Abhängigkeiten und Souveränität

Cybersecurity Map 08:26

Stand der Dinge

Unsere Gesellschaft und Wirtschaft sind in kritischer Weise von einer Vielzahl digitaler Infrastrukturen abhängig geworden. Wir sind auf die ständige Verfügbarkeit von Konnektivität und das korrekte Funktionieren unzähliger Technologien und Dienste angewiesen, die wir nicht mehr direkt kontrollieren.
Dazu gehören insbesondere Hard- und Softwarelösungen, welche für die zunehmende Digitalisierung von Geschäftsprozessen unerlässlich sind und die eine zentrale und kritische Komponente darstellen. Der Anbietermarkt erscheint auf den ersten Blick äusserst divers und hinsichtlich der Lösungsvielfalt breit gefächert. Betrachtet man jedoch die Herkunftsländer der Anbieter, so ist diese scheinbare Vielfalt deutlich weniger ausgeprägt.

Ohne Hard- und Softwarelösungen von grossen internationalen Unternehmen kann die Digitalisierung von Prozessen, wie wir sie heute kennen, nicht stattfinden. Die geographische Konzentration der Produktionsstandorte in einigen wenigen, teilweise undemokratischen Ländern führt jedoch auch dazu, dass ausländische Firmen bzw. Staaten theoretisch vereinfachten Zugang zu den Systemen der Informations- und Kommunikationstechnologie (IKT bzw. ICT) der heimischen Hersteller und Dienstleister haben. Die ausländischen Firmen bzw. Staaten können so grundsätzlich auf gespeicherte, verarbeitete oder gelieferte Informationen zugreifen.

In mehreren Ländern, darunter auch in der Schweiz, findet eine allgemeine Diskussion darüber statt, wie man die diversen Abhängigkeiten reduzieren und eine Art unabhängige einheimische Industrie und mögliche Alternativen schaffen kann. «Cyber-Souveränität» ist hier das Schlagwort. Es ist jedoch zu berücksichtigen, dass u.a. die Beschaffung von beispielsweise Seltenen Erden und spezifischen Materialien zur Produktion von Computerchips eine grosse Herausforderung sein wird, da diese Materialien in der Schweiz nicht natürlich vorkommen.

Ein anschauliches Beispiel von Abhängigkeit mit weltweiten Auswirkungen war der Ausfall der IT-Systeme aufgrund eines fehlerhaften Updates der US-amerikanischen Cybersecurity Firma Crowdstrike im Juli 2024. Windows-Geräte, auf denen Crowdstrike zur Abwehr von Hackerangriffen eingesetzt wurde, waren vom Vorfall betroffen, da das fehlerhafte Update einen Systemausfall bewirkte. Die Auswirkungen waren gigantisch, und tangierten insbesondere Unternehmen, Banken, Notrufzentralen und Fluggesellschaften.

Herausforderungen

Die zunehmende Abhängigkeit innerhalb und zwischen den Infrastrukturen führt mit fortschreitender Digitalisierung zu kritischen Bedrohungen, die im Sinne des Risikomanagements lediglich «gemanagt» und nur begrenzt beeinflusst werden können. Zudem ist es mehr als fraglich, ob der Industriestandort Schweiz in naher Zukunft Alternativen zu den vorherrschenden Hard- und Softwarelösungen ausländischer Anbieter entwickeln kann. Selbst eine koordinierte Industriepolitik in diesem für die Schweiz ungewohnten Bereich würde sich, wenn überhaupt, nur langfristig auswirken. Die Digitalisierung von Geschäftsprozessen und die Entwicklung von neuen Technologien wie beispielsweise 5G und dergleichen finden aber bereits heute statt. Die dafür benötigten IKT-Komponenten und Lösungen werden in der Schweiz praktisch gar nicht oder nur in kleinen Mengen, oft mit grossem Aufwand, produziert.

Die engen Verbindungen, die Komplexität und die zunehmenden Abhängigkeiten von wenigen und dominanten Akteuren, Diensten, Technologien und Infrastrukturen führen zu einer enormen Multiplikation kritischer Risiken in der digitalen Gesellschaft. Die Dinge werden in superlinearem Tempo immer komplexer, häufiger miteinander verbunden und voneinander abhängig.

  • Konnektivität und Netzwerk: Dienste und Geräte benötigen eine kontinuierliche Kommunikation und ein ständig verfügbares Netzwerk. Die meisten Infrastrukturen entziehen sich unserer direkten Kontrolle, Ausfälle lähmen kritische Funktionen.
  • Hard- und Software: Einige wenige dominante Hard- und Softwareprodukte sowie Cloud-Dienste von einer noch geringeren Anzahl von Herstellern und Anbietern sind für ein sektorübergreifendes Funktionieren absolut notwendig. Schwachstellen, Fehlfunktionen und der Lock-in-Effekt (Bezeichnet eine Situation, in der ein Kunde an ein Produkt, eine Dienstleistung oder einen Anbieter gebunden ist und ein Wechsel zu einer Alternative schwierig, teuer oder unpraktisch ist.) führen zu Problemen hinsichtlich Verfügbarkeit, kontinuierlicher Aufrechterhaltung der Geschäftstätigkeit, Datensicherheit und Systemstabilität.
  • Protokolle: Die Abhängigkeit von einer kleinen Anzahl von Internet-Protokollen und ihrer Bereitstellungsinfrastruktur erhöht das Risiko von Kaskadeneffekten über verschiedene Sektoren hinweg (How the Dyn DDoS attack unfolded - www.networkworld.com/article/3134057/how-the-dyn-ddos-attack-unfolded.html).
  • Cloud, Cloud-Provider und Servicemodelle: Die zunehmende Anzahl von Online- oder Cloud-basierten Diensten, verbunden mit dem ständigen Druck, zu Abonnement-Modellen überzugehen, erhöht die Abhängigkeit von der Verfügbarkeit von Netz- und Serviceanbietern. Ein bedeutender Teil des globalen Internet-Geschäfts hängt von weniger als zehn Cloud-Providern aus nur zwei Ländern – China und USA – ab. Kleine Ausfälle verursachen immer mehr Schaden und eine riesige und wachsende Häufung von systemischen Risiken (Adobe is cutting off users in Venezuela due to US sanctions - www.theverge.com/2019/10/7/20904030/adobe-venezuela-photoshop-behance-us-sanctions).
  • Kryptographie: Einige dominante kryptographische Methoden und ihre Implementierungen bilden die Basis für fast alle Sicherheitsgarantien in der digitalen Welt. Es ergibt sich eine enorme systemische Exposition gegenüber noch unbekannten Schwachstellen in der Mathematik, der Implementierung oder dem plötzlichen Fortschritt im Quantencomputing. Auch bei der Entwicklung von quantensicherer Kryptographie droht der Schweiz erneut eine Abhängigkeit von ausländischen Anbietern.
  • Vermächtnis: Produkte und Dienstleistungen können nicht mehr isoliert betrieben werden, ohne dass während ihrer gesamten Lebensdauer eine kontinuierliche Konnektivität oder die Unterstützung durch den Hersteller gewährleistet ist. Es besteht ein kritisches Risiko durch vorzeitiges Verschwinden des Herstellers oder Lieferanten (Konkurs, erzwungene Stilllegung, Sanktion).
  • Politik: Es gibt eine hohe Konzentration dominanter Hersteller und Infrastrukturen in nur wenigen Ländern. Die Kontrolle über die digitale Infrastruktur ersetzt die politische Macht, da Nationen, um Systeme der realen Welt zu stören, leicht digitale Grenzen überschreiten können bzw. weil im digitalen Raum keine Landesgrenzen existieren. Die Ausbreitung des Internets in die physische Welt führt zu einer radikalen Eskalation der Bedenken der Regierung in Bezug auf Privatsphäre, Diskriminierung, menschliche Sicherheit, Demokratie und nationale Sicherheit.

Handlungsbedarf für Politik, Wirtschaft und Gesellschaft: Diese Lücken bestehen aktuell

Alles ist miteinander verbunden und wird immer komplexer. Als kleine, offene Volkswirtschaft ist die Schweiz einerseits von ausländischen IKT-Herstellern abhängig. Andererseits bietet diese Situation der Schweiz auch eine Chance: Da führende IKT-Nationen unterschiedliche Interessen verfolgen, kann die Schweiz ihre Rolle geschickt nutzen, um zwischen diesen Interessen zu balancieren und dadurch Vorteile zu erzielen. Sie profitiert davon, ihre Beziehungen zu verschiedenen Ländern mit starken IKT-Industrien so zu gestalten, dass sie deren Technologien und Marktstrategien für sich optimal einsetzt.

Wir können nicht länger isoliert handeln. Wirksame und nachhaltige Massnahmen zum Schutz und zur Bereitstellung von Produkten und Infrastruktur gehen über die Sicherung einzelner Systeme hinaus.
Die Schweizer Wirtschaft wird bei der Digitalisierung weiterhin stark von ausländischen IKT-Herstellern abhängig sein. Daher sollte ein einheitliches Risikomanagement eingerichtet werden, das mögliche staatliche Eingriffe und deren Umsetzung beachtet. Dies muss den Umgang mit Herstellern, Zulieferern und Anbietern von Hard- und Softwarelösungen durchgängig mit einbeziehen.

Wir müssen digitale Infrastrukturen, die «too critical to fail»  sind, identifizieren. Weiter müssen wir Strategien entwickeln, um Abhängigkeiten zu minimieren und diese Infrastrukturen zu schützen, Redundanzen aufbauen und die Widerstandsfähigkeit oder Stabilität sowohl der digitalen Infrastruktur als auch der Industrie gegenüber Störungen, Krisen oder Angriffen zu verbessern. Dies sollten wir tun, bevor es zu einer nächsten Krise kommt.

Komplexität verstehen und beherrschen

Die Komplexität von Systemen und Infrastrukturen führt zu erhöhter Vulnerabilität, mit zunehmenden Ausfällen, Fehlern, menschlicher Überforderung und Schwierigkeiten bei der Bewältigung eines Ausfallproblems (Flash Crash - en.wikipedia.org/wiki/Flash_crash). Wir müssen einfache, nachvollziehbare und konsistente Architekturen, Entwürfe und Implementierungen bevorzugen, um unnötige Komplexität und Abhängigkeiten zu vermeiden. Es ist nicht möglich, mit solchen Systemen alle Bedingungen vollständig vorherzusagen, zu testen und zu modellieren. Deshalb müssen wir Ausfälle und Kompromisse akzeptieren, sie berücksichtigen und Systeme entwerfen, die sicher und fehlertolerant sind. Das Einzige, was echte Sicherheitsgewinne bringt, ist die Beherrschung der Komplexität (Security, Moore’s law, and the anomaly of cheap complexity, Thomas Dullien - rule11.tech/papers/2018-complexitysecuritysec-dullien.pdf).

Empfehlungen: So können die Politik, Wirtschaft und Gesellschaft die Lücken schliessen

  1. Nehmen Sie die Digitalisierung an, aber investieren Sie in das Verständnis der Hauptrisiken und treffen Sie bewusste Entscheidungen über kritische Investitionen.
  2. Bewerten Sie bewusst kritische Abhängigkeiten in Ihrer Cyberinfrastruktur und streben Sie aktiv die gemäss Ihrem eigenen “Risikoappetit” bzw. Sicherheitsbedürfnis gewünschte Balance zwischen Optimierung (Effizienz, kurzfristige Gewinne), Belastbarkeit (Resilienz, langfristiges Überleben) und den entsprechenden Kosten an. 
  3. Implizieren Sie Ausfälle und planen Sie entsprechend. Kritische Funktionen für Gesellschaft und Wirtschaft müssen bis zu einem bestimmten Grad Ausfällen standhalten. Redundanzen müssen geplant, kommuniziert, finanziert, implementiert und getestet werden.
  4. Die Einführung einer Produkthaftpflicht sollte geprüft werden.
  5. Europäische Initiativen, die sich mit kritischen Abhängigkeiten sowie mit Produktehaftpflicht auseinandersetzen, sollen vorangetrieben werden.
  6. Die Zusammenarbeit mit lokalen Anbietern inkl. Schweizer Start-ups sollte gefördert werden.
  7. Business Continuity Management: Managen Sie kritische Abhängigkeiten, die zu Ausfällen mit gravierenden Auswirkungen für die Gesellschaft führen können, in der gleichen Weise, wie andere potenziell verheerende Risiken (z. B. Naturgefahren).

Drei Schlüsselfragen

  1. Wie lange kann ein System nicht verfügbar sein, bis ein existentielles Problem entsteht Minuten, Stunden, Tage?
  2. Werden mit dem Ausfall rechtliche Vorgaben verletzt?
  3. Welche Auswirkung hat ein Ausfall auf das Funktionieren der Gesellschaft und den Wirtschaftsstandort Schweiz?

Autor:innen und Themenverantwortung

Umberto Annino, Microsoft | Daniel Caduff, AWS | Stefan Frei, ETH Zürich | Pascal Lamia, BACS

Review Board

Endre Bangerter, BFH | Alain Beuchat, Banque Lombard Odier & Cie SA | Matthias Bossardt, KPMG | Adolf Doerig, Doerig & Partner | Roger Halbheer, Microsoft | Katja Dörlemann, Switch | Martin Leuthold, Switch | Hannes Lubich, Verwaltungsrat und Berater | Luka Malis, SIX Digital Exchange | Adrian Perrig, ETH Zürich | Raphael Reischuk, Zühlke Engineering AG | Ruedi Rytz, BACS | Riccardo Sibilia, VBS | Bernhard Tellenbach, armasuisse | Daniel Walther, Swatch Group Services | Andreas Wespi, IBM Research

Weitere Beiträge aus der Cybersecurity Map

 

Cloud Computing

 

Digitalisierung / E-Government

 

(Adversarial) Artificial Intelligence

 

Quantum computing

 

Abhängigkeiten und Souveränität

 

Datenschutz

 

Informationsoperationen und -kriegsführung