Ziel: Wirksame Erkennung, Verhinderung, Bewältigung und Abwehr von Cybervorfällen

Beschreibung

Da es keinen vollständigen Schutz gegen Cybervorfälle gibt, gehört der Aufbau und Betrieb einer Organisation zur Bewältigung von Vorfällen zu den Kernaufgaben in der Cybersicherheit. Zur Vorfallbewältigung gehört es, diese so früh wie möglich zu erkennen, die richtigen Gegenmassnahmen zu identifizieren und umzusetzen sowie die Vorfälle zu analysieren, um daraus Erkenntnisse für die Verbesserung der Prävention abzuleiten.

Für die Bewältigung dieser Aufgabe braucht es Fachkompetenzen, Analyseinstrumente, eine gut funktionierende Organisation mit klar definierten Entscheidungskompetenzen und eine intensive Zusammenarbeit zwischen allen relevanten Stellen. Entscheidend ist der Informationsaustausch zwischen vertrauenswürdigen Partnern über Vorfälle und mögliche Gegenmassnahmen, da Vorfälle oft verschiedene Stellen gleichzeitig betreffen und deshalb schneller und effektiver bewältigt werden können, wenn alle betroffenen Stellen relevante Informationen austauschen.

Ausgangslage und Handlungsbedarf

Für die Bewältigung von Cybervorfällen haben viele Organisationen – aber noch längst nicht alle kritischen Infrastrukturen – in der Schweiz spezialisierte Teams aufgebaut oder beauftragt. Diese Teams haben unterschiedliche Bezeichnungen (z. B. Security Operations Centers, Computer Emergency Response Teams, Computer Security Incident Response Teams) und jeweils auf ihren Aufgabenbereich ausgerichtete Kompetenzen. Auch viele Kantone und der Bund verfügen über solche Teams. Die Vorfallbewältigung erfolgt in erster Linie über diese Einheiten. Der Bund unterstützt subsidiär die Teams der Kantone, der Gemeinden und Städte sowie der Betreiberinnen kritischer Infrastrukturen und ihrer Sicherheitsdienstleister durch das NCSC bei der technischen Analyse der Vorfälle und unterstützt den Informationsaustausch zwischen ihnen.

Auch die breite Öffentlichkeit kann dem NCSC Cybervorfälle und Cyberbedrohungen melden und erhält bei Bedarf erste fachliche Einschätzungen und Empfehlungen zum weiteren Vorgehen. Diese Meldungen sind wichtig für die Einschätzung der Cyberbedrohungen. Diese Leistungen durch den Bund beruhen bisher nicht auf einer gesetzlichen Grundlage. Auch der rechtliche Rahmen des Informationsaustausches muss geregelt werden. Die Vorschläge für die nötigen rechtlichen Anpassungen wurden erarbeitet, sind aber noch nicht beschlossen.

Eine Herausforderung bei der Vorfallbewältigung besteht in der Skalierung. Treten mehrere Grossereignisse gleichzeitig ein, sind die bestehenden Ressourcen rasch ausgeschöpft. Es muss geprüft werden, wie die Kapazitäten über die Einbindung von Fachleuten im Bedarfsfall rasch erhöht werden können. 

Schwerpunkte

• Ausbau der Fähigkeiten der kritischen Infrastrukturen zur Erkennung und Bewältigung von Cybervorfällen durch den Aufbau und die Schaffung und die gemeinsame Nutzung von SOCs.
• Ausbau der Meldungen von Cybervorfällen:
  Es sollen möglichst viele Cybervorfälle gemeldet werden, damit ein gutes Bild der aktuellen Bedrohungslage entsteht.
• Informationsaustausch:
  Die bestehende Plattform des NCSC für den Informationsaustausch zwischen Betreiberinnen kritischer Infrastrukturen wird überarbeitet und ausgebaut, mit dem Ziel, diesen zu vereinfachen und stufenweise auch breiteren Kreisen zugänglich zu machen.
• Kapazitätserweiterung durch Zusammenarbeit:
  Weitere Intensivierung der operativen Zusammenarbeit und Verbesserung der Abstimmung zwischen dem GovCERT, SWITCH-CERT und weiteren Sicherheitsteams. Es wird darüber hinaus geprüft, wie und wann freiwillige Expertenpools die Vorfallbewältigung unterstützen können. Bestehende Organisationen werden dabei berücksichtigt.
• Stärkung der Zusammenarbeit mit den Fachämtern:
  Damit die zuständigen Fachämter die Bedrohungen in ihrem Sektor abschätzen können, werden sie durch das NCSC über Vorfälle in ihrem Sektor informiert. Davon ausgenommen sind Informationen, welche Rückschlüsse auf Betroffene geben, sofern letztere nicht mit einer Information der Fachämter einverstanden sind.

Zentrale Akteure

• Bund:
  NCSC, BAKOM, BAV, BAZL, BFE, BIT, MilCERT
• Kantone:
  Kantonale CERTs, CSIRTs, SOCs (oder ähnliche Organisationen), Meldestellen der Kantonspolizeien
• Wirtschaft / Gesellschaft:
  CERTs, CSIRTs, SOCs (oder ähnliche Organisationen) von Unternehmen und Organisationen, SWITCH

Beschreibung

Attribution bedeutet die möglichst genaue Identifikation der Urheberschaft von Angriffen. Sie spielt eine wichtige Rolle bei der Wahl der Mittel für das weitere Vorgehen. Die Schweizer Behörden müssen in der Lage sein, gegen unser Land gerichtete, sicherheitspolitisch relevante Cyberangriffe zu attribuieren. Dabei kann es sich um Cyberangriffe auf Schweizer Ziele oder auch den Missbrauch von Schweizer Infrastruktur für Angriffe im Ausland handeln. Die Attribution bildet die Grundlage zur Formulierung von politischen und rechtlichen Handlungsoptionen.

Ausgangslage und Handlungsbedarf

Um die Urheber eines Cyberangriffs zur Verantwortung ziehen zu können, müssen sie zuerst identifiziert werden. Dies ist eine grosse Herausforderung im Cyberraum, da die Urheber nicht physisch am Ort des Angriffs sind. Die Identifizierung gelingt nur, wenn Angriffe rechtzeitig erkannt werden und ihr technischer, operationeller und strategischer Kontext analysiert werden kann. 

Die Attribution von Cyberangriffen ist eine Aufgabe des Nachrichtendienstes des Bundes (NDB). Damit er sie erfüllen kann, braucht er Erkenntnisse aus eigenen Recherchen, ist aber auch auf die Zusammenarbeit mit anderen Stellen des Bundes und den Austausch mit Partnerdiensten angewiesen. Diese gilt es zu regeln.

Die Attribution von Cyberangriffen ist für die politischen Verantwortungsträger wichtig, um die Bedrohungslage einschätzen zu können. Dazu gehört die Einschätzung, ob eine Handlung völkerrechtlich attribuiert werden kann und welche Reaktionsmöglichkeiten völkerrechtlich erlaubt sind. Sie ist zudem die Voraussetzung für Entscheidungen über technische, politische oder strafrechtliche Massnahmen. 

Schwerpunkte

• Prüfung und Ergänzung der rechtlichen Grundlagen für die Analyse von Cyberangriffen auf die Schweiz.
• Zusammenarbeit zwischen NDB und weiteren Stellen.
• Ausbau der Fähigkeiten des NDB zur Analyse von sicherheitspolitisch relevanten Cyberangriffen.
• Definition der strategischen Prioritäten: Es muss festgelegt werden, welche Angriffe vertieft analysiert werden.

Zentrale Akteure

• Bund:
  NDB, EDA, fedpol, NCSC GS-VBS
• Kantone:
  Kantonale Polizeikorps, NEDIK

Beschreibung

Cybervorfälle können gravierende Konsequenzen haben und so weit eskalieren, dass ein Krisenmanagement auf nationaler Ebene nötig wird. Entscheidend für die Bewältigung von Krisen sind ein aktuelles, einheitliches und umfassendes Lagebild, die Definition von effizienten Prozessen zur Entscheidungsfindung und die Festlegung einer Kommunikationsstrategie. Die entsprechenden Fähigkeiten und Strukturen müssen regelmässig geübt, überprüft und angepasst werden.

Ausgangslage und Handlungsbedarf

Die bereichsübergreifende Zusammenarbeit ist im Krisenfall entscheidend. Das NCSC muss fähig sein, die Zusammenarbeit mit allen Partnern im Krisenfall rasch zu etablieren. Es verfügt zu diesem Zweck über Kontakte zu den relevanten Organisationen innerhalb und ausserhalb der Bundesverwaltung.

Zusätzlich wurde das NCSC in die Krisenstäbe des Bundes integriert. Es muss auch bei allfälligen Weiterentwicklungen oder Umgestaltungen des Krisenmanagements im Bund sichergestellt werden, dass die Cybersicherheit direkt in die Strukturen des Krisenmanagements einbezogen wird.

Die Zusammenarbeit zwischen den zentralen Akteuren aus Bund, Kantonen und Wirtschaft unter Zeitdruck zur Bewältigung einer Krise ist anspruchsvoll. Damit sie funktioniert, braucht es regelmässige Übungen. Die Schweiz beteiligt sich heute an internationalen Übungen, und es wurden national einzelne sektorspezifische Übungen durchgeführt. Es fehlt jedoch ein übergreifendes Konzept zur Planung und Implementierung von Krisenübungen im Bereich der Cybersicherheit. Diese Planung muss erstellt und in die Gesamtplanung von Krisenübungen eingebracht werden. 

Schwerpunkte

• Konzeptionierung und Umsetzung von sektorspezifischen (z. B. Energieversorgung, Wasserversorgung, Gesundheitsversorgung) und sektorübergreifenden Cyber­übungen. Die Planung und Konzeptionierung muss dabei in Koordination mit der Gesamtplanung von Krisenübungen erfolgen.
• Integration von Aspekten der Cybersicherheit in alle geplanten Krisenübungen.
• Klärung der Grundlagen in Abstimmung mit den übergeordneten Arbeiten zur Organisation des Krisenmanagements: Welche Kriterien definieren eine Krise mit Bezug zur Cybersicherheit? Welche Strukturen sind für die politische Beurteilung und für die Einleitung von Massnahmen des Krisenmanagements zuständig?
• Sicherstellung der Vertretung der Cybersicherheit im Dispositiv der Krisenbewältigung (auf Stufe Bund und auf Stufe Kantone).
• Klärung der (subsidiären) Unterstützung zur Krisenbewältigung im Verbund, inklusive der dabei zu verwendenden Kommunikationsmittel.

Zentrale Akteure

• Bund:
  BK, BABS, NCSC, Armee, BAKOM, BAV, BAZL, BFE, BWL, EDA, GS VBS, SVS
• Kantone:
  Kantonale Führungsorganisationen, kantonale Kompetenzzentren für die Cybersicherheit
• Wirtschaft / Gesellschaft:
  Betreiberinnen kritischer Infrastrukturen, Hersteller/Anbieter kritischer Software, Sektororganisationen (wie z.B. Swiss FS-CSC, SWITCH-CERT)

Beschreibung

Die Handlungsfreiheit und Integrität des Staats, der Wirtschaft und der Bevölkerung muss im Cyberraum geschützt und im Konfliktfall verteidigt werden. Zur Cyberdefence gehört die Gesamtheit der nachrichtendienstlichen und militärischen Massnahmen zu folgenden Zwecken: dem Schutz der für die Landesverteidigung kritischen Systeme, der Abwehr von Cyberangriffen, der Gewährleistung der Einsatzbereitschaft der Schweizer Armee in allen Lagen und dem Aufbau von Kapazitäten und Fähigkeiten zur subsidiären Unterstützung ziviler Behörden. Dazu zählen, unter anderem, aktive Massnahmen zur Erkennung von Bedrohungen, zur Identifikation von Angreifern und zur Störung und Unterbindung von Angriffen.

Ausgangslage und Handlungsbedarf

Der Nachrichtendienst des Bundes (NDB) und die Schweizer Armee haben ihre Fähigkeiten für ihre Aufgaben im Bereich der Cyberdefence ausgebaut. Die «Gesamtkonzeption Cyber» beschreibt, welche Fähigkeiten die Schweizer Armee bis Mitte der 2030er‑Jahre entwickeln muss, um Bedrohungen im und aus dem Cyber- und elektromagnetischen Raum begegnen zu können. Mit dem Nachrichtendienstgesetz (NDG) und dem revidierten Militärgesetz (MG) verfügt der Bund über die notwendigen Rechtsgrundlagen für aktive Gegenmassnahmen im Rahmen der Cyberdefence.

Die Entwicklung von Cyberangriffen über die letzten Jahre und ihre wachsende Komplexität bindet jedoch zunehmend Ressourcen über längere Zeiträume. Handlungsbedarf besteht deshalb weiterhin im Ausbau der Fähigkeiten und bei der Koordination mit den zuständigen Stellen zur Einhaltung des Völkerrechts.

Schwerpunkte

• Ausbau der zentralen Fähigkeiten auf Stufe Armee. Dazu gehören CER-Eigenschutz, Antizipation und Autonomie sowie die Grundbefähigung in Datascience.
• Aufbau von dezentralen Fähigkeiten. Dies beinhaltet zum Beispiel die robuste und sichere Datenverarbeitung innerhalb von Bataillonen und Kompanien. Ein weiteres Schwergewicht bildet der Resilienzausbau der einsatzrelevanten Kerninfrastruktur im CER-Eigenschutz. Zudem wird die Organisation der Verbände angepasst.
• Reifung der politischen Fallbearbeitung für sicherheitspolitisch relevante Cyberkampagnen.
• Verstärkte Integration der Fähigkeiten der Schweiz, um eine direkte Schutzwirkung für Schweizer Stakeholder zu erzielen. 
• Erweiterung der Grundfähigkeiten für Aktionen im Cyberraum des NDB und der Armee.

Zentrale Akteure

• Bund:
  Armee, CYD Campus, GS VBS, NDB
• Kantone:
  Kantonale Führungsorganisationen