Die Gefahr aus dem Cyberraum ist allgegenwärtig

Der Weg zum "Kommando Cyber", ein Ransomwareangriff auf ein KMU und der Cyberaspekt des Ukraine-Kriegs. All diese Geschichten thematisierten die Sprecherinnen und Sprecher am ersten Tag der X-Days im Trafo Baden. Vertreter und Vertreterinnen lokaler, nationaler und internationalen Unternehmen, Politiker sowie Politikerinnen und Militärangehörige fanden zusammen, um sich über verschiedene Cybersecurity-Themen auszutauschen.

In der Eröffnungsrede stellte das Moderationsteam dem Publikum die Frage: "Denken Sie, Ihr Unternehmen ist genügend auf eine möglich Cyberattacke vorbereitet?" Etwas mehr als 75 Prozent der Anwesenden gab an: "Wir haben noch etwas Arbeit vor uns". Rund 20 Prozent meinten, sie seien auf alles vorbereitet. Die übrigen Antworten entfielen auf "In der Schweiz passiert so etwas nicht" oder gar "Wir wurden letzte Woche gehackt". Am Ende der Veranstaltung werde man die Frage nochmals stellen, um zu sehen, welchen Impact die Präsentation auf das Publikum hatten, so die Moderation.

Wie Microsoft den Cyberraum sieht

Dann begann die eigentliche Veranstaltung. Die Eröffnungs-Keynote wurde von Sarah Armstrong-Smith, Chief Security Advisor bei Microsoft, gehalten. Sie sprach über die Rolle, die Microsoft in der Welt der Cybersecurity einnimmt. "Wenn man Technologie hat, die faste jeder Mensch auf dem Planeten nutzt, trägt man eine grosse Verantwortung." Gross ist nicht nur die Verantwortung, sondern auch die Datenlage: 24 Billionen Signale erhalte Microsofts System jeden Tag aus all seinen Produkten und Plattformen. Daraus leite man vieles ab, auch wenn es Cyberkriminalität geht.

Sarah Armstrong-Smith, Chief Security Advisor von Microsoft (Source: Netzmedien)

Demnach beginnen über 80 Prozent der Cyberangriffe mit Phishing. Wöchentlich verzeichne man 600 Millionen veschickte Phishing-E-Mails. Solche Angriffe seien dabei oft nicht mehr plump, sondern werden personalisiert und saisonal angepasst. So habe man um den "Black Friday" herum einen grosse Spike an Phishing-Mails registriert, oft im Zusammenhang mit angeblichen Gratisprodukten oder Gewinnspielen für Rabatte.

Ebenfalls auf dem Vormarsch seien Ransomware-Angriffe auf grosse, multinationale Kooperationen. Solche Attacken werden oft längerfristig geplant. Auch staatlich unterstütze Cyberkriminalität nehme zu, insbesondere jene aus Russland. Microsoft vermeide grundsätzliche das Benennen von Staaten hinter Cyberangriffen, doch man sei überzeugt, dass Russland für Attacken wie etwa "SolarWinds" verantwortlich sei.

Auch Microsofts Rolle im Ukraine-Krieg sprach Armstrong-Smith an. Der Cyberkrieg in der Ukraine begann demnach bereits im Januar mit russischen Malware-Angriffen. Die ukrainische Regierung wandte sich daraufhin an Microsoft, um seine kritische IT-Infrastruktur zu schützen. Innert kürzester Zeit war es gelungen, 16 der 17 ukrainischen Ministerien in die Cloud und damit ausser Landes zu portieren. Dennoch sei der Cyberkrieg ein nicht zu unterschätzender Aspekt des Konflikts. Am Tag der Invasion registrierte Microsoft über 300 Wiper-Angriffe auf ukrainische Infrastruktursysteme.

Zum Schluss sprach Armstrong-Smith auch noch darüber, was Unternehmen tun können, um sich vor Cyberangriffen zu schützen. Besonders wichtig sei das Schützen von Identitäten und Daten. Ausserdem empfehle Microsoft, einen Zero-Trust-Ansatz zu verfolgen, wenn es um Cybersecurity geht. Auch Basics wie ein Virenschutz oder Mehrfaktor-Authentifizierung müssen für alle Mitarbeitenden dazugehören. Wichtig sei weiter, die Bedrohungslage stets im Auge zu behalten, um zu wissen, was einen erwarten könnte. Zudem sollte jedes Unternehmen einen Krisenplan bereit haben, der über die IT-Abteilung hinausgeht.

Wie sieht ein Hacker eigentlich aus?

Weniger über Abwehr und mehr über Prävention sprach Sandro Nafzger, Mitgründer und CEO von Bug Bounty Switzerland. Eine Bug-freie Software sei eine Illusion, weshalb es einen Paradigmenwechsel brauche. Sicherheit sei nicht mehr ein Zustand, sondern ein Prozess, welcher regelmässige geprüft und angepasst werden müsse. Eine Alternative zu einem Bug-Bounty-Programm gebe es daher nicht.

Sandro Nafzger, CEO und Mitgründer vom Bug Bounty Switzerland (Source: Netzmedien)

Zudem kritisierte Nafzger das weit verbreitete Bild des Hackers als Kapuze tragender Einzelgänger, der im Keller sitzt und mit bösen Absichten Websites hackt. Stattdessen zeigte er Bilder seines Teams von ethischen Hackern. "Hacker sind Freunde", hiess es dazu.

Ein Bug-Bounty-Programm biete nicht nur eine realistische Einschätzung für die Sicherheit eines Systems, sondern biete dem Unternehmen auch eine Möglichkeit, aus Fehlern zu lernen, bevor sie zu echten Problemen werden.

"Die Gefahr lauert hinter jedem Klick"

Anschliessend teilte sich das Programm in voer "Deep Dive"-Sessions auf. Unter dem ominösen Titel "Die Gefahr lauert hinter jedem Klick" diskutierten Marcus Beyer, Swisscom Security Awarness Officer, Philippe Vuilleumier, Head Group Security, Swisscom und Marc Ziegler, CEO der Auto AG Group, über ihre Erfahrungen und Learnings im Kampf gegen die Cyberkriminalität.

Von links: Philippe Vuilleumier, Head Group Security Swisscom, Marc Ziegler, CEO Auto AG Group, Mäth Gerber, Moderator und Marcus Beyer, Swisscom Security Awarness Officer (Source: Netzmedien)

Mäth Gerber moderierte die Podiumsdiskussion. Er eröffnete das Gespräch mit der Aussage, dass 36 Prozent der Schweizer KMUs bereits Opfer einer Cyberattacke wurden. Eines dieser KMUs sei die Auto AG, ein Anbieter von innovativen und nachhaltigen Lösungen für Personen- und Gütertransport, mit 480 Mitarbeitenden an neun Standorten.

CEO Marc Ziegler sprach im Detail über den Cyberangriff auf sein Unternehmen im Sommer 2019. Am Montagmorgen weckte ihn der IT-Dienstleister, an welchen die Auto AG die gesamte IT-Infrastruktur ausgelagert hatte. Es gebe ein Problem mit dem Exchange-Server. Wenig später hiess es dann, das Problem sei wohl etwas grösser als nur der Mailserver. Bald wurde klar: Es war ein Ransomware-Angriff. Die Hacker meldeten sich bald "freundlich und kundenorientiert", wie es Ziegler beschreibt.

Daraufhin wurde Meldung ans Melani verschickt und die lokale Polizei eingeschaltet. Diese zeigte sich wenig optimistisch. Ein Polizist erklärte Ziegler später: "Die Aufklärungsquote bei solchen Angriffen liegt bei 0 Prozent".

Marc Ziegler, CEO Auto Ag, musste eine Ransomwareattacke durchleben (Source:Netzmedien)

Stattdessen arbeitete man also mit IT-Dienstleistern zusammen, um die Systeme wiederherzustellen und die Schwachstelle zu finden. Wie sich herausstellte, stand am Ursprung des Angriffs eine Phishing-E-Mail. Diese war im Namen des grössten Lieferanten des Unternehmens verfasst - für Ziegler ein klares Zeichen, dass die Angreifer sein Unternehmen im Vorfeld ausspioniert hatten.

Schlussendlich dauerte es nur zweieinhalb Tage, bis man die Systeme wiederherstellen konnte. Um die Unternehmenssicherheit zu erhöhen, wartete man aber nochmals drei Tage, um relevante Hard- und Softwarekomponenten auszutauschen. Über allfällige Lösegeldzahlung äusserte sich Ziegler "in Absprach mit der Staatsanwaltschaft" nicht.

Nach der ausführlichen Beschreibung dieses Einzellfalls wurden auch die Swisscom-Sicherheitsexperten wieder ins Gespräch eingebunden. Die Bedrohungslage sei komplex und teilweise unübersichtlich, erklärte Philippe Vuilleumier. Grundsätzlich gelte jedoch: Grösse und Branche eines Unternehmens sei egal, jeder sei theoretisch ein Ziel. In den meisten Fällen gelte: "Ihr Angreifer kennt Sie nicht."

Philippe Vuilleumier, Head Group Security, Swisscom (Source: Netzmedien)

Es genüge auch nicht, nur die IT-Infrastruktur zu schützen. Die Swisscom selbst blockiere pro Monat 4,7 Millionen Angriffsversuche auf die eigene Infrastruktur. Dennoch gibt es aufgrund von "menschlichem Fehlverhalten" immer wieder erfolgreiche Angriffe, erklärt Marcus Beyer. Den Begriff "Schwachstelle Mensch" lehnt er allerdings ab. "Technologie und Mensch müssen zusammenarbeiten", findet er.

Auch wer Opfer eines Cyberangriffs wurde, ist nicht automatisch "up to date". So berichtet Ziegler, dass sein Unternehmen inzwischen regelmässige Phishing-Tests durchführe, und hierbei immer wieder Mitarbeitende durchfallen.

Für Cybersicherheit-Massnahmen und -schulungen gebe es grundsätzlich keine Universallösung, sagen Beyer und Vuilleumier. "Es muss halt zum Unternehmen passen", meint Beyer. Bei Schulungen sei es grundsätzlich wichtig, auf möglichst lebensnahe Beispiel zu setzen, und komplexe Themen auf interessante Weise zu vermitteln.

Auch die nötigen Abwehrmassnahmen seinen extrem schwierig zu generalisieren, findet Vuilleumier. Das Kosten/Nutzen-Verhältnis sei hier stets zu beachten.

Einen Tipp gibt Ziegler den teilnehmenden Unternehmen noch mit auf den Weg, und zwar einen Business-Continuity-Plan zu entwickeln, der über die IT hinausgeht. Man sollte nicht nur überlegen, wie schnell man seine Systeme wieder zum Laufen kriegt, sondern auch, wie man sein Business ohne IT am Laufen halte.

Der militärische Blickwinkel

Wieder im Plenarsaal versammelt, erwartet die Besucher der X-Days die ungewöhnlichste Präsentation des Nachmittags: Divisionär Alain Vuitel von der Schweizer Armee sprach über das Projekt "Kommando Cyber" und eine militärische Betrachtung der Cyber-Bedrohungslage.

Divisinonär Alain Vuitel, Schweizer Armee (Source: Netzmedien)

Natürlich könne er nicht vermeiden, über die Ukraine zu sprechen, sagte der Offizier. Der Krieg führe uns die veränderte Kriegsführung deutlich besser vor Augen als etwa der Konflikt in Syrien oder Yemen. "It's all about Data", meint Vuitel. Das gelte sowohl für Banken, Unternehmen, aber eben auch für das Militär. Digitale Informationen helfen, strategische Entscheidung zu treffen, und zwar auf eine Art, wie es zuvor noch nie der Fall gewesen war.

Dann kam er auf die Rolle der Schweiz zu sprechen. Nach Vision des Bundes übernehmen die jeweiligen Polizei- und Justizbehörden die Verfolgung von Cyberkriminalität, während das NCSC über Cybersicherheit informiert und aufklärt. Der Armee hingegen falle die Cyberabwehr zu. Dazu arbeite man am Aufbau des "Kommando Cyber", welches am 1 Januar 2024 offiziel gegründet wird. Was genau das Kommando dann tun wird, ist noch nicht vollständig klar. Laut Vuitel schützt die Armee primär ihre eigene Infrastruktur und man wolle den Wirtschaft nicht den Schutz der eigenen Infrastruktur abnehmen. Eher würde man wohl beraten und unterstützen.

X-Days Talk

Verschiedene Themen im Schnelldurchlauf behandelt der Post-CIO Wolfgang Eger, Philippe Vuilleumier, Head Group Security Swisscom und Grünen-Nationalrat Gerhard Andrey mit der Moderatorin Geraldine de Bastion im "X-Days Talk".

Von Links: Moderatorin Geraldine de Bastion, Nationalrat Gerhard Andrey, Swisscom Head of Group Security Philippe Vuilleumier, Post-CIO Wolganf Eger (Source: Netzmedien)

Wenn es um das Zusammenspiel von Staat und Wirtschaft bei Cybersicherheit ging, waren sich die drei Herren einig: Der Staat soll unterstützen, nicht übernehmen. Die Polizei komme ja abends auch nicht vorbei, um einem die Haustür anzuschliessen, meinte Andrey. Dass es eine zentrale Anlaufstelle wie das NCSC gibt, sei dennoch wichtig, meint Vuilleumier, denn: "Ein kleines Unternehmen ist schnell mal überfordert".

Ein Faktor, der das Thema ins Spotlight beförderte, war das flächendeckende Homeoffice während des Lockdowns. Dies habe vielerorts einen "bewussten Umgang mit Cybersecurity erwirkt", sagt Eger. Viel Unternehmen hätten gut reagiert. Allerdings reagierten auch die Kriminelle und passten ihre Angriffe an.

Dass das Bewusstsein für Cybersicherheit hochzuhalten, sei jedoch ein ständiger Prozess. Auch wenn das für einen "normalen" Mitarbeitenden ein nerviges Thema sei, brauche es formelle Schulungen für alle. Das betreffe Manager auf der C-Ebene ebenfalls, merkt Andrey an. Vielorts sei die Attitüde gegenüber Cybersicherheit: "Es nervt, es kostet und man versteht es nicht." Für Geschäftsleitungen und Verwaltungsräte sollte Cybersecurity ein Thema wie die Finanzen sein: Auch wenn man nicht alle Details versteht, sollte man sich damit auseinandersetzen müssen, findet der Nationalrat.

Gerhard Andrey, Nationalrat Grüne und Mitgründer Digitalagentur Liip (Source: Netzmedien)

Zum Schluss gelangten die Sprecher zum Thema KI-gestütze Cybersicherheit. Bei Swisscom arbeite man daran, sagt Vuilleumier. KI sei allerdings auch als Angreifer eine mögliche Gefahr. Einen echten KI-Angriff habe er noch nie gesehen, meint Eger. Auch die Post beschäftige sich mit KIs, allerdings nicht explizit im Kontext der Cybersicherheit. Andrey schliesst mit den Worten, dass KI sowohl gigantische Risiken wie auch Chancen biete, für alle möglichen Lebensbereiche.

Verhandeln mit Cyberkriminellen

Die letzte Keynote des Tages gibt Matthias Schranner vom nach ihm benannten Schranner Negotiation Institute. Er erklärt, wie man sich bei Ransomware verhalten soll und was Cyberkriminelle wirklich wollen. In den allermeisten Fällen sei es Geld. Dabei ist das Verhandeln oft schwierig, da die Kriminellen hohe Forderungen stellen können, ohne ihrerseits Konsequenzen fürchten zu müssen.

Matthias Schranner, Schranner Negotiation Institute (Source: Netzmedien)

Für Unternehmen sei es wichtig, schon vor einer Attacke zu definieren, was im Falle eines Angriffs geschehen soll. Es dürfe zu keiner internen Verhandlung mehr kommen, wenn der Angriff läuft. Auch sollte man ein Krisenteam bestimmen, welches die Verhandlungen führt und idealerweise ein bereits ein Kryptokonto führe, um eine Lösegeldzahlung anzulegen.

Bei den Lösegeldern komme es darauf an, ob sich um einen professionellen, staatlich gestützten Angreifer handle oder ein "Hobby-Hacker". Profis haben sich bereits im Vorfeld informiert, wie viel Lösegeld ein Unternehmen bezahlen kann und werden einen "vernünftigen" Vorschlag machen, über den sie dann auch nicht weiter verhandeln werden. Bei den Nicht-Profis liesse sich jedoch oft viel herausholen, da einfach blind eine möglichst hohe Forderung gestellt wird. Daher sei es wichtig herauszufinden, mit welcher Art von Angreifer man es zu tun hat. Immens wichtig sei es auch, direkt in die Verhandlungen einzusteigen. Denn: "Die Zeit ist nicht auf Ihrere Seite."

Noch immer zu viel falsche Sicherheit

Vor Abschluss des Events wird noch einmal die Frage ans Publikum gestellt, wie gut denn ihr jeweiliges Unternehmen auf einen möglichen Cyberangriff vorbereitet sei. Nach fünf Stunden Cybertalk waren inzwischen mehr als 85 Prozent der Teilnehmer überzeugt, sie hätten noch Arbeit. Entsprechenden sank der Wert derjenigen, die meinten, man sei auf alles vorbereitet. Noch immer gab es solche, die meinten, in der Schweiz passieren solche Angriffe sowieso nicht. Diese Antwortgeber verbrachten den Nachmittag wohl nur an der Kaffeebar.