Die Stiftung Infosurance hat sich eine Herkulesarbeit vorgenommen. Sie will, fein nach Wirtschaftssektoren untergliedert, eine «gesamtheitliche, regelmässig aufzudatierende Analyse der Informationsrisiken in der Schweiz» erstellen und Massnahmen zur Behebung dieser Risiken erarbeiten. Ergebnisse konnten an den Luzerner Tagen für Informationssicherheit, Lutis 2003, präsentiert werden.
Ganz einfach ist das ehrgeizige Projekt nicht. So sitzen sich beispielsweise im Roundtable, der den Sektor Telekom bearbeitet, harte Konkurrenten wie etwa
Sunrise,
Swisscom,
Cablecom und
Orange gegenüber. Mittlerweile hat man sich dort aber zusammengerauft und in einem typisch helvetischen Kompromiss auf eine Vertraulichkeitserklärung geeinigt.
Notfallroaming Fehlanzeige
Nachdem im Telco-Roundtable gegenseitige Abhängigkeiten und Schwachstellen der Telekommunikation identifiziert wurden, kümmert man sich nun um mögliche Gefahren wie technische Monokultur, Hackerattacken, fehlende Redundanzen oder fehlende EMP-Sicherheit. Roundtable-Teilnehmer Markus Meyer,
Swisscom (Bild) erläutert: «Es ist absolut notwendig, ein Notfall-Roaming vorzubereiten. Auch fehlt es noch an mobilen Basisstationen, um den Betrieb im Krisenfall aufrecht erhalten zu können. Und wir brauchen unabhängige Funknetze.»
Schädlingsanfällige Monokulturen
Ein Problem sind nach wie vor die Monokulturen, die beispielsweise Hackern das Leben zu einfach machen. Meyer: «Da überlegen wir dann schon: ‘Was passiert wenn
Cisco Konkurs gehen würde oder ein Backdoor eingebaut hätte’»
Noch herrsche an vielen Stellen ein Aufklärungsnotstand.
Als weiteres Vorgehen ist geplant, Sofortmassnahmen im Bereich Krisenmanagement zu etablieren, die Risikoanalyse mit Szenarios und Massnahmenvorschlägen abzuschliessen und Massnahmen auszuarbeiten.
In Deutschland nichts zwingendes
Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik wagte sich an ein ähnliches Projekt, das sich mit dem Schutz kritischer Infrastrukturen in Deutschland befasst. Marit Blattner-Zimmermann stellte am Lutis erste Ergebnisse vor. Allein die Vorstudie umfasste am Ende wohl dank deutscher Gründlichkeit schlanke 388 Seiten.
Blattner-Zimmermann fasst zusammen: «Vorerst gibt es in Deutschland keine IT-Verwundbarkeiten, die zu einem sofortigen Handeln zwingen - auch wenn das die Hersteller natürlich nicht so gern hören.» Aber das sei noch kein Grund zur Sorglosigkeit: «Die Abhängigkeit von IT wird in allen identifizierten kritischen Prozessen weiter steigen.
Durch Konvergenz und Verwischungseffekten zwischen internen und externen Systemen wird die Verwundbarkeit zunehmen.» Eine Strategie will das deutsche Amt im nächsten Jahr angehen. (ava)
Roundtable
Die Roundtables der Stiftung Infosurance finden in folgenden Sektoren statt:
Telekommunikation, Finanz, Energie und Wasser, Verwaltung, Notfalldienste/BORS, Transport und Logistik, Industrie, Medien, Gesundheitswesen, KMU/Gewerbe.
Die Roundtables nehmen gerne noch weitere Teilnehmer auf. Bei Interesse wenden Sie sich an: Ivo Pfister, Projektleiter, ipfister@infosurance.ch
