Wie die Schweiz ihre digitalen Daten besser schützen kann
Zusammen mit Wirtschaftsvertretern hat das Bundesamt für Cybersicherheit neue Vorgaben für besonders schützenswerte digitale Daten diskutiert. Die Beteiligten sprachen sich unter anderem für einheitliche Regelungen aus. Aufbauend auf den Austausch erarbeitet der Bund nun weitere Grundlagen.
Bedeutende digitale Daten des Bundes, der Kantone, der Gemeinden sowie von Betreibern kritischer Infrastrukturen sollen besonders geschützt werden. Das Parlament überwies eine entsprechende Motion im Herbst 2023 an den Bundesrat. Er beauftragte nun das Bundesamt für Cybersicherheit, die Motion umzusetzen. Dieses führte dazu drei Workshops mit Vertretern kritischer Infrastrukturen und weiterer Experten durch, deren Ergebnisse nun in einem Bericht vorliegen.
Ziel der Workshops war es, diejenigen Daten zu identifizieren, die für das Funktionieren dieser Infrastrukturen von zentraler Bedeutung sind, und praxisnahe Erkenntnisse zum Umgang mit ihnen zu liefern. Im Mittelpunkt stand dabei das Szenario eines grossflächigen IT-Ausfalls, etwa wie bei der weltweiten Crowdstrike-Panne vom 19. Juli 2024. Davon ausgehend wurden die Auswirkungen auf Energie, Gesundheit, Finanzen, Transport und Lebensmittelversorgung analysiert.
Verschiedene Branchen, gemeinsame Abhängigkeiten
Wie es im Bericht heisst, zeigen die Workshops deutliche Unterschiede bei der Vorbereitung auf IT-Ausfälle zwischen den Branchen. Energie- und Kommunikationsunternehmen würden über ausgereifte Krisenstäbe verfügen, während andere weniger gut vorbereitet seien. Zentrale Herausforderungen bestünden insbesondere in den gegenseitigen Abhängigkeiten. Fällt etwa die Strom- oder Kommunikationsinfrastruktur aus, seien andere Sektoren sofort betroffen.
Praxisnah wurde die Gefährdung entlang einer Zeitachse illustriert, heisst es weiter. In den ersten Minuten komme es demnach besonders auf Kommunikations- und Stromsysteme an, danach rückten Betriebssteuerungs- und Logistikdaten in den Vordergrund. Bei längeren Ausfällen seien dann vor allem zentrale Datenbanken und Transaktionssysteme gefährdet.
Hinsichtlich der Regulierung verzeichnet der Ergebnisbericht starke Unterschiede zwischen den Sektoren. Während etwa im Bankensektor klare Vorschriften bestünden, würden diese anderswo fehlen.
Technische, organisatorische und rechtliche Empfehlungen
Die an den Workshops beteiligten Organisationen fordern daher eine Vereinheitlichung der Regulierung und klare Definitionen dafür, was als kritische Infrastruktur und schützenswerte Daten gelten soll. Gemäss einem "Service-First"-Ansatz sollen zuerst kritische Dienste identifiziert und dann deren schützenswerte Daten bestimmt werden. Des Weiteren sei branchenübergreifende Absicherung und Standardisierung des Datenverkehrs noch unzureichend, heisst es weiter.
Die im Bericht zusammengefassten Ergebnisse fliessen nun in die Handlungsoptionen für den Bundesrat ein. Widerstandsfähige Datenaustauschlösungen, sektorenübergreifende Harmonisierung und der Ausbau gemeinsamer Infrastrukturen seien dabei zentral.
Auch EU-Regulierungen betreffen den Datenschutz in Schweizer Unternehmen zunehmend. Eine Umfrage des Zürcher SASE-Anbieters Open Systems zeigt so, dass viele Firmen ihre IT-Strategie und Anbieterwahl bereits an Vorgaben wie NIS2, DORA oder den Cyber Resilience Act anpassen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Finma fordert besseren Cyberschutz von Swissquote
Die lahmste Maus von Mexiko
Klugheit schützt vor Dummheit nicht
Betrüger locken mit vermeintlichen Kryptorückzahlungen
Schweizer Banken versagen bei Betrugsnotfällen
Wie Unternehmen teure Fehler beim Security Operations Center vermeiden
Wie Phisher ihren Opfern noch mehr Geld aus der Tasche ziehen
Wie die Schweiz ihre digitalen Daten besser schützen kann
Cybergauner fluten die Schweiz mit Echtzeit-Phishing
