Massnahmen gegen Cyberangriffe auf die zivile Bundesverwaltung

Ein Blick in den aktuellen Halbjahresbericht der Melde- und Analysestelle Informationssicherung (Melani) zeigt: Cyberkriminelle verfügen über eine ganze Reihe von Instrumenten und Methoden, mit denen sie versuchen, an Daten oder Geld ihrer Opfer zu kommen. Dabei verursachen sie grossen Schaden, etwa wenn sie mit einer Ransomware die Dateien ihrer Opfer verschlüsseln. Solche Attacken betreffen nicht nur Einzelpersonen, sondern Unternehmen und Organisationen jeder Grösse – auch in der Schweiz.

Das Computer Security Incident Response Team – kurz CSIRT – des Bundesamts für Informatik und Telekommunikation (BIT) hat die Aufgabe, solche Angriffe zu erkennen und die IT-Infrastruktur der zivilen Bundesverwaltung durch geeignete Massnahmen zu schützen.

Mit Expertise und Führung durch das CSIRT ist es dem BIT durch einen Mix an Massnahmen gelungen, die Anzahl der Sicherheitsvorfälle, bei denen PCs von Mitarbeitenden der Bundesverwaltung infiziert wurden, massiv zu verringern. Dabei hat sich das CSIRT auch an den Empfehlungen des Australian Cyber Security Centres orientiert. Die Australier leisten auf dem Gebiet der Cybersicherheit hervorragende Arbeit. Sie bewerten laufend verschiedene Massnahmen zum Schutz von IT-Infrastrukturen bezüglich Aufwand, Kosten und Nutzen. Aktuell empfehlen sie acht essenzielle Massnahmen als minimale Best Practice im Bereich der IT-Sicherheit ("Essential Eigth").

Erfolgreiches Application Whitelisting

Eine dieser empfohlenen Massnahmen ist das Application Whitelisting. Das CSIRT hat 2015 dessen bundesweite Einführung initiiert und massiv unterstützt. Dabei geht es grundsätzlich darum, einen Regelsatz für alle Anwendungen zu erstellen, die berechtigt sind, auf den Computern der Benutzer ausgeführt zu werden. Dazu musste im BIT initial ein umfangreiches Portfolio an Anwendungen geprüft und auf die Whitelist gesetzt werden. Wenn eine Anwendung auf einem Computer gestartet wird, erfolgt automatisch eine Prüfung gegen die Whitelist. Ist die Software nicht (oder nicht korrekt) gelistet, wird sie an der Ausführung gehindert. Der Nutzen dieser initial relativ einfach umgesetzten Massnahme ist gross. Kurz nach der Einführung wurden Phishing-Mails, insbesondere für Ransomware-Angriffe, im grossen Stil versendet – auch an Mitarbeitende der Bundesverwaltung. Dank des Application Whitelistings kann schädlicher Code, der etwa durch das Klicken auf einen Link oder das Öffnen von präparierten Anhängen heruntergeladen wird, nicht auf den Computern ausgeführt werden. Das war mit ein Hauptgrund, dass die zivile Bundesverwaltung von den grossen Ransomware-Wellen seit der Einführung des Application Whitelistings kaum betroffen war.

Das Application Whitelisting ist seit 2015 eine wichtige präventive Massnahme, die das CSIRT Schritt für Schritt verfeinert hat. Mittlerweile ist es beispielsweise auch nicht mehr möglich, dass Mitarbeitende Portable Apps auf ihren Rechnern ablegen und ausführen.

Sicherheits-Updates so schnell wie möglich einspielen

Eine weitere Massnahme, die das CSIRT immer im Fokus hat, ist das Patch Management. Sobald Sicherheits-Updates verfügbar sind, müssen diese für alle Anwendungen – sei es das Betriebssystem, Server, Middleware etc. – zeitnah eingespielt werden. Das ist keine überraschende Erkenntnis. Aber die Erfahrung aus früheren Sicherheitsvorfällen zeigt, warum bei neuen Updates schnell reagiert werden muss: Auch Cyberkriminelle verfolgen die Veröffentlichung von Sicherheits-Updates genau. Durch Reverse Engineering versuchen sie herauszufinden, welche Sicherheitslücken geschlossen wurden. Wenn das gelingt, was in der Vergangenheit teils innert Stunden passiert ist, sind alle alten Versionen der betroffenen Anwendung durch die entwickelten Exploits verwundbar.

Es ist also essenziell, dass aktuelle Softwareversionen installiert sind. Bei den durch das BIT bewirtschafteten Anwendungen werden Updates zentral eingespielt. Es gibt aber auch dezentral bewirtschaftete Software. Diese ist schwieriger zu managen. Im Rahmen des Programms APS2020 (Wechsel auf Windows 10 und Office 2016) hat das BIT auch bei diesen Anwendungen eine Bereinigung vorgenommen und für die neue Betriebssystemversion nur noch die neusten Versionen paketiert.

Ein Hauptangriffsvektor sind sicher die Arbeitsplatzsysteme. Aber auch die Webanwendungen des Bundes gilt es im Blick zu behalten. Hier ist eine Schwierigkeit, dass die Infrastruktur wie Server, Storage, Datenbank und Middleware vom BIT betrieben wird, die Webanwendungen selbst aber oft von den Leistungsbezügern (Hosting). Die einzelnen Komponenten haben teils grosse Abhängigkeiten, die es beim Einspielen von Updates zu berücksichtigen gilt. Ein System ist nur sicher, wenn alle Komponenten es sind. Eine Chance, in diesem Bereich schneller und abgestimmter Updates auszurollen, ist die Betreuung von Anwendungen in DevOps-Teams. Durch den Einbezug der Partner und die gemeinsame Verantwortung für Entwicklung und Betrieb können auch Sicherheits-Updates rascher erfolgen.

Mehr Zeit für Analyse und Austausch mit Partner­organisationen

Application Whitelisting und Patch Management sind präventive Massnahmen. Je weniger Sicherheitsvorfälle bereinigt werden müssen, desto mehr Zeit bleibt dem CSIRT für proaktive Verbesserungen und die Weiterentwicklung der eigenen Mittel und Methoden, insbesondere im Bereich der Detektion. Die beste Prävention kann nicht verhindern, dass die Infrastruktur kompromittiert wird. Darum gilt es, solche Ereignisse so schnell wie möglich zu entdecken. Dabei sind Log- und andere Randdaten essenziell: Bei einem Vorfall ist es wichtig, rasch herauszufinden, was passiert ist. Auch hier hilft das Application Whitelisting: Wenn eine Malware versucht zu starten und dank Application Whitelisting gestoppt wird, generiert das wertvolle Logdaten, die das CSIRT zur Analyse nutzen kann.

Die Analyse gibt dem CSIRT wichtige technische Informationen über Werkzeuge und Vorgehensweisen von Cyberkriminellen (in der Security-Community "Indicators of Compromise" genannt). Solche Informationen behält das CSIRT nicht für sich, sondern teilt sie aktiv mit weiteren IT-Sicherheitsorganisationen, etwa dem GovCERT (Swiss Governmental Computer Emergency Response Team). GovCERT/Melani teilt diese wiederum mit weiteren Organisationen: Das können staatliche Partnerorganisationen in der Schweiz oder im Ausland sein, aber insbesondere auch IT-Sicherheitsorganisationen aus dem Privatsektor der Schweiz. Denn je mehr Wissen die IT-Sicherheitsspezialisten über die Angreifer haben, desto besser können sie deren Angriffe erkennen und desto rascher können sie darauf reagieren.