Am 22. Oktober 2021 startet an der Hochschule Luzern der CAS-Lehrgang «Integrale Sicherheit für kritische Infrastrukturen & Systeme». Wir sprachen mit Markus Spinnler, der diesen Lehrgang entwickelte.
Kritische Infrastrukturen sind gemäss dem Bundesamt für wirtschaftliche Landesversorgung Güter und Dienstleistungen, welche für das Funktionieren eines Systems unverzichtbar sind. Sollten Anschläge bei kritischen Infrastrukturen verübt werden, kann dies schwerwiegende negative Auswirkungen auf ein System nach sich ziehen.
Im Zentrum einer Volkswirtschaft stehen hier typische Netzwerkindustrien wie Verkehr, Energie und Telekom, aber auch die Nahrungsmittel- und Arzneimittelversorgung. Eine nationale Strategie zum Schutz kritischer Infrastrukturen wurde im Jahr 2012 vom Bundesrat verabschiedet. Es gilt nun, das Bewusstsein der Problematik und deren Relevanz für Unternehmen aller Grössenordnungen sowie für Gemeinden oder Städte zu stärken. Genau das will auch der neue CAS «Integrale Sicherheit für kritische Infrastrukturen & Systeme» unterstützen. Markus Spinnler, der diesen Lehrgang entwickelte, beantwortet im Interview unsere Fragen dazu.
Weshalb braucht es einen CAS rund um die integrale Sicherheit für kritische Infrastrukturen und Systeme?
Markus Spinnler: Während die grossen Firmen und Systemführer bestimmter Infrastrukturen das Thema bearbeiten, sind KMU-Betriebe und Gemeinden und Städte erfahrungsgemäss teilweise noch zu wenig sensibilisiert. Aber auch sie sollten umfassende Sicherheitsmassnahmen im Bereich der physischen Sicherheit, im Brandschutz, in der IT-Security aber auch im Notfall- und Krisenmanagement ausarbeiten und diese umsetzen. Die Praxis hat gezeigt, dass bestimmte Tätergruppierungen gezielte Anschläge auf wichtige Infrastrukturen von Gemeinden und Firmen verüben, um diese zu schwächen, zu schädigen oder gar zu erpressen. Zudem können kritische Infrastrukturen auch durch technische Probleme und Störungen oder Naturkatastrophen ausfallen.
Wen sprechen Sie mit dem CAS «Integrale Sicherheit für kritische Infrastrukturen & Systeme» an?
Die Zielgruppe ist sehr breit und heterogen: Bauverwalter, IT-Security-Manager, Facility Manager, Gemeinderäte und Ressortverantwortliche Sicherheit, Leiter Sicherheit und Umwelt, die Sicherheitskommission einer Gemeinde, Sicherheitsverantwortliche und -beauftragte, Planer und Ingenieure, Feuerwehrmitarbeitende (Einsatzplanung), Zivilschutzorganisation, Mitglieder von Führungsstäben in Gemeinden, Kantonen und Bund und viele mehr sprechen wir an – auch Mitarbeitende, die sich mit Sicherheitsaspekten eher im Nebenamt beschäftigen.
Gemäss unseren Recherchen gibt es keine vergleichbare Weiterbildung in der Schweiz. Ist der CAS tatsächlich ein Novum?
Es wird bislang keine umfassende Weiterbildung im Bereich «Integrale Sicherheit für kritische Infrastrukturen» für die Privatwirtschaft in der Schweiz angeboten. Die Fortbildungen in solchen Fragen finden bislang bloss im Rahmen von einzelnen Referaten oder Fachtagungen statt. Das Bundesamt für Bevölkerungsschutz BABS unterstützt deshalb unsere Initiative und stellt Dozenten für den Lehrgang.
Wie ist denn die Bedrohungslage rund um kritische Infrastrukturen einzuschätzen?
Es gibt eine latente Gefahr. Das hat auch damit zu tun, dass immer mehr Infrastrukturen direkt von einer funktionierenden IT abhängen, und zwar ganz egal um welche kritische Infrastruktur es sich handelt. Aber auch die Auswirkungen von Naturgefahren, wie wir sie aktuell erleben, bedrohen kritische Infrastrukturen. Aus meiner Sicht wird die Thematik immer mehr an Bedeutung gewinnen.
Nachdem erneut die Notrufnummern lange Stunden nicht funktionierten – würde den Betreibern eine Teilnahme am CAS gut tun?
Ich kann und möchte nicht beurteilen, was dort genau passierte und woran das lag. Aber es ist ein Beispiel dafür, was passieren kann, wenn eine kritische Infrastruktur oder ein kritisches System nicht funktioniert. Beispiele gibt es aber auch viele andere – Cyberangriffe, versuchte Angriffe auf Trafostationen, Stromausfälle oder unterbrochene Verkehrsverbindungen nach Naturereignissen oder auch einfach technische Pannen, die keine böswilligen Ursachen hatten, sondern aufgrund einer Verkettung von ungünstigen Ereignissen entstanden.
Werden Absolvierende eher zu Generalisten weitergebildet oder geht der CAS auch tief in technische Details?
Es werden Generalisten mit einem Bezug zur Praxis ausgebildet. Wir sensibilisieren diese, damit sie die verschiedenen Einflussfaktoren kennen und entsprechende Sicherheitsmassnahmen einleiten können. Der Unterricht umfasst insgesamt 120 Lektionen sowie eine abschliessende CAS-Arbeit im Rahmen von 60 Stunden. Unser Ziel ist, 60 Prozent des Unterrichts mittels Distance Learning durchzuführen. Für Gruppenarbeiten oder Besichtigungen ist Präsenzunterricht geplant.
Was müssen die Teilnehmenden schon an Qualifikationen mitbringen?
Grundsätzlich setzen wir einen Abschluss auf Tertiärstufe (ETH/Universität, Fachhochschule) und mindestens fünf Jahre Berufserfahrung nach Abschluss voraus. Auch Personen mit einer gleichwertigen Qualifikation und mehrjähriger Berufserfahrung können über ein standardisiertes Zulassungsverfahren aufgenommen werden. Das Dossier entscheidet über eine Aufnahme.
Was nehmen die Absolvierenden danach mit?
Unsere Dozenten sind Profis aus der Praxis und geben den Absolvierenden viel Fachwissen aus ihrem eigenen Erfahrungsschatz weiter. Ausserdem bauen die Absolvierenden ihr Netzwerk durch diese Kontakte stark aus und sie erwerben Grundwissen im Bereich der integralen Sicherheit für kritische Infrastrukturen. Sie lernen die Methodik der Sicherheitsplanung kennen und können integrale und umfassende Sicherheitsmassnahmen definieren, planen und umsetzen. Sie sind in der Lage, sicherheitsrelevante Fragestellungen im Bereich Information & Cyber Security praxisbezogen zu bearbeiten.
Die Absolventen kennen ausserdem die spezifischen Stabsarbeitsprozesse, um im Ereignisfall – also bei einem Angriff auf kritische Infrastrukturen oder beim Ausfall solcher – professionell reagieren und kommunizieren zu können. Sie können Auftraggeber im Bereich Schutz kritische Infrastruktur umfassend beraten und Serviceleistungen (Life Cycle Management) von sicherheitstechnischen Anlagen und Ausrüstungen definieren und den ordnungsgemässen Betrieb überprüfen. Kurz: sie können Probleme erkennen, die richtigen Fragen stellen, Lösungsansätze formulieren und ein Konzept in die Praxis umsetzen. Ausserdem nehmen die Absolvierenden total 15 ECTS-Punkte mit.
Infos zum Lehrgang gibt es hier.
Lesen Sie auch: «Incident Response und Simulation: 3 Tage Fachkurs»
