Die meisten Schweizerinnen werden BWL als Betriebswirtschaftslehre kennen, statt als das Bundesamt für wirtschaftliche Landesversorgung, einem Teil des Departments für Wirtschaft, Bildung und Forschung. Nichtsdestotrotz hat das BWL einen wichtigen Auftrag, gemäss der Verfassung: Die Versorgung der Schweiz mit essenziellen Gütern sicherstellen und Engpässe vermeiden oder eingreifen, wenn sie entstanden sind. Da IKT-Systeme in der gesamten Wirtschaft eine kritische Rolle übernehmen, hat das BWL entschieden, dass es auch die Cybersicherheit als vorsorgende Massnahme betrachten muss.

Da die Aufgabe des BWL nicht grundsätzlich die Cybersicherheit ist, sondern die Landesversorgung mit allem von Nahrung und Wasser über Medizin zu Strom sicherzustellen, hat dieser Standard einen etwas anderen Ansatz und Fokus als andere Cybersicherheitsstandards. Es geht auch nicht darum mit diesen zu konkurrenzieren, sondern darum, Informationen und Anleitung bereitzustellen, um auf Einsteigerniveau verständlich zu sein und trotzdem einen hohen Grad an Schutz zu erreichen. Dieser Spagat ist notwendig, da sich ja alle anderen in Krisensituationen trotzdem auf das Zielpublikum des Standards verlassen können müssen.

BWL Minimalstandard

Das BWL unterteilt die kritische Infrastruktur in neun Sektoren: Behörden, Energie, Entsorgung, Finanzen, Gesundheit, IKT, Nahrung, Öffentliche Sicherheit und Verkehr. IKT unterscheidet sich von den Informations- und Kommunikationstechnologien in diesem Standard dadurch, dass es sich um Internetprovider, Mobilfunkanbieter, die Post und ähnliche Firmen handelt, nicht um die Computer, welche überall eingesetzt werden. Dadurch, dass aber mittlerweile alle Felder von Computern und vernetzten Geräten abhängig sind, stellen digitale Bedrohungen eine Bedrohung für alle Sektoren dar.

Da jeder Sektor sich mit unterschiedlichen Bedrohungen und Risiken auseinandersetzen muss, plant das BWL Richtlinien zur Implementierung für jeden Sektor herauszugeben um die Anwendung anzuspornen. Diese zusätzlichen Richtlinien werden in enger Zusammenarbeit mit Branchenorganisationen und Experten erstellt. Zurzeit existieren drei: Wasserversorgung, Nahrungsmittel und Detailhandel sowie Energie. Die Umsetzung dieser Standards ist freiwillig im Sinne einer Selbstregulierung der Branche, welche das BWL unterstützt. In allen Fällen sind die Standards auf Führungskräfte und IKT-Beauftragte ausgerichtet und bilden eine Übersicht der notwendigen Schritte ab.

Implementation und Assessment

Bevor sich der Standard mit diesen notwendigen Schritten zur Erhöhung der Resilienz befasst, erklärt er zunächst, dass Risikoeinschätzungen und Risikomanagement ebenfalls eine Voraussetzung sind. Nur wenn man weiss, vor was man sich schützen muss und wie das Bedrohungsmodell aussieht, kann man die richtigen Schritte tun. Dabei wird auch klargestellt, dass es keine absolute Sicherheit gibt und Resilienz auch daran gemessen wird, wie gut und schnell man nach einem erfolgreichen Angriff wieder zurück in Betrieb ist. Als letzter Punkt, bevor das Modell des Standards erklärt wird, ist noch eine Erinnerung daran enthalten, dass wirkungsvolle Sicherheitsmassnahmen die folgenden Fragen beantworten:

• Was ist zu tun?
• Wie soll es getan werden?
• Wer ist dafür verantwortlich, dass es getan wird?
• Wie wird das Ergebnis festgestellt und gemessen?

Die eigentlichen Massnahmen des Standards sind in fünf Funktionen organisiert:

1. Identifizieren
2. Schützen
3. Erkennen
4. Reagieren
5. Wiederherstellen

Unter Identifizieren sind Massnahmen um eine vollständige Liste aller relevanten Systeme, inklusive externer Systeme und Systemen von Zulieferern, zu erhalten und diese Liste up-to-date zu halten. Ähnlich wie bei der Risikoanalyse ist dies eine zwingende Voraussetzung für effektive Verteidigungsmassnahmen. Es ist nicht ungewöhnlich, in einem Netzwerkassessment oder bei einer Systemüberprüfung ein vergessenes System oder Backup zu finden, welche dann weitere Angriffe ermöglichen. Solche Situationen sind ein Versagen der Identifizieren-Schritte, denn diese Risiken wurden nicht behandelt, da sie nicht korrekt verfolgt und identifiziert wurden.

Schützen beinhaltet die Massnahmen, an welche man bei “Cybersicherheit” typischerweise denkt, wenn auch auf einem hohen, Prozess-orientierten Niveau. Beachtenswerterweise beinhalten die Massnahmen dieser Funktion auch Awareness und Trainings und beziehen sich auch auf Lieferanten und andere Drittparteien. Für viele Firmen dürfte es nicht möglich sein, ihre Lieferanten zu auditieren oder ihnen Trainings vorzuschreiben, aber für die Betreiber kritischer Infrastruktur sind dies wichtige Massnahmen, zumal sogenannte Supply-Chain-Attacken immer weiter verbreitet sind.

In Erkennen geht es darum, einen Angriff zu erkennen. Anomalien entdecken, Systeme kontinuierlich überwachen, alles mit dem Ziel einen erfolgreichen Angriff schnell zu bemerken.

Reagieren und Wiederherstellen übernehmen Elemente aus dem Business Continuity Planning. Diese Funktionen unterstreichen die Wichtigkeit guter Krisenplanung und organisierter Kommunikation in aussergewöhnlichen Situationen. Dabei geht es nicht nur um interne Kommunikation für eine effiziente und effektive Reaktion, sondern auch um Kommunikation gegen aussen, der Öffentlichkeit gegenüber. Diese Art von Krisen-PR ist für alle Firmen wichtig, aber wird in solch kritischen Sektoren zusätzlich gewichtet, da eine schlechte öffentliche Meinung zu weiteren Effekten führen kann wenn die Bevölkerung verängstigt ist. Ein weiterer, nicht zu unterschätzender Teil der Wiederherstellen Funktion ist auch, sicherzustellen, dass aus Ereignissen gelernt wird und Verbesserung stattfindet.

Zusätzlich zu den Massnahmen, welche in den fünf Funktionen definiert werden, bringt der Minimalstandard auch ein Bewertungssystem mit, mit welchem eine Firma ihre Maturität einstufen kann. Die Massnahmen werden dabei von 0-4 bewertet:

Während eine 4 natürlich ideal ist, müssen die Ziele pro Firma gemäss dem Risikomanagement festgelegt werden. Ein Assessment mit diesem Tool identifiziert normalerweise keine spezifischen Schwachstellen in der ICT-Infrastruktur einer Firma, sondern Schwächen in ihren Security-Prozessen und noch nicht erreichte Maturitätsziele. Ein komplettes Review ist eine grössere Unternehmung, da dazu Prozesse und spezifische technische Massnahmen in verschiedenen Bereichen der Firma betrachtet werden müssten. Da die Umsetzung aller Massnahmen aber bereits einige Zeit in Anspruch nehmen würde, könnte ein solches Review wohl ebenfalls in mehreren Etappen umgesetzt werden.

Für wen ist es nützlich?

Der BWL Minimalstandard zur Verbesserung der IKT-Resilienz bietet somit eine Vogelperspektive auf alle notwendigen Massnahmen, welche eine Firma ergreifen könnte, um ihre Cybersicherheitsrisiken abzudecken. Er ist sehr gut dafür geeignet, Ziele zu setzen und zu verstehen, wieso all diese Massnahmen wichtig sind, ohne dabei den Leser mit technischen Details zu überwältigen. Gleichzeitig macht dies den Standard zu vage, um eine spezifische Implementation davon abzuleiten und die Ziele, welche der Standard formuliert, sind so hoch gesetzt, dass sie für manche KMU wohl nicht umsetzbar sind. Das passt allerdings zum Zielpublikum, welche ja nicht beliebige KMU sind, und schränkt den Nutzen für Sicherheitsexperten nur leicht ein.

Das BWL und seine Mitstreiter aus der Privatwirtschaft haben ein wohl-recherchiertes Dokument geschaffen, welches Firmen sicherlich zu grösserer Resilienz verhelfen kann.

Über den Autor

Mark Zeman hat seinen Master of Science in Engineering mit Vertiefung Information and Communication Technologies an der Fachhochschule Nordwestschweiz absolviert. Seit 2017 hat er seine Passion im Bereich Information Security zu seinem Fokus gemacht. Unter anderem hat er schon während seinem Bachelorstudium bei einer Email-Sicherheitsfirma gearbeitet. (ORCID 0000-0003-0085-2097)