Vor zwei Jahren hat das Bundesamt für Bevölkerungsschutz (BABS) eine Kampagne mit Workshops zu einzelnen für die Schweiz relevanten Gefährdungen durchgeführt. Erstmals wurde damals ein Cyber-Szenario aus Sicht des Bevölkerungsschutzes besprochen. Ich habe an diesem Workshop teilgenommen und vor zwei Jahren hier darüber berichtet. Das besprochene DDoS-Szenario wurde damals im Laufe des Workshops umformuliert und dadurch bezüglich der Auswirkungen immer harmloser. Zum Schluss blieb nur mehr ein erheblicher, aber auf nationaler Stufe kein grosser Schadensfall mehr übrig. Die Teilnehmer waren sich aber einig, dass dies nicht für Cyber-Gefahren generell oder für sämtliche DDoS Angriffe zu gelten braucht. Cyber-Angriffen wurden durchaus ein grosses Gefahrenpotential zugestanden, wir hatten damals einfach ein zu schwaches Szenario als Ausgangslage angenommen und evaluiert.
Um nicht den Eindruck zu erwecken, dass die Thematik Cyber-Angriff verharmlost würde, wurde dieses Szenario darum nicht in den Risikobericht 2012 aufgenommen.
Für die neue Kampagne 2014 wurde der zu besprechende Cyber-Angriff mit einer grossen Intensität dargestellt. Zudem kam ein zweites Szenario hinzu: Wir sollten einen Ausfall eines grossen Cloud-Rechenzentrums mit partiellem Datenverlust evaluieren. Als Vize-Präsident des Public Private Partnership “Swiss Cyber Experts” wurde ich durch das BABS erneut zu den Workshops eingeladen.
Auf derselben Ausgangslage wie beim Cyber-Angriffsszenario von 2012, ging es um kriminelle Angriffe auf staatliche Institutionen sowie Server der Finanzindustrie zum Zweck der politischen Erpressung. Als Verschärfung des Szenarios kamen zwei weitere Angriffsvektoren hinzu:
- DDoS auf Zahlungsserver für Kartenterminals. Im Detailhandel kommt es deshalb zu teilweisen Ausfällen beim bargeldlosen Einkauf.
- DDoS auf nationalen Interbankenhandel sowie die Schweizerische Börse, welche für zwei Tage schliessen muss.
Wie üblich bei der Verwendung von Szenarien gibt es grossen Interpretationsspielraum bezüglich der Realitätsnähe. Dabei wurde insbesondere diskutiert, dass die verschiedenen Angriffsvektoren gleichzeitig auftreten (können). Dem BABS geht es aber eher darum, die Auswirkungen des Schadensereignis-Grundtypus “Nationale DDoS” im Hinblick auf die Bevölkerung und ihre Lebensgrundlagen hin abzuschätzen, und weniger darum, ob sich das Szenario genau so abspielen würde. Tatsächlich halten es die Teilnehmer des Workshops und die vorgängig angefragte Schweizerische Bankiervereinigung im Prinzip für denkbar, dass sowohl die Zahlungsterminals wie auch die Börse für zwei Tage blockiert werden könnten.
Beim zweiten Szenario, dem Ausfall eines Cloud-Rechenzentrums, führte eine Fehlmanipulation zu einer Serie von Fehlern, die in schweren Störungen in einer grossen Schweizer Datencloud resultierte. Der betroffene hypothetische Cloud-Provider beherbergt zwei der grössten Schweizer Online-Shops, Daten von 20’000 Schweizer Unternehmen sowie Daten der öffentlichen Verwaltung. Im Rahmen des Ausfalls kommt es zu einem Totalverlust der Daten von 500 KMUs, der Steuerverwaltung und der Einwohnerkontrolle einer mittelgrossen Schweizer Stadt sowie dem völligen Verlust sämtlicher Patientendaten eines mittelgrossen Schweizer Krankenhauses aufgrund des Fehlens von funktionierenden Backups.
Bei der Besprechung dieses Ausfall-Szenarios kamen die beteiligten Experten zum Schluss, dass wir es hier mit einem Cyberszenario mit potenziellen Todesfolgen zu tun haben. Neben den zu befürchtenden Selbstmorden bei den beteiligten Unternehmen (Totalverlust der Daten) erwarteten wir einzelne lethale Fehlbehandlungen im mittelgrossen Krankenhaus, die aus dem Verlust der Daten resultierten. Da es bereits entsprechende Präzedenzfälle gibt, ist eine Annahme im Szenario durchaus plausibel.
Wie erwartet worden war, kam es bei der Beurteilung der ökonomischen Auswirkungen (Bewältigung des Schadensereignisses sowie Beeinträchtigung der wirtschaftlichen Leistungsfähigkeit des Landes) zu kontroversen Diskussionen. Wie viel Arbeit kommt auf eine Stadt zu, wenn sie die Einwohnerdaten komplett verliert? Was bedeutet es für einen wirtschaftlichen Schaden wenn einem grossen Hochregallager der Index verloren geht? Aber auch hier wurde ein Kompromiss gefunden, der natürlich nur aus einer sehr groben Annäherung bestehen konnte.
Insgesamt konnten die beiden Szenarien für alle Beteiligten zufriedenstellend bewertet werden. Mit diesem positiven Ergebnis lassen sich diese beiden grossen Cyber-Incidents (DDoS Angriff auf Schweizer Institutionen sowie grosser IKT-Ausfall mit Datenverlust) auf der nationalen Risikomatrix des Bundesamtes für Bevölkerungsschutz neben den anderen Gefahren wie Erdbeben, Pandemie, Atomunfall, Überschwemmungen etc. darstellen. Wo sie genau zu liegen kommen, das soll hier noch nicht verraten werden.
Immerhin soviel, dass mit der Schliessung der Schweizer Börse massive wirtschaftliche Belastungen für unsere Volkswirtschaft einhergehen würden.
Der neue Risikobericht wird Ende 2014 abgeschlossen und danach durch das Bundesamt für Bevölkerungsschutz im Frühjahr 2015 publiziert werden.
Christian Folini, netnea.com / Swiss Cyber Experts