Kritische Infrastrukturen: Was sind die wichtigsten Daten im Krisenfall?
Im Auftrag des Bundesamtes für Cybersicherheit hat die Swiss Data Alliance zusammen mit der Expedition Zukunft eine Workshop-Reihe zu den wichtigsten Daten im Krisenfall durchgeführt. Hintergrund ist die Motion 23.3002 «Mehr Sicherheit bei den wichtigsten digitalen Daten der Schweiz».
Die Motion aus der sicherheitspolitischen Kommission des Ständerats verlangt, dass die bedeutendsten digitalen Daten des Bundes, der Kantone, der Gemeinden sowie der Betreiberinnen kritischer Infrastrukturen besonders geschützt werden. Um die Motion gemeinsam mit den Betreiberinnen kritischer Infrastrukturen umzusetzen, hat das Bundesamt für Cybersicherheit BACS die Swiss Data Alliance und Expedition Zukunft beauftragt, zwei halbtägige Workshops zum Thema «Die wichtigsten Daten der Schweiz» zu organisieren. Zu diesen Workshops, die im Januar 2025 stattfanden, lud das BACS rund 20 IT-Verantwortliche kritischer Infrastrukturen ein, u.a. aus den Sektoren Energie, Gesundheit, Verkehr, Kommunikation, Finanzen und Nahrung.
Szenario wie «Crowdstrike»
In der Annahme, dass sich die Frage nach den «wichtigsten digitalen Daten» nicht abstrakt beantworten lässt, wählten die Organisatoren als Kontext das Krisenszenario eines «massiven, weltweiten Ausfalls zentraler IT-Infrastrukturkomponenten» (inspiriert durch die Crowdstrike-Panne im Juli 2024).
Beide Workshops folgten demselben inhaltlichen und formalen Aufbau und unterschieden sich nur durch die unterschiedliche Zusammensetzung der Teilnehmenden aus den jeweiligen Sektoren. Die Veranstalter bereiteten alle Teilnehmenden in einem 30-minütigen Telefongespräch auf die Workshops vor.
Auswirkungen auf «Essential Services»
Im ersten Teil des Workshops schilderten die Teilnehmenden, wie sich ein solcher IT-Ausfall je nach Dauer (Minuten, Stunden, Tage nach dem Vorfall) auf ihre Prozesse («Essential Services»), Systeme und Datenbestände auswirken würde. Sie zeigten zudem auf, welche Gegenmassnahmen sie in ihren Unternehmen zu welchem Zeitpunkt vorgesehen haben. Daraus ergaben sich erste szenario- und zeitbasierte Antworten auf die Frage nach den wichtigsten Daten der jeweiligen Betreiberinnen kritischer Infrastrukturen.
Im zweiten Teil des Workshops diskutierten die Teilnehmenden unternehmens- und sektorübergreifend Massnahmen zur Erhaltung bzw. Wiederherstellung der Handlungsfähigkeit («Service Continuity Management»). Sie tauschten Best Practices aus, stellten ihre Notfallplanungen vor und besprachen Möglichkeiten zur Verbesserung technischer Infrastrukturen sowie regulatorische und kooperative Massnahmen.
Wie zu erwarten, identifizierten die Teilnehmenden sehr unterschiedliche Datenbestände, die bei einem Ausfall zentraler IT-Komponenten betroffen wären und dadurch die Aufrechterhaltung der Essential Services gefährden würden. Im Schienenverkehr etwa benötigen die Betreiber sicherheitsrelevante Daten zur Steuerung von Signalen und Weichen, auf die sie jederzeit angewiesen sind. Im Nahrungssektor würde ein Ausfall der Zahlungssysteme die Betreiberinnen dazu zwingen, ihre Verkaufslokale innerhalb von 15 Minuten zu schliessen. Spitäler könnten ohne interne Kontaktdaten und Kommunikationsverbindungen bereits nach kurzer Zeit keine neuen Patienten mehr aufnehmen und keine Operationen mehr durchführen.
Notfallpläne und Backup-Systeme sind vorhanden
Die Diskussion über Massnahmen zur Sicherstellung der Handlungsfähigkeit bei einem IT-Infrastrukturausfall zeigte, dass viele Unternehmen bereits detaillierte Notfallpläne entwickelt oder in Arbeit haben. Sie haben auch umfangreiche Backup-Systeme installiert oder stehen kurz davor, diese einsatzbereit zu machen. Zwar unterscheiden sich die Massnahmen je nach Sektor und Unternehmen erheblich in ihrer Ausgestaltung und ihrem Umsetzungsstand, doch alle Teilnehmenden machten deutlich, dass sie das Szenario ernst nehmen und ihre Unternehmen entsprechend vorbereiten. Dabei helfen ihnen sektorspezifische und sektorübergreifende Richtlinien wie etwa das Rundschreiben 2023/1 der Eidgenössischen Finanzmarktaufsicht FINMA («Operationelle Risiken und Resilienz – Banken») oder der Minimalstandard zur Verbesserung der IKT-Resilienz des Bundesamts für wirtschaftliche Landesversorgung (BWL).
Es braucht mehr sektorübergreifenden Datenaustausch
Deutlich kritischer fällt die Einschätzung der Vorbereitung auf notwendige datenbasierte Interaktionen zwischen den Betreiberinnen kritischer Infrastrukturen im Krisenfall aus. Die Unternehmen haben die gegenseitigen Abhängigkeiten und den Datenaustausch zur Aufrechterhaltung oder Wiederherstellung der Essential Services bisher kaum analysiert. Entsprechende Aspekte finden sich weder in sektorspezifischen noch in sektorübergreifenden Richtlinien und Standards. Telekommunikations- und Energieunternehmen übernehmen dabei eine besondere Rolle, da praktisch alle anderen Betreiberinnen kritischer Infrastrukturen auf deren Dienste angewiesen sind. Obwohl die Teilnehmenden der Workshops mehrheitlich vor einer Überregulierung warnten, befürworteten sie dennoch technische, organisatorische und gegebenenfalls gesetzliche Massnahmen, um den sicheren sektorübergreifenden Datenaustausch im Krisenfall zu gewährleisten. Die Umsetzung der Motion 23.3002 kann dabei den notwendigen Impuls liefern.
In Szenarien denken
Die Workshops bestätigten den Wert eines szenariobasierten Vorgehens grundsätzlich, um den Auftrag der Motion zur Festlegung von Kriterien für die Bestimmung und Sicherung der wichtigsten Daten der Schweiz zu erfüllen. Die Teilnehmenden verdeutlichten die Vielfalt an Prozessen, Systemen und Datenbeständen, die je nach Art und Zeitpunkt einer Krise betroffen sind. Auch wenn ein abschliessender Katalog der wichtigsten Daten wünschenswert wäre, wird eine vollständige Liste nicht möglich sein. Vielmehr erfordert die Umsetzung der Motion eine Methodik, mit der die Verantwortlichen ausgehend von priorisierten Gefährdungen szenariobasiert die wichtigsten Datenbedürfnisse der Betreiberinnen kritischer Infrastrukturen erfassen und daraus konkrete Sicherstellungsvorgaben ableiten können. Im Zentrum muss der Datenverkehr zwischen den zuständigen Unternehmen sowie den Verwaltungen von Bund, Kantonen und Gemeinden stehen. Die Beteiligten müssen diesen Datenverkehr nicht nur durch besonders geschützte Kommunikations- und Speicherinfrastrukturen sichern, sondern auch durch Standards, organisatorische Massnahmen und rechtliche Grundlagen absichern. Zudem gilt es, den Erfahrungsaustausch und die Zusammenarbeit zwischen Verantwortlichen der kritischen Infrastrukturen und den Verwaltungen auf allen Ebenen zu stärken.
