Kritische Infrastrukturen stellen die Versorgung eines Landes mit wichtigen Gütern und Dienstleistungen sicher. Egal ob Stromversorgung, Trinkwasser oder Datenbanken - sie alle sind abhängig von Informatik und Telekommunikation. Technische Fehler, Datenmanipulation und Cyberangriffe stellen Cyberrisiken für diese Infrastrukturen dar.
Der Bundesrat verabschiedete 2017 die Nationale Strategie zum Schutz kritischer Infrastrukturen 2018-2022. "Man hat aber festgestellt, dass diese Strategie etwas zahnlos ist", sagte Michel Huissoud, Direktor der EFK, am Donnerstag vor den Medien in Bern. Deshalb habe sich die EFK entschieden, zu überprüfen, ob die Anforderungen auch eingehalten würden.
Die EFK habe nun gleich mehrere "bedenkliche Cyberrisiken in kritischen Infrastrukturen" identifiziert, wie es im Bericht heisst. So zum Beispiel bei der Gebäudesteuerung in der Bundesverwaltung: Es wurden Lücken in den Bereichen Gebäudeautomation, Infrastruktur, Vernetzung der Anwendungssysteme sowie bei den Sicherheits- und Sicherungssystemen festgestellt.
Das Bundesamt für Bauten und Logistik (BBL) habe die Feststellungen der EFK anerkannt. So seien bei der Informatiksicherheit der Gebäudesteuerung gezielte Massnahmen ergriffen worden. Die vollständige Umsetzung aller geplanten Massnahmen werde "mehrere Jahre" dauern.
Cyberrisiken der Banken
Im Zusammenhang mit der Aufsicht der Finanzdienstleister stellte die Finanzkontrolle fest, dass sich die Banken nicht immer an die Pflicht halten, Cybervorfälle der Eidgenössischen Finanzmarktaufsicht (Finma) zu melden. Insgesamt stellte die EFK der Finma in ihrem Bericht kein gutes Zeugnis aus: "Die Informationsquelle der Finma hinsichtlich der Cyberrisiken der Banken ist lückenhaft", heisst es. Die EFK empfehle, die Inspektionen vor Ort zu intensivieren, um die Situation zu verbessern.
Ende März präsentierte die Finma schliesslich ein Aufsichtskonzept entlang von drei Bereichen: der Analyse der Bedrohungslage, der laufenden Aufsicht und der Vorfallbewältigung beziehungsweise dem Krisenmanagement.
Ganz allgemein hält die EFK in ihrem Jahresbericht fest, dass die Schweiz bei der Prävention in Sachen Cyberrisiken nur langsam vorankomme. Dies sei vor allem auf die "mangelnde Klarheit in Bezug auf die Verantwortlichkeiten und Kompetenzen" zurückzuführen.
So befinde sich beispielsweise eine einsatzfähige Krisenorganisation immer noch im Aufbau, und seit 2018 sei nur eine einzige sektorenübergreifende Übung zur Simulation von Cyberangriffen durchgeführt worden.
Mehr Meldungen von Whistleblowern
Weitere Aufgabe der Finanzkontrolle im vergangenen Jahr waren die Prüfungen im Zusammenhang mit der Corona-Pandemie. Ende März richtete die EFK ihre Arbeit neu aus und unterstützte die Bundesverwaltung bei der Bewältigung der Krise. Bei der Kurzarbeitsentschädigung hält die EFK fest, "dass das Missbrauchsrisiko bei diesem summarischen Verfahren hoch ist". Sie bemängelte die Verlängerung dieser Massnahme bis 30. Juni 2021.
Missbräuche bezüglich der Kurzarbeitsentschädigung wurden auch rege über die Whistleblowing-Plattform der EFK gemeldet. Bis Ende des vergangenen Jahres gingen 290 Hinweise ein. Insgesamt wurde die Plattform 2020 rege genutzt: 484 Meldungen gingen ein, im Jahr zuvor waren es 187. Dieser drastische Anstieg ist auf 313 Meldungen im Zusammenhang mit der Covid-19-Krise zurückzuführen.
Dem Bundesrat stellte Huissoud im Zusammenhang mit der Corona-Krise insgesamt ein gutes Zeugnis aus: "Wir haben eine sehr schwache Struktur, um eine Krise zu managen - und wir haben den Föderalismus. Der Bundesrat hat getan, was er konnte, um diese Krise zu meistern."
mk/
(AWP)
