Gewisse Branchen bezüglich Cybersicherheit anders behandeln?
Dass es um die Cybersicherheit in gewissen Branchen nicht zum besten steht, ist hinlänglich bekannt. Insbesondere im Gesundheitsbereich häufen sich Berichte über zuweilen sehr gravierende Sicherheitsmängel. So haben beispielsweise die Erpressung von Westschweizer Arztpraxen durch den Diebstahl sensitiver, persönlicher Gesundheitsdaten zehntausender Patienntinnen und Patienten jüngst grosse Wellen geschlagen. Ein weiterer sehr besorgniserregender Fall ist das Debakel rund um das Portal meineimpfungen.ch.
Zudem eröffnet sich durch den Einsatz von automatisierten Entscheidungssystemen (ADM, oftmals basierend auf Methoden des maschinellen Lernens) ein weiteres Cyber-Sicherheitsfeld. Einerseits durch nicht gewollte Auswirkungen, wie z.B. Fehldiagnosen von Patient*innen bei Krebserkrankungen. Andererseits durch Missbrauch solcher Systeme, wie z.B. durch gefälschte Videoaufnahmen, sog. Deepfakes. In der Cyberrisikenverordnung (CyRV) umfasst KI bereits im Begriff des Cybervorfalls, der im Gegensatz zum Cyberangriff keinen Angreifer von aussen erfordert, sondern auch unbeabsichtigte Funktionsstörungen.
Nun sind mangelnde Cybersicherheit und zunehmende Komplexität ein generelles Problem. Dennoch gibt es Unterschiede der Sensitivität. Und es gibt Branchen, welche offenbar weniger von erfolgreichen Attacken betroffen sind. So beispielsweise die Finanzbranche. Diese scheint gemäss den Berichten des NCSC weniger angreifbar als eben zum Beispiel das Gesundheits- oder das Bildungswesen.
Dass die Finanzbranche gut dasteht, hat aber auch einen klaren Grund. Nicht nur ist es eine der am stärksten und frühesten digitalisierte, welche aus eigenem Antrieb grosse Anstrengungen in Sachen Cybersicherheit unternommen hat. Sie ist auch stark im Fokus der Finanzmarktaufsicht bezüglich Cyberrisiken. So hat die FINMA bereits vor Jahren damit begonnen, systematisch von den Finanzinstituten einen aufmerksamen Umgang mit solchen Risiken abzuverlangen.
In diesem Zusammenhang wird der Bundesrat gebeten, folgende Fragen zu beantworten:
- Was ist die Einschätzung des Bundesrates bezüglich den grossen Unterschieden gewisser Branchen bezüglich Cybersicherheit und wie gedenkt er – im Rahmen seines Einflussbereichs – damit umzugehen?
- Welche Branchen identifiziert der Bundesrat, bei welchen in Anbetracht der Bedrohungen für Individuen und Unternehmen ein höherer Anspruch an Cybersicherheit früher und konsequenter umgesetzt werden müsste, als in anderen?
- Welche existierenden Kontrollbehörden könnten in den jeweiligen Branchen – analog einer FINMA im Finanzmarkt – solche Aufgaben übernehmen?
- Registriert das NCSC bereits spezifische Cyberangriffe auf KI-Systeme, beispielsweise im Energie- oder im Finanzbereich?
- Wäre der Bundesrat gewillt, die Problematik in einem Bericht zu beleuchten?
STELLUNGNAHME DES BUNDESRATES VOM 24.08.2022
Frage 1: Nach Ansicht des Bundesrates gibt es sowohl bezüglich Reifegrad der Cybersicherheit als auch bezüglich der Bedrohung grosse Unterschiede zwischen den Branchen. Deshalb hat der Bund unter der Leitung des Bundesamtes für wirtschaftliche Landesversorgung (BWL) sektorspezifische IKT-Minimalstandards entwickelt. Gestützt auf diese Standards plant der Bundesrat, sektoriell in den jeweiligen Rechtsgrundlagen Vorgaben zur Cybersicherheit zu verankern.
Frage 2: Der Bundesrat hat Handlungsbedarf im Energie-, im Gesundheits-, im Finanz- sowie im Telekommunikationssektor identifiziert.
Im Energiesektor schlägt der Bundesrat die Einführung einer Pflicht vor, im Bereich Netzbetrieb, Produktion und Speicherdienstleistungen Massnahmen zum Schutz vor Cyberrisiken zu ergreifen. Dieser Vorschlag ist Teil der Vorlage zur Einführung einer Meldepflicht bei Cyberangriffen für Betreiberinnen und Betreiber von kritischen Infrastrukturen im Informationssicherheitsgesetz (ISG).
Im Gesundheitssektor hat die Schweizerische Konferenz der kantonalen Gesundheitsdirektorinnen und Gesundheitsdirektoren (GDK) gemeinsam mit dem Nationalen Zentrum für Cybersicherheit (NCSC) eine umfassende Liste mit Cybersicherheitsempfehlungen für alle Leistungserbringenden in diesem Sektor erstellt.
Im Finanzsektor wurde die Cybersicherheit verstärkt, zum einen durch die Eidgenössische Finanzmarktaufsicht (FINMA) und zum andern dank der Zusammenarbeit zwischen dem NCSC und dem Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC).
Zur Stärkung der Cybersicherheit im Telekommunikationssektor schliesslich, prüft der Bundesrat die revidierten Ausführungsbestimmungen der Verordnung über Fernmeldedienste (FDV) im Hinblick darauf, Internetanbieterinnen zu Sicherheitsmassnahmen zu verpflichten. Es sind auch Massnahmen vorgesehen, um die Cybersicherheit bestimmter drahtloser, auf dem Schweizer Markt erhältlicher Geräte zu erhöhen. Diese Massnahmen orientieren sich an den in der Europäischen Union verabschiedeten Massnahmen.
Frage 3: Die Zuständigkeiten für die Kontrolle und Überwachung sind so ausgestaltet, dass spezifischen Anforderungen der einzelnen Sektoren bestmöglich Rechnung getragen wird und sind häufig zwischen Bund und Kantonen geteilt.
Der Bundesrat fördert deshalb den Austausch zwischen allen zuständigen Stellen. Das NCSC arbeitet direkt mit diesen Stellen zusammen, um die Cybersicherheit in allen Sektoren zu stärken.
Frage 4: Das NCSC registriert keine spezifischen Angriffe auf KI-Systeme.
Frage 5: Der Bundesrat prüft das Thema im Rahmen der Umsetzung der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) und im Zusammenhang mit der Schaffung eines neuen Bundesamtes vertieft. Er informiert das Parlament regelmässig über den Stand der Arbeiten.