Die Champions League der Hacker hackt nicht!
"Warum ein Software-Hack, wenn es via Hardware doch einfacher geht?" – lautet wohl die aktuelle Frage bei der Cyberkriminalität. Einen Software-Hack aufzudecken, ist unwahrscheinlich und mit grossen Aufwänden und Know-how verbunden. Wie steht es aber um die fixen Hintertüren, die in Hardware verbaut sind? Und wo steht die Schweiz in Sachen Schutz vor diesen systematischen Manipulationen?
Die Schweiz kann sich den aktuellen Cyberrisiken nicht entziehen und muss für folgende Probleme Lösungen finden: Erstens, dass das Hacken nicht so effektiv ist, wie einen Hack zu verbauen. Diese Hacks sind noch schwieriger zu entdecken und können nicht bloss per Update gelöst werden, da sie fix verbaut sind. Zweitens haben Hersteller meist nicht die gesamte Produktion im Blick, was bedeutet, dass etwa Zulieferer von Einzelteilen die Hardware manipulieren können. Drittens kann man sich nur mit hohem Aufwand vor Manipulationen auf einem Chip schützen; das Zauberwort heisst Reverse Engineering. Nur, wer macht das? Viertens haben weder die Schweiz noch Europa weltweit eine Relevanz in der Chipherstellung. Und nicht zuletzt ist das Bewusstsein für diese Gefahr aktuell inexistent!
Es wird nicht gehackt, es wird via Hardware manipuliert
Die Hardware zu manipulieren ist clever und schlagkräftig. Ein Hardware-Hack kann aber nur verbaut werden, wenn kriminelle Energie, Einfluss, Machtpolitik, grosse Geldmengen und Know-how vorhanden sind. Deshalb gilt die Vermutung, dass solch bewusste Hardwareanpassungen meist staatlich beeinflusst sind. Früher hatte man Spione, heute manipuliert man Computerchips und kann damit Geräte zerstören oder ganze Systeme sabotieren. Vor einigen Tagen konnte man von Unterstellungen gegenüber Huawei (China) lesen, bewusst Hardwareanpassungen vorzunehmen. Bereits gibt es Länder wie die USA, die gewisse Hersteller nicht mehr berücksichtigen. Ein chinesischer Chip in einer Atomraketenabschussanlage wird vermieden. Swisscom arbeitet mit Huawei zusammen. Natürlich gilt die Unschuldsvermutung. Doch, hat die Schweiz nicht ein Interesse daran, dass die Komponenten, die in ihren sehr kritischen Infrastrukturen (Atomkraftwerke, Landesversorgung, Landessicherheit) verbaut werden, sicher sind?
Herausforderungen Supply Chain Security und Reverse Engineering
Für Hersteller ist es fast unmöglich, die ganze Wertschöpfungskette im Blick zu haben und zu schützen. Komponenten, die von Dritten hergestellt werden, können nur schlecht überprüft werden. Auch bei Transport und Wartung durch Dritte besteht die Gefahr, dass ein Hack verbaut wird. Denn, mit manipulierter Hardware erzielt der Angreifer relativ einfach den grössten Erfolg und wird höchstwahrscheinlich nicht erwischt. Einzige Möglichkeit, das Verbrechen im Zaum zu halten, ist Reverse Engineering. Dabei wird das Produkt in seine Einzelteile zerlegt und die Funktionalitäten werden rückwärts analysiert. Dabei ist klar: Alles, was nicht der Funktion entspricht, ist manipuliert.
Kommission "Cyber Security" übernimmt den schweizweiten Lead
Gerade beim Schutz der Landesverteidigung, bei zivilen und kritischen Infrastrukturen ist es fünf vor zwölf! Die Schweiz braucht in diesem Bereich dringend mehr Kooperation und Schlagkraft. Deshalb will die von ICT-Switzerland neu gegründete Kommission "Cyber Security" schweizweit den Lead übernehmen. Die Kommission ist breit abgestützt durch Wirtschaft, Verwaltung, Verbände und Wissenschaft. Sie bündelt Kompetenzen in der Erkennung und Abwehr von Cyberrisiken. Es ist noch nicht zwölf ... Jetzt muss sich die Schweiz aber für die Zukunft rüsten!