Bedeutung
Kritische Infrastrukturen sind Anlagen und Systeme oder Teile davon, die eine wesentliche Bedeutung für die Schweiz, ihre Gesellschaft und Wirtschaft haben. Dazu gehören etwa Energie- und Wasserversorgung, aber auch IT-Services mit den dahinterliegenden Rechenzentren – wie sie auch Abraxas erbringt. Ein Ausfall von kritischen und somit «unverzichtbaren Infrastrukturen» hätte erhebliche Auswirkungen auf das wirtschaftliche und soziale Wohlergehen.
Ausgangslage
Der Bundesrat aktualisierte zuletzt am 16. Juni 2023 die nationale Strategie zum Schutz kritischer Infrastrukturen (SKI). Sie fokussiert auf acht sektoren- und branchenübergreifende Massnahmen. Das Spektrum der kritischen Infrastrukturen (KI) umfasst neun Sektoren, unterteilt in 27 Branchen (Teilsektoren). Was genau eine kritische Infrastruktur ist, wandelt sich je nach Land und technischer Kultur im Laufe der Zeit.
Fast überall wirken Informationstechnologien mit. Entsprechend hoch gewichtet Abraxas bei der Entwicklung von Software und der Architektur von IT-Services für Kunden der öffentlichen Verwaltung die Sicherheit. Ein eigenes Security Operations Center (SOC) schützt in Kombination mit hochverfügbaren State-of-the-Art-Technologien die IT-Services von Abraxas. Die Organisation ist zertifiziert (u. a. ISO 27001) und so aufgestellt, dass Ausfallzeiten kurz gehalten werden können.
Geschichte
1996 entstand nach einem Bombenanschlag in den USA eine «Presidential Commission on Critical Infrastructure Protection», um die sich verstärkende Gefahr aus dem Internet zu beherrschen. Es war also die Digitalisierung, die das Bewusstsein für den Schutz gewisser Infrastrukturen geschärft hat. Der Begriff «kritische Infrastruktur» hat sich seither durchgesetzt, umfasst heute aber weit mehr als nur mögliche Angriffe aus dem Cyberraum.
Erst hochkomplexe digital vernetzte Systeme haben den Schutz kritischer Infrastrukturen zur zentralen Aufgabe des Staates gemacht. Entsprechend wird hier laufend reguliert, um Resilienz gegen Angriffe von innen und aussen, durch Natur- und andere Katastrophen zu schaffen.
Das Anliegen ist alt, bereits in den ersten Hochkulturen entstanden besonders schützenswerte Infrastrukturen, etwa Bewässerungssysteme, Brücken oder Strassen. In kriegerischen alten Zeiten waren die Zulieferer der Armeen wie beispielsweise Waffenschmieden oder Schwefellieferanten zentral für den Fortbestand von Staaten. Die beiden Weltkriege des letzten Jahrtausends zeigten überdeutlich: Infrastrukturen zu zerstören, ist eine wichtige Voraussetzung für den Sieg auf dem Schlachtfeld. Das gilt auch im Ukraine-Krieg auf beiden Seiten. Die Krimbrücke ist immer wieder das Ziel ukrainischer Angriffe, während Russland seinerseits die Energienetze der Ukraine attackiert.
Deep Dive
Alle Elemente (Betreiber, IT, Anlagen, Bauten), die Leistungen in den 27 Teilsektoren erbringen, gelten als kritische Infrastruktur. Die Kritikalität bemisst die Bedeutung eines Ausfalls für die Bevölkerung und variiert je nach Ebene: Während eine lokale Trafostation regional kritisch ist, haben zentrale Steuerungssysteme nationale oder internationale Kritikalität. IT-Services und Telekommunikation werden als «sehr grosse Kritikalität» eingestuft. Aber auch andere Infrastrukturen sind kritisch und wirken auf viele Sektoren und Branchen ein. So kommt die ICT-Branche nicht ohne Strom aus, während die Abfallentsorgung Seuchen verhindert, die zu Arbeitsausfällen führen würden.
ICT-Dienstleistungen innerhalb kritischer Systeme sind ebenfalls kritisch, was sich zum Beispiel in der neuen Meldepflicht für Cybersecurity-Vorfälle reflektiert. Sie gilt seit dem 1. April 2025. Als besonders relevante Gefährdungen identifiziert das zuständige Bundesamt für Bevölkerungsschutz (BABS) Cyberangriffe, den Ausfall der Stromversorgung und eine Strommangellage. Die Nationale Cyberstrategie (NCS) unterstützt somit den Schutz der kritischen Infrastrukturen in beinahe jedem der Teilsektoren. Der erste Umsetzungsbericht vom Frühjahr 2025 attestiert «klare Fortschritte».
Im Kern geht es um das Management der aktuellsten Risiken. Wer kritische Infrastrukturen betreibt, erhält dazu mit Leitfaden und Umsetzungshilfe des BABS praktische Tipps. Es sind acht Massnahmen definiert: Verbesserung der Resilienz, Inventar der kritischen Infrastrukturen aktuell halten, Plattformen zur Verbesserung der Zusammenarbeit schaffen, Gefährdungen und Bedrohungen frühzeitig erkennen und kommunizieren, Schutzmassnahmen zur Verhinderung von Ausfällen, subsidiäre Unterstützung optimieren, vorsorgliche Planung durch Bund und Kantone zur Bewältigung von schwerwiegenden Ausfällen und eine periodische Überprüfung der Umsetzung.
Wirkung
Der Schutz von kritischen Infrastrukturen ist essenziell für das Funktionieren von Wirtschaft und Gesellschaft, somit der Schweiz. Am Beispiel der Energienetze, die sich in Richtung eines smarten, erneuerbaren Energiesystems wandeln: IT hält die dezentralen Produktionen im Gleichgewicht und stabilisiert so das Netz. Sie macht dieses aber angreifbarer. Die Gefahr von Stromausfällen durch Cyberattacken steigt. Darum brauchen Energienetze mitsamt den IT-Services einen besonderen Schutz. Und fiele der Strom aus, würde dies auch die Trinkwasserversorgung mit sich reissen, was wiederum weitere Folgen hätte. Stabilität und Sicherheit im Staat würden zerfallen.
Alle bisher erschienenen Buchstaben im digitalen ABC
-
A
wie Artificial Intelligence
Artificial Intelligence; abgek. AI,
engl. für dt. künstliche Intelligenz, abgek. KI -
B
wie Big Data
Big Data (von englisch big = gross und data = Daten)
-
B
wie Bug Bounty
Bug-Bounty-Programm (engl. sinng. Kopfgeld-Programm für Programmierfehler)
-
C
wie Cloud
Cloud, w.
-
C
wie CERT
CERT, Akronym für engl. Computer Emergency Response Team
-
D
wie Digitale Schweiz
1. Digitale Schweiz, w. (die digitale Transformation der Schweiz betreffend)
2. Nebenbedeutung: Teil des Markenversprechens von Abraxas. «Für die digitale Schweiz. Mit Sicherheit» -
D
wie DevOps
DevOps, Kofferwort für Development und Operations
-
E
wie E-ID
E-ID, w. (staatlich anerkannte, nationale elektronische Identität)
-
E
wie Entra ID
Entra ID, cloudbasierter Identitäts- und Zugriffsverwaltungsdienst von Microsoft; neue Bezeichnung für Azure AD.
-
F
wie Firewall
Firewall, w.
engl. für Brandmauer -
F
wie Federated Machine Learning
Federated Machine Learning,
abgekürzt FML, engl. für föderiertes Lernen. -
G
wie Graphical User Interface
GUI, s. (Abk. für engl. Graphical User Interface)
-
G
wie GitOps
GitOps,
Kofferwort für Git (Versionskontrollsoftware) und Operations -
H
wie Hermes
Hermes, m.
1. Götterbote aus der griech. Mythologie, u. a. Gott des Handels, Begleiter der Toten in den Hades
2. frz. Familienunternehmen mit Sitz in Paris für Luxus-Modeartikel
3. Abk. für «Handbuch der Elektronischen Rechenzentren des Bundes, eine Methode zur Entwicklung von Systemen», offener Standard zur Führung und Abwicklung von IT-Systemen -
H
wie Hybrid Cloud
-
I
wie IoT
IoT, s.
Abk. für engl. Internet of Things -
I
wie IAM
IAM, s.
Abk. für engl. Identity and Access Management -
J
wie Java
Java, s.
1. kleinste der Grossen Sundainseln (Indonesien)
2. systemunabhängige Programmiertechnologie, besonders für Anwendungen im Internet -
J
wie JSON
JSON,
Abk. für «JavaScript Object Notation». -
K
wie Kubernetes
Kubernetes, m.
1. Steuermann (altgriechisch)
2. Container-Orchestrierungssystem (Software) -
K
wie Kritische Infrastruktur
kritische Infrastruktur, w.
Bezeichnung für besonders wichtige und systemrelevante Infrastrukturen, ohne die die Schweiz Krisen nur schwer überleben könnte. -
L
wie Latenz
Latenz, f.
1. Vorhandensein einer noch nicht sichtbaren Sache
2. Zeit zwischen Reiz und Reaktion (Physiologie)
3. symptomfreie Zeit zwischen Ansteckung und Ausbruch einer Krankheit (Medizin)
4. Zeit zwischen Anfrage und Antwort (IT) -
L
wie LLM
-
M
wie Malware
Malware, f.
Software, die in Computersysteme eindringen und dort Störungen oder Schäden verursachen kann -
N
wie New Work
New Work, n. od. f.
engl. für Neue Arbeit
Gesamtheit der modernen und flexiblen Formen der Arbeit bzw. der Arbeitsorganisation -
O
wie Outsourcing
Outsourcing, n.
engl. für Auslagerung
Übergabe von Aufgaben und / oder Strukturen eines Unternehmens an externe Dienstleister -
P
wie Proxy
Proxy, m.
engl. für Stellvertreter
ein Vermittler von Anfragen in Computernetzwerken -
Q
wie Quantencomputer
Quantencomputer, m.
Aus Qubits und Quantengattern aufgebauter Computer, der die Gesetze der Quantenmechanik ausnutzt. -
R
wie Redundanz
Redundanz, f.
Zusätzliche technische Ressourcen als Reserve (Technik) -
S
wie Software-as-a-Service
SaaS, (ohne Artikel)
Kurzwort für englisch Software-as-a-Service = Software als Dienstleistung -
T
wie Transport Layer Security
TLS, m.,
Kurzwort für englisch Transport Layer Security (= Transportschicht-Sicherheit) -
U
wie USV
USV, w.,
Abk. für Unterbrechungsfreie Stromversorgung -
V
wie VPN
VPN, n.,
Abk. für engl. virtual private network = virtuelles privates Netzwerk -
W
wie White-Hat-Hacker
White-Hat-Hacker, m.
Ein White-Hat-Hacker (Oder White Hat, engl. für Weisser Hut) ist ein ethischer Hacker für Computersicherheit. -
X
wie XSS (Cross-Site-Scripting)
XSS, s.
Abk. für engl. Cross-Site-Scripting; dieses webseitenübergreifendes Scripting ist eine Angriffsmethode von Cyberkriminellen. -
Y
wie Y2K
Y2K,
Numeronym für das Jahr-2000-Problem, engl. Year und 2K für 2 Kilo = 2000 -
Z
wie z/OS
z/OS,
seit 2001 im Einsatz stehendes Betriebssystem für IBM-Grossrechner
Über Bruno Habegger
Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.
