So sicher ist das Internet in der Schweiz

Switch hat am 5. Februar über die Bekämpfung von Cybercrime und den Sicherheitszustand des Schweizer Internets informiert. Die Veranstaltung fand im Zürcher Sitz von Switch in der Nähe des Stauffacherplatzes statt.

Stellvertreterkriege und lähmender Föderalismus

Martin Leuthold, Bereichsleiter Security & Network, referierte über Switch-Cert, Switchs Computer Emergency Response Team (Cert). Es bestehe aus 15 Spezialisten, was im internationalen Vergleich viel sei. Das Team schütze die Schweizer Internetgemeinde vor Gefahren. Davon würden nicht nur Firmen und Banken, sondern alle Inhaber von .ch- und .li-Domains profitieren.

Switch betreibe das Domain Name System sowie einen Backbone mit über 250'000 aktiven Geräten. Das zweite Cert in der Schweiz sei Melani, die Melde- und Analysestelle Informationssicherung des Bundes.

Leuthold zeigte folgende Folie:

Im Digital.Swiss-Index schneide die Schweiz bei der Sicherheit nicht gut ab. Der Wert sei aber wohl zu negativ dargestellt. Ein Grund für die tiefe Bewertung könnte der Schweizer Föderalismus sein, sagte Leuthold. Dass es in der Schweiz so viele Player gebe, die beim Thema Cybersicherheit mitreden, erschwere Kooperationen.

Einige der Player im Schweizer Markt für Cybersecurity. Quelle: Präsentation von Switch

Die 1. Nationale Cyber Strategie 2012-17 sei nicht schlecht gewesen, sagte Leuthold. Die Schweiz habe sich damals als eines der ersten Länder eine Strategie für Cyber- und Informationssicherheit verpasst. Und Melani habe die Aktivitäten gut koordiniert. Der Koordinationsstelle habe aber die Führungs- und Weisungskompetenz gefehlt. "Es bringt halt wenig, wenn 20 verschiedene Stellen in der Bundesverwaltung Massnahmen umsetzen und diese nicht vernetzen", sagte Leuthold.

Die 2. Nationale Cyber Strategie 2018-22, bei der Leuthold Mitglied der Arbeitsgruppe war, habe ebenfalls einen guten strategischen Rahmen gesetzt. Die Zielgruppe der Massnahmen sei auf KMU und die Bürger erweitert und Melani gestärkt worden. Die Strategie betone die Eigenverantwortung, was sinnvoll sei.

Die Vision der 2. Nationalen Cyber Strategie 2018-22. Quelle: admin.ch.

"Es ist eine bodenlose Frechheit gegenüber dem Steuerzahler, wenn der Chef von Axa fordert, dass sich die öffentliche Hand an der Deckung von durch Cyberrisiken verursachte Schäden beteiligen soll", sagte Leuthold. Axa-CEO Thomas Buberl verlangte im März 2018 eine ähnliche Aufteilung der Kosten wie bei Kernkraftwerken. Da endet die Deckungspflicht der Versicherer bei 1,2 Milliarden Euro.

Leider gehe die Umsetzung der Strategie viel zu lange, sagte Leuthold. Dass Ueli Maurer Chef eines Mr. oder einer Mrs. Cyber werden soll, sei zwar gut. Mittel habe der Bund dafür aber keine gesprochen. Leuthold ging zudem auf die Massnahmen gegen Huawei ein. Er sprach von einer "Hexenjagd" und von einem "Stellvertreterkrieg" und wies darauf hin, dass die NSA ebenfalls Hardware manipuliere, etwa von Cisco. "Die Amerikaner sind keinen Deut besser als andere Staaten."

Malware, Phishing und missbräuchliche Onlineshops

Wie sicher ist das Internet in der Schweiz? Diese Frage klärte Michael Hausding, Switchs Experte für Domain-Missbrauch. Im Interview mit der Redaktion erklärt er zudem, wie Switch mit den Behörden und Registraren kooperiert.

Hausding zeigte folgende zwei Folien:

Während .ch- und .li-Domains immer weiger Malware verbreiten, griff Switch bei Phishing-Fällen im vierten Quartal 2018 so oft wie noch nie ein. Der Anstieg begründe sich damit, dass Switch begonnen habe, stärker gegen Phishing vorzugehen. So wie das Artikel 15 der Verordnung über Internet-Domains (VID) vorsehe. Er erlaubt es, Attacken auf Websitebesucher in der Schweiz zu unterbinden. Switch beschreibt die VID als "Herzstück im Kampf gegen die Internetkriminalität in der Schweiz".

2016 schaltete Switch laut Hausding ausserdem rund 700 missbräuchliche Onlineshops ab. 2017 seien es bereits 6100 gewesen, 2018 sogar 6400. Mehr über die Abschaltung der Domains können Sie hier lesen.

Standards für mehr Sicherheit: Schweiz im Hintertreffen

Switch nannte noch weitere Zahlen zur Web- und E-Mail-Sicherheit in der Schweiz. Die Stiftung griff unter anderem auf das Portal hardenize.com zurück, das Daten für die 500 Top-Domains weltweit erfasst. So ergab sich folgender Vergleich:

• Global nutzen 97 Prozent der Websites HTTPS, bei den .ch-Domains sind es nur 91 Prozent.

• Global nutzen 74 Prozent der Websites eine HTTPS Redirection, bei den .ch-Domains sind es nur 65 Prozent.

• Global nutzen 40 Prozent der Websites HSTSS, bei den .ch-Domains sind es nur 26 Prozent.

• Global nutzen 8 Prozent der Websites HSTS Preload, bei den .ch-Domains sind es nur 2 Prozent.

• Global nutzen 91 Prozent der Websites StartTLS für E-Mails, bei den .ch-Domains sind es ebenfalls 91 Prozent.

• Global nutzen 89 Prozent der Websites SPF für E-Mails, bei den .ch-Domains sind es nur 75 Prozent.

• Global nutzen 56 Prozent der Websites DMARC für E-Mails, bei den .ch-Domains sind es nur 13 Prozent.

• Global nutzen 1 Prozent der Websites DANE für E-Mails, bei den .ch-Domains sind es ebenfalls 1 Prozent.

• Global nutzen 11 Prozent der Websites DNSSEC, bei den .ch-Domains sind es nur 3 Prozent.

In der Schweiz seien vor allem die Bundesbehörden vorbildlich, sagte Hausding. 100 Prozent der Behörden-Websites würden HTTPS, HTTPS Redirection und StartTLS nutzen, 67 Prozent SPF und 33 Prozent HSTS. HSTS Preload, DMARC und DANE nutzen die Websites d/er Behörden in der Schweiz hingegen noch nicht.

Im Hintertreffen ist die Schweiz bei Domain Name Security Potential: Nur 3 Prozent der untersuchten .ch-Domains nutzen DNSSEC. In den skandinavische Ländern seien es rund 50 und in den Niederlanden fast 70 Prozent. Europaweit liege die Schweiz im hinteren Mittelfeld, sagte Hausding.

Weitere Daten von Switch sind auf hardenize.com einsehbar. Auf der Website gibt es zudem Vergleichsdaten aus Schweden und Daten für die globalen Top-500-Domains.

Kooperationen über die Grenze hinaus

Besonders wichtig für Switch seien Kooperationen, sagte Leuthold. Man arbeite nicht nur mit Melani zusammen, sondern auch mit dem Fedpol und allen Schweizer Behörden im Rahmen ihrer Zuständigkeit. Unter anderem den Kantonspolizeien, der Eidgenössischen Finanzmarktaufsicht Finma, Swissmedic, der interkantonalen Lotterie- und Wettkommission Comlot, dem Staatssekretariat für Wirtschaft Seco und der Eidgenössische Spielbankenkommission.

Kooperationen von Switch. Klicken Sie hier, um das Bild in einer grösseren Auflösung zu sehen. Quelle: Präsentation von Switch

Switch kooperiere zudem mit Behörden in Deutschland und Österreich. Und mit Firmen und Verbänden wie Kudelski, ICTSwitzerland und Asut. "Viele weitere Partnerschaften dürfen wir nicht offenlegen, da sie vertraulich sind", sagte Leuthold.

Ein Beispiel für eine sehr gut funktionierende Zusammenarbeit sei der Domain-Abuse-Prozess. Switch arbeite dafür mit Melani, dem Fedpol und dem Bakom zusammen. Wie die Löschung von betrügerischen Onlineangeboten abläuft, erfahren Sie in diesem Artikel. Geschäftsführer Andreas Dudler und Switchs damaliger IT-Sicherheitsleiter Serge Droz erzählten der Redaktion ausserdem, wie die Stiftung es schaffte, über eine Million .ch-Domains zu migrieren.

Netzwerk für Schweizer Hochschulen

Switch betreibt ausserdem das Netzwerk SWITCHlan, das sich über 2900 Kilometer erstreckt und Hochschulen in der Schweiz verbindet. Ein Grossteil der Glasfasern mietet die Stiftung von den SBB. Im Angebot stehen redundante IP-Anschlüsse, Punkt-zu-Punkt-Verbindungen und Mehrpunkt-Netzwerke sowie private optische Verbindungen. SWITCHlan startete 1989 mit einer Bandbreite von maximal 128 Kbit/s. Heute sind mit dem Netzwerk bis zu 100 Gbit/s möglich.

Laut Michael Breitenmoser ist es nicht selbstverständlich, dass Hochschulen auf das SWITCHlan setzen. "Sie haben heute viele Optionen", sagte Switchs Teamleiter Marketing & PR in Zürich. "Die Hochschulen könnten auch andere Netzprovider nutzen." Switch entwickle sein Angebot darum kontinuierlich weiter. "Wir müssen am Ball bleiben und innovative Produkte anbieten."

SWITCHlan im Überblick. Klicken Sie hier, um das Bild in einer grösseren Auflösung zu sehen. Quelle: Präsentation von Switch.

Weitere Kernkompetenzen von Switch sind Sicherheit, Trust und Identity. Die Stiftung führt zudem die Registry für .ch- und .li-Domains. Des Weiteren bietet sie Dienstleistungen in den Bereichen Infrastruktur und Datenservices, Digital Solutions und Coordination, Procurement, Collaboration und Video-Management an.