Bereitstellen von Analyseergebnissen und durch Koordination der einzelnen Akteure die Schutzwirkung gegen solche Angriffe erhöhen kann. Ebenso hat sich gezeigt, dass Organisationen, die sich sowohl technisch als auch organisatorisch auf solche Szenarien vorbereitet hatten, kaum Probleme hatten und deren Unterbrüche – wenn überhaupt – minimal waren.
In solchen Situationen ist es essenziell, dass Informationen schnell und unkompliziert ausgetauscht werden können und dass klar ist, was mit diesen Informationen geschieht. Dies bedingt einerseits eine klar definierte und auf den Schutz ausgerichtete Mission und andererseits ein hohes Vertrauen zwischen den einzelnen Akteuren. Der erfolgreiche Schutz gegen diese Form von Angriffen, die wir im Verlauf der letzten Jahre beobachtet haben, ist aber weiterhin keine militärische, sondern eine zivile Aufgabe. Sie kann weder zentral noch hierarchisch gelöst werden, sondern muss dezentral und an die jeweiligen Umstände angepasst werden.
Aus diesen Gründen wird das NCSC richtigerweise auch als ziviles Bundesamt im VBS aufgebaut. Dadurch soll es eine klare Trennung zu anderen Organisationseinheiten wie z.B. dem Kommando Cyber der Armee, aber auch dem Nachrichtendienst geben, so dass klar ist, wie und wozu dem NCSC übergebene Informationen verwendet werden. Diese Abgrenzung soll gleichermassen das Vertrauen in das entstehende Bundesamt und eine schnellere Reaktionsfähigkeit auf Zwischenfälle begünstigen. Im Bereich der Prävention gibt es ebenfalls grosse Unterschiede zwischen Massnahmen, die im zivilen Bereich und für Friedenszeiten sinnvoll sind im Vergleich zu Massnahmen, welche die Armee für den Kriegsfall vorbereiten muss. Werden diese Elemente zu stark vermischt, führt dies zu einer ineffizienten Verteilung von Ressourcen und zu Präventionsmassnahmen, die nicht optimal an die Bedürfnisse und Anforderungen der Praxis zugeschnitten sind.
Ein Beispiel ist die Balance zwischen Zugänglichkeit und Schutz der Systeme. Während wir in normalen Situationen, Systeme und Netze relativ offen gestalten und versuchen, Wirtschaftlichkeit, Usability und Sicherheit in ein gutes Gleichgewicht zu bringen, verschiebt sich dieses Gleichgewicht im Krisenfall. Dort ist der primäre Faktor, dass die Systeme vor feindlichem Zugriff oder Störungen geschützt sind. So sind z.B. starke Restriktionen im Routing oder das Abschalten bzw. Einschränken von gewissen Zugängen, der Einsatz von spezialisierten Netzen für den Kriegsfall sehr sinnvolle Massnahmen, sind aber in Friedenszeiten weder aus wirtschaftlicher Sicht sinnvoll noch würden sie von den Benutzern akzeptiert.
Welche konkreten Meinungen und Wünsche zur Balance zwischen dem Handeln staatlicher und privater Akteure besteht bei Fachleuten kritischer Infrastrukturen? Lesen Sie im Teil 2 des Berichts über die Ergebnisse einer nationalen Umfrage.
Prävention und Abwehr von Cyberangriffen (Teil 2) – Ansichten der Fachleute Schweizer kritischer Infrastrukturen
Wie soll die Balance zwischen den drei Säulen der Nationalen Cyberstrategie der Schweiz – Cybersicherheit, Cyber-Strafverfolgung und Cyberdefence – aussehen? Fachleute kritischer Infrastrukturen in der Schweiz haben in einer Umfrage zu diesem Thema Stellung bezogen. Gewünscht wird mehr Regulierung im Bereich Prävention, aber ausreichend rechtlicher Spielraum für die Bewältigung von Vorfällen – Teil zwei einer dreiteiligen Serie von Forschenden der Universität Zürich und der Berner Fachhochschule.
Wie soll nun konkret die neue Balance zwischen dem Handeln staatlicher und privater Akteure aussehen? Hinweise darauf ergibt eine Umfrage unter den technischen Teams kritischer Infrastrukturen in der Schweiz, die im Rahmen eines Forschungsprojektes des Nationalen Forschungsprogramms 77 «Digitale Transformation» durchgeführt wurde. Die über 80 Cybersecurity-Fachleute haben dabei unter anderem Fragen beantworten, in welchen Bereichen mehr oder weniger Regulierung gewünscht wird und welche Rolle die verschiedenen Akteure zur Sicherung der kritischen Infrastrukturen haben sollen.
Regulierung ja, aber kein zu enges Korsett
Die Beteiligten wurden gebeten, ihre Präferenzen hinsichtlich der Regulierungsschärfe bei verschiedene Cybersicherheits-Themen anzugeben. Dabei konnten sie zwischen staatlich zwingender Regulierung, nichtverbindlicher Selbstregulierung (z.B. Guidelines oder Best Practices) oder gar keiner Form von Regulierung wählen. Die Ergebnisse (Abbildung 1) zeigen eine allgemeine Neigung zur Regulierung, allerdings mit einigen bemerkenswerten Befunden. So gibt es hohe Zustimmung für zwingende staatliche Regulierung für Präventionsmassnahmen wie etwa bei der Risikoanalyse. Ein möglicher Grund für diese Präferenz könnte darin liegen, dass Befragte sich eine gewisse Hebelwirkung von staatlich zwingender Regulierung versprechen, die ihren Forderungen nach präventiven Massnahmen bei internen Budget-Diskussionen mehr Gewicht verleiht. Sind solche Massnahmen gesetzlich verbindlich, dann werden solche Diskussionen einfacher und es wird auch keine Markverzerrung innerhalb des regulierten Sektors geben – etwa, indem Trittbrettfahrer von der allgemeinen Schutzwirkung der Cybersicherheits-Investitionen anderer Unternehmen profitieren, ohne selbst investieren zu müssen.
Geht es allerdings um Massnahmen, die während oder nach einem Zwischenfall relevant sind – Beispiele sind Informationsaustausch oder den Einsatz von so genannten Incident Response Teams – liegt eine klare Präferenz bei nichtverbindlichen Regulierungen, die den Akteuren mehr Spielraum lassen. Dies ist auch aus Sicht des Incident Response sinnvoll, da die Bedürfnisse und Anforderungen in den jeweiligen Sektoren stark variieren. So kann zum Beispiel eine Unterbrechung der Geschäftsaktivitäten durch das Ausschalten oder Isolieren der IT Infrastruktur eine angemessene Massnahme sein, um einen etwaigen Datenabfluss zu stoppen. Anderenorts wird dagegen die Verfügbarkeit der Daten höher gewichtet als die Vertraulichkeit der Daten.
In einigen Bereichen wird auch keine Regulierung gewünscht. Beispielsweise gibt es eine starke Ablehnung von jeglicher Regulierung in Bereichen, die nichts mit der Abwehrbereitschaft zu tun haben, wie etwa die Kostenerstattung durch Cyber-Versicherungen. Unterschiedlich wird die Frage des «Hacking Back» angesehen – also die Möglichkeit von aktiven Gegenmassnahmen bei einem Angriff. Diese Erkenntnis spiegelt sich auch in den kontroversen Debatten zu diesem Thema wider.
Es ist ebenfalls bemerkenswert, dass im Rahmen der aktuellen Überarbeitung des ISG dem NCSC die Befugnis eingeräumt wird, personenbezogene Daten zu verarbeiten, sofern dies dem Zweck dient, Angriffe zu erkennen und abzuwehren. Aus demselben Grund soll es gemäss revidierten ISG auch kritischen Infrastrukturen gestattet sein, solche sensiblen Daten dem NCSC zu übermitteln. Wichtig ist, dass damit erstmals eine Rechtsgrundlage für einen solchen Informationsaustausch geschaffen wird – dieser aber weiterhin auf Freiwilligkeit beruht; d.h. das NCSC darf von kritischen Infrastrukturen solche Informationen nicht zwingend einfordern. Damit wird ein bewährtes Prinzip des Informationsaustausches – er soll freiwillig und auf Vertrauensbasis geschehen – beibehalten, der auch im internationalen Kontext gilt; beispielsweise, wenn staatliche Incident Response Teams (GovCERTs) Informationen austauschen.
Zusammenfassend lässt sich sagen, dass die Befragten zu einer stärkeren Regulierung bei der Verhinderung von Cybervorfällen tendierten, aber eine grössere regulatorische Flexibilität bei der Reaktion auf diese Vorfälle befürworteten.
Staat soll Souveränität von Organisationen stärken
Eine weitere Frage betrifft die Rolle des Staates in diversen Cybersicherheits-Fragen (Abbildung 2). Hier zeigt sich, dass die grösste Zustimmung für eine staatliche Beteiligung in jenen Bereichen zu verzeichnen ist, die traditionell mit der Befugnis des Staates zur Schaffung und Durchsetzung von Gesetzen verbunden sind. Dazu gehören etwa die Durchführung von Untersuchungen nach einem Cyberangriff und die Umsetzung von Vorschriften sowie Compliance-Standards. Darüber hinaus wird, wenn auch in etwas geringerem Masse, eine staatliche Beteiligung bei Massnahmen zum Kapazitätsaufbau wie Sicherheitsaudits und der Reaktion auf Vorfälle für akzeptabel gehalten.
Die Akzeptanz staatlicher Eingriffe scheint dabei vom empfundenen Grad der Eingriffstiefe abzuhängen. Während «Aufklärung und Beratung» – also Massnahmen, die weder die bestehen Aktivitäten im Netzwerk kontolllieren noch die organisatorischen Abläufe zwingend vorschreiben – in hohem Masse als akzeptabel angesehen werden, ist dies nicht der Fall bei weitaus intrusiveren Massnahmen wie «Prävention auf technischer Ebene» und «aktive Gegenmassnahmen». Für diese zwei letzteren Kategorien kann keine eindeutige Vorliebe aller Befragten festgestellt werden. Vielmehr scheinen die Präferenzen branchenabhängig zu sein. So bewerten Fachleute des Telekommunikationssektors die Akzeptanz der «Prävention auf technischer Ebene» deutlich niedriger als jene des staatlichen Sektors. Dies dürfte unter anderem mit dem Wunsch nach der Wahrung des Fernmeldegeheimnisses erklärt werden, welches bei der täglichen Arbeit von Telekommunikationsunternehmen eine viel entscheidendere Rolle spielt im Vergleich zu anderen Branchen. Interessant ist auch, dass kritische Infrastrukturen ohne eigenes Incident Response Team eine deutlich stärkere Neigung zur staatlichen Beteiligung an der Reaktion auf Vorfälle zeigten als Organisationen mit einem solchen Team.
Insgesamt lassen sich die Ergebnisse der Befragung so interpretieren, dass die Beteiligung des Staates weitgehend akzeptiert wird, wenn sie dazu dient, die Souveränität einer Organisation zu stärken, anstatt sie zu untergraben. Es zeigt sich aber auch, dass das richtige Gleichgewicht zwischen dem Wunsch nach Souveränität und dem Mehrwert eines staatlichen Engagements stark vom jeweiligen Kontext abhängt.
Welche Rolle soll das NCSC und damit das neu entstehende Bundesamt für Cybersicherheit bei Cybervorfällen haben? Und spielt es eine Rolle, dass das Bundesamt neu dem VBS unterstellt ist? Erfahren Sie im Teil 3 des Berichts weitere Ergebnisse einer nationalen Umfrage.
Prävention und Abwehr von Cyberangriffen (Teil 3) – Das NCSC als Dreh- und Angelpunkt
Das Nationale Zentrum für Cybersicherheit soll eine zentrale Schnittstelle bei fast allen Cybersicherheits-Aktivitäten sein – so die Ansicht von Cyberexperten kritischer Infrastrukturen gemäss einer Umfrage. Der Wechsel des Nationalen Zentrums für Cybersicherheit (NCSC) ins Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) hat dabei messbare Auswirkungen auf die Einschätzung der Rolle des NCSC – der abschliessende Teil einer dreiteiligen Serie von Forschenden der Universität Zürich und der Berner Fachhochschule.
Eine wichtige Frage in der Umfrage unter Cyber-Experten kritischer Infrastrukturen in der Schweiz (siehe Teil 2) betritt die Einbindung konkreter staatlicher Akteure in den verschiedenen Massnahmen (Abbildung 3). Dabei wird dem NCSC in nahezu allen Massnahmen eine bedeutende Rolle zugeschrieben. Andere Akteure hingegen werden eher in rollenspezifischen Positionen gesehen. Beispielsweise wird privaten Dienstleistern eine Schlüsselrolle bei Beratung und Audits eingeräumt, Internet-Dienstanbieter bei technischen Massnahmen und der Polizei bei Ermittlungen nach Vorfällen. Die Armee wiederum soll lediglich bei aktiven Gegenmassnahmen eine bedeutsame Funktion übernehmen.
Gefragt wurde schliesslich auch nach der konkreten Rolle des NCSC bei bestimmten Massnahmen (Abbildung 4). Die Rolle des NCSC als spezifischer staatlicher Akteur wird in den meisten Bereichen als akzeptabel oder sogar als erwünscht und notwendig angesehen, mit Ausnahme eines bestimmten Aspekts. Besonders gering war die Akzeptanz von Massnahmen, die dem NCSC Einblicke in die Aktivitäten in den Netzen der Befragten gewähren würden, wie z. B. die Platzierung eines vom NCSC betriebenen Sensors in Ihrem Netz, um bösartige Aktivitäten zu überwachen.
Zufälligerweise fand unsere Umfrage im Zeitraum statt, als bekannt wurde, dass das Nationale Zentrum für Cybersicherheit (NCSC) neu dem Departement für Verteidigung, Bevölkerungsschutz und Sport VBS unterstellt werden sollte, so dass Daten vor und nach dieser Entscheidung vorliegen. Daraus ergeben sich auch Hinweise darauf, wie diese Neuorientierung von wichtigen Akteuren der Schweizer Cybersicherheit wahrgenommen wird. So ist erwähnenswert, dass die Akzeptanz für diese Massnahme (Platzierung eines vom NCSC betriebenen Sensors) nach der Entscheidung, den NCSC in das VBS zu überführen, deutlich zurückgegangen ist. Eine mögliche Interpretation besteht darin, dass eine solche Massnahme als Verletzung einer klaren Unterscheidung der drei Säulen der NCS – Cybersicherheit, Cyber Strafverfolgung und Cyberdefense – verstanden werden könnte. Es bedarf klarer Vorschriften für den Austausch von Daten zwischen den verschiedenen Organisationen, um das Gleichgewicht zwischen diesen Säulen und damit das Vertrauen in die staatlichen Einrichtungen zu stärken.
Nach der Entscheidung, das NCSC dem VBS zu unterstellen, konnten weitere messbare Veränderungen verzeichnet werden, welche sich teilweise in neuen Rollenpräferenzen wiederspiegelten. Zum Beispiel gab es nach dem Wechsel eine deutlich stärkere Präferenz für die Involvierung von Internet-Dienstanbietern bei Ermittlungen nach Cybervorfällen, während die Polizei nunmehr weniger in dieser Rolle gesehen wurden. Zudem stieg die Akzeptanz für die Beteiligung des Staates an der Incident Response. Ob diese Veränderungen auf eine positivere Wahrnehmung der Fähigkeiten des NCSC im Bereich Cybersicherheit zurückgeführt werden kann, wie von den Befürwortern des Wechsels argumentiert, oder auf eine negativeren Wahrnehmung seiner Vertrauenswürdigkeit, wie von dessen Kritikern befürchtet, kann durch unsere Umfrage nicht eindeutig beantwortet werden. Dennoch lässt sich aus der Umfrage ableiten, dass beide Faktoren mit hoher Wahrscheinlichkeit eine Rolle spielen, was bei der Integration des NCSC als Bundesamt in den VBS berücksichtigt werden sollte, um das bisherige Vertrauen in das Zentrum nicht aufs Spiel zu setzen.
Fazit
Unsere Umfrage hat interessante Erkenntnisse zum Verhältnis zwischen Staat und Cybersicherheitsfachleuten kritischer Infrastrukturen in der Schweiz zutage gebracht. Diese Ergebnisse können aktuelle und zukünftige Governance-Diskussionen einfliessen, um die etablierte Zusammenarbeit zwischen den involvierten Parteien nicht zu gefährden.
Die befragten Fachleute äusserten den Wunsch, dass der Staat eine aktivere Rolle bei der Entwicklung von Cyberkapazitäten übernimmt. Dies impliziert jedoch keineswegs, dass nicht-staatliche Organisationen ausgeschlossen werden sollen. Vielmehr scheinen die Umfrageteilnehmer sowohl private als auch öffentliche Akteure in der Verantwortung zu sehen. Eine Erweiterung der sogenannten Public-Private Partnerships (PPP) im Bereich Cybersicherheit würde dieser Forderung nachkommen.
Obwohl die Befragten grundsätzlich eine verstärkte Einbindung des Staates im Bereich Cybersicherheit befürworteten, zeigte sich auch ein Spannungsfeld. Während eine angemessene Einbeziehung des Staates zur Förderung eigener Cyberkapazitäten begrüsst wurde, stiess eine übermässige Verletzung der organisatorischen Souveränität auf Ablehnung. So ist zwar eine striktere Regulierung im Bereich Prävention gewünscht, jedoch nicht im Nachgang von Vorfällen, in welchem eine grösserer Handlungsspielraum bevorzugt wurde. Die Cybersicherheit kann also als eine sensible Gratwanderung zwischen dem Bedürfnis nach mehr Schutz einerseits und Wahrung der eigenen Unabhängigkeit andererseits verstanden werden.
Bei der Umsetzung des neuen Bundesamtes für Cybersicherheit wird demnach eine behutsame Balance zwischen Massnahmen zur Kompetenzförderung und der Wahrung organisatorischer Unabhängigkeit von entscheidender Bedeutung sein. Die Vor- und Nachteile verschiedener Massnahmen müssen sorgfältig abgewägt werden. Auch dritte Partner wie Hochschulen oder NGOs können hierbei mehr eingespannt werden. Das künftige Vertrauensverhältnis und somit die Kooperationsbereitschaft zwischen dem NCSC und seinen Partnern wird massgeblich von diesen Entscheidungen abhängen