"Sicherheit wird in den meisten Fällen im Nachhinein eingearbeitet"

Herr Bütler, welcher öffentlich bekannte Cyberangriff hat Sie zuletzt am meisten überrascht?

Die Ergebnisse des Mandiant-Reports haben mich überrascht. Der gleichnamige IT-Sicherheitsanbieter hat Beweise vorgelegt, dass die Regierung Chinas seit Jahren für Wirtschaftsspionage und Hackerangriffe auf die USA und andere Staaten verantwortlich sein soll. Auch die Schweiz wurde aktiv durch eine Spezialeinheit observiert und gehackt.

Solche Geschichten sind nicht grundsätzlich neu.

Man muss zwischen Mutmassungen und beweisbaren Begründungen unterscheiden. In diesem Fall konnte man die Angriffe hieb- und stichfest nachweisen. Das ist das Neue daran.

Und was gibt es für Trends bei nicht öffentlich bekannt gewordenen Angriffen?

Die Schadensfälle, zum Beispiel aufgrund des Einschleusens von E-Banking-Trojanern, nehmen immer grössere Ausmasse an. So belief sich die Höhe der Schadensumme mittels Phishing zwischen 10 000 und 15 000 Franken pro Angriff. Mir ist nun jedoch ein Fall bekannt, bei dem jemand über 100 000 Franken verloren hat. Dabei konnten die Angreifer mehrere Geräte unter ihre Kontrolle bringen, also Computer und Handys. Dann bringt die Zwei-Faktor-Authentifizierung nichts mehr.

Das heisst, es braucht noch mehr Stufen? Oder gar gänzlich neue Ansätze?

Die SMS-Signatur ist nur so lange gut, solange das Handy nicht gehackt ist. Je mehr Funktionen die Handys oder eben unterdessen die Smartphones haben, desto mehr sind diese gefährdet, und man muss umdenken und auf kryptographisch gesicherte Methoden setzen. Zum Beispiel auf Systeme, bei denen am Bildschirm ein Code, der Informationen für die Zahlung enthält, angezeigt wird. Diesen für Angreifer nicht manipulierbaren Code kann der Nutzer mit einer App scannen. Empfehlen kann ich ausserdem, für Banking-Angelegenheiten einen isolierten PC zu nutzen. Also keinen, an dem Kinder spielen oder in Social-Media-Plattformen aktiv sind.

Wie beurteilen Sie denn das Sicherheitsniveau von Schweizer Websites insgesamt?

Als ungenügend. 75 Prozent der Websites weisen Schwachstellen auf gemäss den OWASP-Top-10-Sicherheitsrichtlinien. (Dabei handelt es sich um eine einschlägige Liste mit den häufigsten Schwachstellen in Websites, die Red.)

Woran liegt das?

Sicherheit wird in den meisten Fällen im Nachhinein eingearbeitet. Der Fokus liegt während der Erstellung von Software auf der Usability und Features. Das ist eine Frage des Mindsets.

Wie aktuell ist die OWASP-Liste eigentlich?

Es gibt jedes zweite Jahr ein Update. Wenn ich die aktuelle Rangliste betrachte, sehe ich, dass sich in den vergangenen Jahren unter den ersten Fünf nicht viel verändert hat. Injections, gehacktes Authentifizierungsmanagement, Cross-Site Scripting, falsch konfigurierte Security und sogenannte unsichere direkte Objektreferenzen gehören nach wie vor zu den meistgenutzten Sicherheitslücken. Erwähnenswert ist, dass auf den nachfolgenden Plätzen vorwiegend Sicherheitslücken im Zusammenhang mit Web 2.0 dazugekommen sind.

Welche Prioritäten sollten die CIOs denn angesichts der heutigen Lage setzen?

Sie müssen Prozesse etablieren, die eine sichere Programmierung von Software gewährleisten. Zum anderen sollten sie die Server im Griff haben und – Stichwort Incident Management – eine Organisation für Notfallszenarien bereit haben.

Wie gut läuft denn eigentlich das Geschäft mit der Sicherheit im Web?

Sicherheit gewinnt an Bedeutung. Aufgrund der iPhones, Androids & Co. sowie der Diskussion über Cyber-Defense-Themen ist der Bedarf höher, die Risiken kennenzulernen. Davon leben wir letztlich. Wir sind ausserdem daran, unsere Dienstleistungen international zu etablieren und haben in diesem Jahr in Berlin einen Standort eröffnet. Zudem haben wir unterdessen ein Büro in Bern.

Wie steht es mit dem Cyber-Nachwuchs?

Nach dem Vorbild von Österreich hat auch die Schweiz unter dem Patronat von Melani und Swiss Police ICT damit begonnen, Nachwuchskräfte für die Cyber Defense zu rekrutieren und auszubilden. Dieses Jahr messen sich ausserdem die besten Security-Cracks der beiden Länder im Hacking-Lab. Darauf freuen wir uns sehr.

Wie muss man sich das vorstellen?

Schüler und Studenten lösen online im Hacking-Lab sogenannte Challenges. Das sind Cyberrätsel, wofür die Teilnehmer Punkte erhalten und bewertet werden. Die Onlinequalifikation ist noch nicht abgeschlossen. Man kann sich unter www.hacking-lab.com noch bis Ende Mai dafür registrieren und qualifizieren.