Resilienz, Eigenverantwortung und Cyberkrieg im All - die SCSD sind zurück

"Wir alle tragen Verantwortung." Die Botschaft, die Doris Fiala in ihrer Begrüssungsrede an den diesjährigen Swiss Cyber Security Days (SCSD) kommunizieren will, ist klar. Um uns vor den Bedrohungen aus dem Cyberraum zu schützen, müssen alle an ihrer Cyberresilienz arbeiten. Und zwar alle zusammen. "Indem Sie an den SCSD teilnehmen, zeigen Sie, dass Sie entschlossen und bereit sind, Ihre Cyberresilienz zu stärken", sagte die FDP-Nationalrätin und Präsidentin der SCSD. An der eigenen Cyberresilienz, an jener der Firmen und nicht zuletzt auch an der Resilienz des ganzen Landes, erklärte sie weiter. 

Nick Mayencourt, Gründer und CEO von Dreamlab Technologies sowie Programmdirektor der SCSD, griff diesen Gedanken in einer Pressekonferenz im Rahmen der SCSD wieder auf. "Es braucht wirklich jeden einzelnen", sagte er. "Um resilient zu sein, muss unser ganzes Ökosystem resilient sein", sagte er und sprach dabei die Wechselwirkung zwischen den Einzelnen und der Gruppe an. Damit eine Einzelperson resilient sein kann, muss die Gruppe resilient sein; die Gruppe kann aber nur resilient sein, wenn jede Einzelperson resilient ist. 

Mayencourt verglich es mit einem Virus. "Wenn nur ich resilient bin gegen eine Virusinfektion, wird dies den Raum, in dem wir uns hier befinden, nicht schützen", sagte er. Jede Kette sei nur so stark wie ihr schwächstes Glied. Und dass die metaphorische Cybersecurity-Kette der Schweiz nicht nur ein paar wenige schwache Glieder hat, zeigte er in seiner Rede, die er zusammen mit Marc Peter, Global COO bei Dreamlab Technologies und Dozent an der Fachhochschule Nordwestschweiz, hielt. 

Das Cyber-Lagebild der Schweiz

Das Duo präsentierte 2024 wieder - wie schon in den vergangenen Ausführungen der SCSD - ein Lagebild zur Angriffsfläche der Schweiz. Dabei gehen sie den Fragen nach, was in der Schweiz eigentlich alles ans Internet angeschlossen ist und wie einfach es hackbar ist. Die Bilanz ist ernüchternd. Wenn man sich die Entwicklung der Zahlen seit dem ersten Lagebild von Mayencourt und Peter anschaut, "könnte man sagen, dass wir unseren Job nicht gut machen", sagte Peter - irgendwie scherzhaft, aber irgendwie auch ernst. 

Nick Mayencourt (rechts) und Mark Peter präsentieren das Cyber-Lagebild der Schweiz 2024. (Source: Netzmedien)

Die Schweiz ist demnach für rund 28 Millionen IP-Adressen, 3 Millionen Server und knapp 2 Millionen Domains verantwortlich. Bei ihrer Untersuchung entdeckten sie fast 12,3 Millionen offene Ports. Noch schlimmer sind jedoch die über 2,5 Millionen Schwachstellen, die sie fanden. Hierbei handelt es sich ausschliesslich um bekannte Sicherheitslücken. Das heisst einerseits, dass es Gegenmassnahmen gibt, um diese Lücken zu stopfen. Und andererseits, dass man kein Experte sein muss, um diese Bugs auszunutzen - die Anleitungen und Tools dafür sind im Internet frei zugänglich.

"Ich wiederhole: Das sind nur die öffentlich bekannten und dokumentierten Schwachstellen", mahnte Mayencourt und implizierte damit eine Dunkelziffer unbekannter Verwundbarkeiten. Diese Liste mit Schwachstellen sei quasi ein Menu für Cyberkriminelle - aber zugleich auch eine To-do-Liste für die Verteidiger. Einen Grossteil dieser Schwachstellen könnte man nämlich mit einer guten Cyberhygiene beheben. "Patchen Sie Ihre Software", sagte er. "Das kostet nichts und tut nicht weh." 

Das Problem sei nicht nur technischer, sondern auch organisatorischer Natur. "Wir wissen alle, dass dies ein Problem ist, aber wir machen zu wenig", sagte Mayencourt. "Wir müssen unsere Verantwortlichkeiten definieren und sie leben", sagte er. "Wir müssen über digitale Grundrechte sprechen, über Cyberfrieden und über Produktesicherheit." Mit dem Appell "Let's take action now" beendete Mayencourt die gemeinsame Präsentation. 

Das vollständige Whitepaper mit ausführlichen Informationen zu allen Schwachstellen und allen offenen Ports in der Schweiz, die gemäss Mayencourt eigentlich niemals offen stehen dürften, können Interessierte online lesen.

Kritisches Denken muss zum Schulfach werden

Cyberresilienz - beziehungsweise das Fehlen dieser Resilienz - war nicht das einzige Thema an den SCSD 2024. Der zweitägige Anlass hatte insgesamt mehrere Bühnen, auf denen zahlreiche Präsentationen zu sehen waren. Ein weiteres wichtiges Thema waren Fehlinformationen (auf Englisch: misinformation) und Desinformation (die gezielte, bewusste Verwendung von Fehlinformationen). 

Diesem Thema widmete etwa Mauro Vignati, Advisor New Digital Technologies of Warfare beim Internationalen Komitee vom Roten Kreuz (IKRK), seine Präsentation. In der Informationsevolution befänden wir uns nun in der dritten Phase, erklärte Vignati. Nach der staatlich geprägten Information und der Liberalisierung der Medien und des Internets sei nun die Ära der toxischen Überinformation gekommen. Und dies werde gezielt in Desinformationskampagnen genutzt und ausgenutzt. 

Mauro Vignati, Advisor New Digital Technologies of Warfare beim Internationalen Komitee vom Roten Kreuz. (Source: Netzmedien)

Es geht um "kognitive Kriegsführung". Dabei wird versucht, nicht nur zu beeinflussen, was Menschen denken, sondern auch wie sie denken und somit auch wie sie handeln. Dies geschieht, indem nicht nur alternative Standpunkte präsentiert werden, auch die Vorstellung von einer objektiven Wahrheit wird angegriffen. Das Ziel ist die Destabilisierung der Öffentlichkeit und der epistemischen Institutionen - gemeint sind die traditionellen Vertrauensorganisationen wie etwa Universitäten.

"Das besonders Besorgniserregende ist, dass die kognitive Kriegsführung nicht nur auf Kombattanten abzielt, sondern zunehmend auch auf die Zivilbevölkerung", sagte Vignati. Tatsächlich sei sie nicht nur das Ziel, sondern auch der Vektor, über den man angegriffen werde. Erreicht werde die Bevölkerung beispielsweise über Social Media, weswegen man auch von einer kognitiven Cyberkriegsführung spricht. 

Wie wirkt man dem entgegen? Auch das ist besorgniserregend. Während die Industrie für technische Cyberattacken entsprechende Gegenmassnahmen wie Firewalls und AV-Lösungen in petto hat, fehlen diese gänzlich, wenn es um diese psychologischen Attacken geht. Eine mögliche Gegenmassnahme könnte gemäss Vignati darin bestehen, kritisches Denken in Schulen zu unterrichten - und zwar schon früh. "Wir müssen die Menschen mental schulen und ihnen beibringen, sich selbst zu verteidigen, denn sie sind das Ziel dieser Art der Kriegsführung", sagte Vignati.

Liveschaltung in die Ukraine

Zu den Highlights im Programm gehörte eine Live-Schaltung zu Yurii Myronenko, Head of the State Service of Special Communcations and Information Protection der Ukraine. Zunächst bedankte er sich für die Unterstützung, die die Ukraine in diesen "herausfordernden Zeiten" von der Schweiz erhalte. Anschliessend zeigte er in seiner Präsentation auf, womit die Ukraine im Cyberraum derzeit zu kämpfen hat. 

Yurii Myronenko, Head of the State Service of Special Communcations and Information Protection der Ukraine. (Source: Netzmedien)

Myronenko geht davon aus, dass 2024 ein hartes Jahr werden wird in Sachen Cyberkrieg. In den ersten beiden Monaten des neuen Jahres habe die Ukraine bereits zweimal so viele Cybervorfälle registriert wie in der Vergleichsperiode im Vorjahr. 2023, erklärte er, sei die Anzahl Attacken zwar gestiegen, die Anzahl kritischer und schwerwiegender Vorfälle ging jedoch um 65 Prozent zurück. Die meisten Attacken im Jahre 2023 zielten auf öffentliche Einrichtungen ab. Darauf folgten der Sektor "Security & Defense", die Stromversorgung und schliesslich der Bereich "Telko & ISP".

10 Prozent der Angriffe kommen gemäss Myronenko von feindlichen militärischen Hackern - dazu gehören Organisationen wie etwa Armageddon, Sandworm und APT28, die Teil des russischen Militärs sind. "Wir wissen, woher die Attacken kommen und wer die Befehle dafür erteilt", sagte er.

Was die Schweizer Armee im Cyberbereich macht

Diego Schmidlin, der CISO des Kommando Cyber der Schweizer Armee, sprach auf der Hauptbühne über die Cyberkompetenzen der Schweizer Armee und das geopolitische Umfeld. Die globale Vernetzung nimmt zu, gleichzeitig streben bestimmte Nationen eine neue, multipolare Weltordnung an, erklärte Schmidlin. "Die regelbasierte Sicherheitsordnung gerät zunehmend unter Druck." Namen nannte er zwar keine, hinter ihm, auf einem Slide seiner Powerpoint-Präsentation, waren jedoch deutlich zu sehen: US-Präsident Joe Biden, der russische Präsident Wladimir Putin und Xi Jinping, der Staatspräsident der Volksrepublik China.

Diego Schmidlin, der CISO des Kommando Cyber der Schweizer Armee. (Source: Netzmedien)

Die Schweizer Armee digitalisiere sich derzeit ebenfalls, sagte der CISO. So baut sie etwa zwei neue Rechenzentren. "Das gibt uns die Grundlage, grosse Datenmengen schnell zu verarbeiten und die richtigen Entscheidungen zu treffen", sagte Schmidlin. "Wir tun auch etwas gegen den Fachkräftemangel", sagte er. Mit verschiedenen Angeboten bildet die Armee nicht nur Cybersoldaten aus, sondern hilft auch Quereinsteigern etwa beim Thema SOC (in Zusammenarbeit mit der Swisscom, der Post, der SBB und der HSLU). Davon profitiert auch die Wirtschaft. 

Cybersecurity und Risiken im Weltraum

Eine etwas breitere Perspektive vermittelte Thomas Zurbuchen: Bei ihm ging es nämlich um Cybersecurity im Weltraum. Der Professor leitet seit August ETH Zürich Space; davor, von 2016 bis 2022, verantwortete er die Forschung der US-Weltraumbehörde NASA. 

Cybersecurity ist für ihn ein zweispuriges Thema. Einerseits beschäftigt er sich mit der zunehmenden Bewaffnung des Weltraums. Dies ist spätestens seit 2007 ein Thema, als die chinesische Regierung demonstrierte, dass sie einen Satelliten zerstören kann. Somit seien Satelliten, die für GPS, Wettervorhersagen und zur Forschung und Kommunikation genutzt werden, nicht mehr sicher. Heutzutage arbeiten Staaten auch daran, Satelliten mit anderen Satelliten zu attackieren.

Andererseits ging er in seiner Präsentation auch auf die Cybersecurity der NASA ein. Die US-amerikanische Luft- und Raumfahrtbehörde habe lange Mühe mit dem Thema gehabt. 2018 etwa wurde NASAs Jet Propulsion Lab gehackt. Heute sitze der Cybersecurity-Experte bei jeder Entscheidung am Tisch. Cyber wurde somit Teil der Diskussion - genauso wie Engineering-Risiken, Gesundheitsrisiken, Kostenrisiken und alle anderen.  

Thomas Zurbuchen von der ETH Zürich. (Source: Netzmedien)

"Der Trick besteht darin, die Risiken auf die richtige Weise einzugehen", sagte Zurbuchen. Schliesslich ist die Raumfahrt ein Business, in dem es genau darum geht, Risiken einzugehen. Das bedeute aber nicht, dass man einfach Risiken eingehen sollte. Stattdessen solle man diejenigen Risiken eingehen, die zum Erreichen bestimmter Ziele notwendig sind. 

Das Motto der Nasa sei diesbezüglich, dass zwar eine Person entscheidet, aber diese hört auf alle. "Wenn Sie als Geschäftsführer eines Unternehmens alle Entscheidungen selbst treffen, nutzen Sie Ihr Unternehmen nicht." Und deshalb sitzt der Cybersecurity-Experte bei der NASA ebenfalls am Tisch, wenn etwas entschieden wird. 

Wie Google Zero-Day-Exploit schwieriger macht

Die Referenten und Referentinnen kamen nicht nur aus Regierungs- und Forschungskreisen. Auch die Privatwirtschaft erhielt Zeit auf der Bühne. So sprach etwa Natalie Silvanovich, Team Leader Project Zero (North America) bei Google, über Zero-Day-Schwachstellen. Also Schwachstellen in Softwareprodukten, von denen die Cyberabwehr noch nichts weiss.

Derartige Schwachstellen werden oft von Cyberkriminellen ausgenutzt, um hochrangige Ziele zu attackieren. Entsprechend werden sie gemäss Silvanovich mehrheitlich zielgerichtet eingesetzt.  Googles Project Zero hat die Absicht, es den Cyberkriminellen möglichst schwierig zu machen, Zero Days auszunutzen. 

Zu diesem Zweck schaut das Google-Team Software mit denselben Augen an, wie Cyberkriminelle es tun, um die Schwachstellen möglichst vor ihnen zu finden - nicht nur in den eigenen Produkten. Bisher habe Googles Project Zero bereits über 2000 Sicherheitslücken gemeldet. Das ist aber nur ein Teil der Arbeit. Das Team versucht auch, strukturelle Verbesserungen bei Entwicklern zu implementieren. "Es gibt Massnahmen, die eine Ausnutzung von Schwachstellen erschweren können", sagte Silvanovich. "Und wir ermutigen Entwickler, diese Features einzubauen."

Natalie Silvanovich, Team Leader Project Zero (North America) bei Google. (Source: Netzmedien)

Ein Beispiel dafür sei MTE - dieser sorge dafür, dass Memory-Corruption-Bugs deutlich schwieriger auszunutzen sind. Ferner sei es auch sinnvoll, wenn Entwickler nach Varianten bekannter Bugs suchen würden. Denn rund 40 Prozent der ausgenutzten Zero Days seien Variationen bekannter Sicherheitslücken. Mit Code Reviews und ausführlichen Tests könne man einen Grossteil dieser Bugs beseitigen. "Die IT ist nur so sicher, wie wir sie machen", sagte sie. "Gemeinsam können wir die Sicherheit unserer Technologie gewährleisten."

Die SCSD 2024 fanden am 20. und 21. Februar statt. Gemäss Doris Fiala besuchten 2200 Personen die Konferenz und die dazugehörige Messe. Das Datum für die nächste Ausgabe steht bereits fest: Die SCSD 2025 werden nächstes Jahr am 18. und 19. Februar wieder in der Bernexpo stattfinden.