News

Jüngste Sicherheitsvorfälle zeigen: Schweizer Unternehmen werden keineswegs von Cyberattacken verschont. Unternehmen wie die RUAG (Data Leakage), 20 Minuten (Hack der Webseite) oder Schweizerische Transportunternehmen und Tankstellen (Skimming von Billett- und Tankautomaten) wurden bereits Opfer entsprechender Angriffe. Hierbei stellt sich unter anderem die Frage, ob die Vorgaben betreffend Cybersicherheit in der Schweiz genügend sind?

Auf europäischer Ebene hat das EU-Parlament am 6. Juli 2016 gemeinsame Regeln zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit verabschiedet (Medienmitteilung). Diese neue Regelung NIS-Richtlinie verpflichtet in erster Linie Betreiber kritischer Infrastrukturen („wesentliche Dienste“) im Energie-, Verkehrs-, Banken- und Gesundheitsbereich oder bei der Trinkwasserversorgung als auch grosse Online-Dienstleister wie Amazon, eBay oder Google. Damit soll die Cybersicherheit in der gesamten EU verbessert werden. Wichtigste Pflichten für bestimmte private Unternehmen sind: 1) Ergreifen von Risikomanagementmassnahmen 2) Meldepflicht bei gravierenden IT-Vorfällen.

In der Schweiz ist man sich bewusst, dass die gesetzlichen Grundlagen mit den rasanten digitalen Entwicklungen Schritt halten müssen. Ein Entwurf für ein nationales Informationssicherheitsgesetz ist seit März 2014 der Öffentlichkeit zugänglich. Der Geltungsbereich bezieht sich – anders als auf europäischer Ebene – hauptsächlich auf die Bundesverwaltung, ihre Informationen und Systeme. Für Schweizer Unternehmen sieht der letzte Gesetzesentwurf keine einheitlichen Mindeststandards vor, an welchen sie sich orientieren könnten. Dies wäre jedoch sehr zu begrüssen, handelt es sich bei der Cybersicherheit doch um ein Querschnittsthema wie z.B. beim Datenschutz (zurzeit in Revision). Es wird sich zeigen, in welche Richtung das neue Informationssicherheitsgesetz der Schweiz gehen wird. Zu wünschen wären klare und einheitliche Grundsätze und Mindestvorgaben für alle Beteiligten (Bund, Kantone und Privatwirtschaft). Dies würde das notwendige gemeinsame Verständnis aller fördern und wesentlich zu einem den heutigen Herausforderungen gewachsenen Sicherheitsniveau beitragen.

Die Cyberwelt kennt keine Grenzen – diese Tatsache sollte sich auch in den Gesetzen widerspiegeln.

Bereits zum neunten Mal findet der Schweizer Polizei Informatik Kongress (SPIK) statt. Im Stade de Suisse in Bern werden wiederum um die ca. 700 Teilnehmende aus Polizei, Wirtschaft und Politik erwartet. Einmal mehr werden sie ein vielfältiges Programm zu aktuellen technologischen Trends sowie Erfahrungsberichte aus erster Hand antreffen. insecor, als Mitglied des Vereins SPICT und des OK SPIK, freut sich bereits jetzt auf einen bestimmt lehrreichen und inspirierenden Tag. Anmeldung ist noch möglich ...

Der Bundesrat hat den aktuellsten Bericht zur Sicherheitspolitik der Schweiz gutgeheissen und die Vernehmlassung eröffnet. Der Bericht enthält die grundsätzliche Ausrichtung der Schweiz für die Sicherheitspolitik der nächsten Jahre und soll im Frühsommer 2016 vom Bundesrat verabschiedet und anschliessend dem Parlament vorgelegt werden. Der Bericht weist auf die markante Veränderung der Bedrohungslage in den letzten Jahren für die Schweiz hin. Dies bezieht sich insbesondere auf das im Zuge der Ukraine-Krise nachhaltig verschlechterte Verhältnis zwischen dem Westen und Russland, die Verschärfung der Bedrohung durch den islamistischen Terrorismus sowie das Ausmass an illegalen Aktivitäten und Missbrauch im Cyber-Raum. Den aktuellsten Entwurf des Berichts finden Sie hier.

Kritische Betrachtung in Kürze: Drei Kernbegriffe sollen die sicherheitspolitische Strategie der Schweiz prägen: Selbständigkeit, Kooperation und Engagement. In Bezug auf Bedrohungen und Gefahren aus dem Cyber Raum betont der Bericht die Selbständigkeit und Eigenverantwortung aller Organisationen und Unternehmen der Schweiz. Diese müssen die „Cyber-Risiken kennen“ und sind „grundsätzlich selbst für die Schutzvorkehrungen verantwortlich“. Bei dieser Aussage wird verkannt, dass der Cyber Raum ein riesiger internationaler virtueller Raum mit unzähligen Möglichkeiten für „unsichtbare“ bzw. nur schwer greifbare Angriffe unterschiedlichster Art ist (z.B. Missbrauch von Identitäten, Betrug, DDoS-Angriffe, terroristische Aktivitäten mittels Social Media, u.a.). Während bei „sichtbaren“ Bedrohungen und Gefahren wie beispielsweise Gewalt oder Krieg der Staat den Bürger und die Wirtschaft nicht sich selbst überlässt, wird dies für den Cyber-Raum, der weitaus grösser als die staatlichen Grenzen ist, plötzlich anders gehandhabt. Der Staat sollte aufgrund der Komplexität und Grösse des Cyber Raums erst recht in diesem Bereich eine stärkere Rolle spielen. Dies im Sinne einer gesamtheitlichen Betrachtungsweise der veränderten Bedrohungslage als auch des Zusammenspiels von Staat, Wirtschaft und Bürger.