Cybergefahren: Gefährlicher Schlaf der Strombarone

Zerstörerische Cyber-Attacken des internationalen organisierten Verbrechens werden zusehends zur Systembedrohung. Die jüngste Attacke der anonymen, vermutlich aus Russland operierenden Revil-Bande hat die IT-Systeme bei weltweit über 1000 Firmen ausgeschaltet und beschädigt. Bei Coop Schweden etwa wurden 800 Filialen tagelang komplett lahmgelegt. Zuvor hatte eine andere Bande durch ihre Cyber-Attacke auf die Steuerung der Colonial Pipeline die Tankstellen in US-Bundesstaaten über mehrere Tage funktionsunfähig gemacht.

50 Millionen Dollar Lösegeld mussten die geschädigten Firmen im Revil-Fall an die kriminelle Bande überweisen, damit diese den Generalschlüssel zur Datenfreigabe aushändigen. Die Zahlung erfolgte verdeckt in Bitcoin-Geld, das als ideale Transferwährung für das organisierte Verbrechen und die Geldwäscherei dient. Diese verschlüsselte Kryptowährung wird von der schweizerischen Regierung amtlich protegiert und von Zug beherbergt.

Heute ist in Fachkreisen unbestritten und durch Erfahrungen bewiesen, dass kritische Infrastruktur eines Landes oder eines ganzen Kontinents durch das organisierte Cyberverbrechen oder durch einen Schurkenstaat im Konfliktfall ausser Betrieb gesetzt werden kann.

Kostspieliger als eine Pandemie

Im Krisenfall könnte das gesamte Stromnetz eines Landes oder mit fortschreitender digitaler Vernetzung des ganzen europäischen Kontinents ausgeschaltet werden. Wenn der Strom fehlt, sind nicht nur Produktion und Haushalte ausgeschaltet, sondern auch der Autoverkehr durch lahmgelegte Benzinpumpen an allen Tankstellen, ebenso der gesamte Mobilfunk und die Regierungsapparate. Ein landes- oder kontinentweiter Stromausfall ist von allen denkbaren zivilisatorischen Risiken das gefährlichste. Wirtschaftlich ist eine solche Katastrophe ein Vielfaches kostspieliger als eine Pandemie.

Die Komplexität und geographische Reichweite des  europäischen Stromverbunds macht das System anfällig. Je komplexer und vermeintlich «intelligenter» die Smart Grids (intelligente Netze) ausgebaut werden, desto grösser sind die Cyberrisiken für die Steuerungssysteme.

Solches  verschweigen uns die Strombarone. Sie lenken von den Cyberrisiken ab und spielen vielmehr mit der Angst vor einer Stromversorgungslücke wegen zu wenig Produktionskapazitäten beim AKW-Ersatz. Und die Chefs der Swissgrid AG, welche die Hochspannungsleitungen betreibt, rufen stattdessen nach einem Stromabkommen, weil sie beim Stromtransit am meisten verdienen. Ein solches vergrössert aber das Cyberrisiko massiv.

Die Elektrizitätswerke geben sich selbst die Note 2,6 auf einer Skala von 0 bis 4. Die Experten hingegen stufen sie «knapp unter 1» ein.

Einen eindrücklichen Beleg für die Fahrlässigkeit der Schweiz in der Prävention vor Cyber-Attacken liefert der Ende Juni publizierte, 190-seitige Expertenbericht über «Cyber-Sicherheit und Cyber-Resilienz für die Schweizer Stromversorgung». Er wurde im Auftrag des zuständigen Departements UVEK erstellt.  Die meisten Zeitungen haben nicht einmal darüber berichtet. Er ist den Journalisten zu kompliziert. Auch parlamentarische Vorstösse zur Cybersicherheit beim Strom gibt es keine.

Die Erhebung bei 124 Elektrizitätsunternehmen der Schweiz ergibt ein lamentables Bild über die Wahrnehmung der Cyber-Gefahren durch die Strombranche. Die Krisenanfälligkeit wird ignoriert. Nicht einmal der Branchenstandard wird eingehalten. Die Robustheit der IT-Systeme und die Resilienz, also die Tragbarkeit des verbleibenden Risikos, wird von den Experten mit Noten von 0 bis 4 bewertet. Der schweizerische Elektrizitätssektor erhält im Expertenbericht nur gerade die Note «knapp unter 1». Die Elektrizitätsunternehmen ihrerseits beurteilen sich aber selbstbewusst mit der Note 2,6. Das ist eine eklatante Selbsttäuschung und Irreführung der Öffentlichkeit! Im Ländervergleich figuriert die Schweiz mit den Balkanländern weit hinter EU-Staaten.

Wie die Pandemievorsorge vor Corona

Die Strombarone verbleiben bezüglich der Cybersicherheit unsers Elektrizitätsnetzes in einem gefährlichen Schlaf von Verantwortungslosigkeit. Man rechtfertigt die Nachlässigkeit – wie immer – mit der «Eigenverantwortung» der Unternehmen und mit dem «Subsidiaritätsprinzip» im Staat.

Die heutige Situation gleicht der Pandemievorsorge vor Corona: Man kannte zwar die Risiken, es gab mehrere Studien und Empfehlungen, aber niemand fühlte sich zuständig für Krisenorganisation, Beschaffung von Masken, Testmaterial oder Impfstoff-Herstellung. Jeder Politiker und Beamte konnte sich nach dem Ausbruch der Katastrophe heraus reden.

Es braucht jetzt dringend eine Revision des Stromversorgungsgesetzes. Mit ihr müssen die Aufsicht und Verantwortung für die Cybersicherheit in der Elektrizitätswirtschaft klar geregelt werden. Das ist dringender als der ebenfalls nötige Ausbau der einheimischen Stromproduktion. Es braucht, wie die Experten fordern, eine gesetzliche Regelung dafür, wer die Sicherheitsmassnahmen überprüft, wer Sanktionen gegen nachlässige Firmen und Manager verfügt, und wie die Cybervorfälle gemeldet werden müssen. Diese Stelle darf nach meiner Erfahrung weder dem lobbyabhängigen Bundesamt für Energie noch der Elcom angehängt werden. Sie gehört, wie die parlamentarische Finanzkontrolle, direkt dem Parlament unterstellt.