Was der IT-Unternehmer damit meint: Software oder Hardware für die kritischen Infrastrukturen könnte manipuliert angeliefert werden, ohne dass die Käufer oder unter Umständen sogar die Hersteller und Lieferanten selbst davon wissen. Irgendwo in der Lieferkette könnten Fehler eingebaut worden sein, von ausländischen Geheimdiensten etwa, um in den Computersystemen zu spionieren oder sie zu sabotieren. «Von aussen in ein System zu hacken, ist etwas für Anfänger. Profis bauen Hintertüren direkt in die Hardware ein», sagt Dobler. Und das könnte fatal sein. Dobler nennt ein Beispiel: Stromnetzwerke sind hierzulande ans Netz angeschlossen, damit sie aus der Ferne gewartet werden können. Wenn dort beispielsweise Computerchips manipuliert wurden, könnte jemand auf die IT-Systeme zugreifen und ein Kraftwerk abstellen. Im schlimmsten Fall sogar mehrere Kraftwerke miteinander. Die Folge: ein Blackout in Teilen der Schweiz.

Das ist natürlich ein fiktives Szenario. Doch die Angst vor Sabotage und Spionage ist da. In diesem Zusammenhang macht im Moment vor allem der chinesische Technologiekonzern Huawei Schlagzeilen. Von mehreren westlichen Ländern wird ihm vorgeworfen, für die chinesische Regierung zu spionieren. Auch in der Schweiz ist das Unternehmen aktiv. So arbeitet es etwa mit Sunrise zusammen beim Aufbau des 5G-Netzes. Huawei wie auch Sunrise weisen die Kritik zurück. Für Dobler ist der Fokus einzig auf Huawei sowieso zu wenig weitsichtig. Er sagt: «Das Grundproblem ist, dass die Schweiz und auch der Rest Europas keine eigenen Soft- oder Hardwarehersteller haben.» Die Schweiz und Europa seien diesbezüglich vollkommen abhängig von den USA und Asien.

Ernstzunehmende Gefährdung

Dobler fordert darum, dass der Schutz der Hardware und Software von kritischen Infrastrukturen hierzulande ausgebaut wird. So weit geht er in seinen Vorstössen aber nicht. In einem ersten Schritt will er den Bundesrat beauftragen, ganz allgemein Bericht zu erstatten über die heutigen Massnahmen im Bereich der «Supply Chain Security», also der Sicherheit in der Lieferkette. «Im Moment gibt es diesbezüglich keine verbindlichen Standards. Der Bund hat kein übergreifendes Konzept», bemängelt Dobler. «Die Sensibilität gegenüber diesen Risiken fehlt vielerorts.»

Deutlicher drückt sich Stefan Frei aus. Er ist Dozent für Cyber Security an der ETH Zürich und sagt: «Die Schweiz ist blind gegenüber diesen Gefahren.» Es bestehe dringender Handlungsbedarf, sonst werde die Digitalisierung zur «Hypothek, die uns am Ende das Genick bricht», warnt Frei. Spionage und Sabotage seien schon immer Auftrag von Geheimdiensten gewesen, sagt der Sicherheitsexperte. «Es wäre naiv zu glauben, dass das Staaten nicht machen.» Man müsse auch in der Schweiz davon ausgehen, dass kritische IT-Komponenten von Haus aus kompromittiert seien, sagt Frei. Für ihn ist darum klar: Unternehmen müssen stärker in die Pflicht genommen werden und kritische Systeme besser und systematisch auf allfällige Manipulationen untersuchen. Frei schlägt die Gründung einer unabhängigen europäischen Organisation vor, die solche Tests durchführt.

In der Schweiz ist das Bundesamt für Bevölkerungsschutz (Babs) zuständig für die Umsetzung der Strategie zum Schutz kritischer Infrastrukturen. Dort heisst es dazu auf Anfrage: «Das Babs erachtet Supply-Chain-Angriffe als zunehmende und ernstzunehmende Gefährdung.» Man verfüge jedoch nicht über die technische Expertise oder Zuständigkeit, um über die Bedrohungslage oder konkrete Angriffe eine Einschätzung abzugeben. Für weitere Informationen verweist das Babs deshalb an die Melde- und Analysestelle Informationssicherung (Melani) des Bundes.

Deren stellvertretender Leiter ist Max Klaus. Er sagt: «Wir wissen, dass so ein Vorfall jederzeit passieren kann, und haben das Thema auf dem Radar.» Die Experten beschäftigten sich nicht tagtäglich mit diesem Problem, auch habe man bisher keine Empfehlungen dazu abgegeben. Klaus begründet dies so: «Bisher gab es nach unseren Kenntnissen nur ganz wenige Angriffe über die Lieferkette.»