Swiss Cyber Security Days 2020

Die Schweiz tut viel für Cybersicherheit, und hat doch ein grosses Problem

Uhr

An den zweiten Swiss Cyber Security Days haben die öffentliche Hand und private Unternehmen gezeigt, was sie tun, um die IT sicherer zu machen. Doch spätestens beim Blick auf die über 50'000 Schwachstellen in Schweizer Servern wurde klar, dass noch einiges im Argen liegt.

70 Referenten aus aller Welt, 120 Aussteller und 2700 Besucher – 20 Prozent mehr als letztes Jahr. Die Organisatoren der zweiten Swiss Cyber Security Days (SCSD) sind zufrieden, wie sie in einer Mitteilung schreiben. Am 12. und 13. Februar trafen sich Experten und Unternehmen aus dem Bereich der Cybersicherheit im Forum Fribourg. In der Schweiz herrsche derzeit ein Mangel an Fachkräften, sagte Nationalrätin Doris Fiala, Präsidentin der diesjährigen SCSD in ihrer Eröffnungsansprache – etwa 40'000 Experten fehlten der Schweiz. "Ausbildung und Innovation – das ist, was wir in dem Zusammenhang noch vermehrt brauchen." Sie sei froh, dass die Konferenz dieses Jahr einen Schwerpunkt auf diese Themen lege.

Wissen teilen und weitergeben

Welche Ausbildungsmöglichkeiten die Cyberexperten von Morgen haben, konnte man im "Education- und Innovation-Pavillon" entdecken, den die SCSD zum ersten Mal anbot. Rund 300 Studierende kamen dort mit Schweizer Hochschulen in Kontakt. Armeechef Thomas Süssli verwies in seiner Keynote auf den Cyberlehrgang, den das Militär derzeit zum dritten Mal anbietet: Während jeder "Cyber-RS" bildet die Armee nach einem aufwändigen Auswahlverfahren 20 Experten aus. Das Militär wolle ein Cyberbataillon aus Abgängern dieses Lehrgangs und zusätzlichen Milizangehörigen aufbauen. Zudem erwähnte er den letztes Jahr eröffneten Cyber Defence Campus, eine gemeinsame Plattform von Armee, Wirtschaft und Hochschulen. "Die wichtigste Waffe gegen Cyber ist das Netzwerk – und ich meine nicht das IT-Netzwerk", fasste Süssli zusammen. Lesen Sie hier mehr über den "Cyber Defense Campus" der Armee.

Armeechef Thomas Süssli spricht in seiner Keynote über die "Cyber-RS". (Source: Netzmedien)

Auch Daniel Nussbaumer, Leiter der Abteilung Cybercrime der Kantonspolizei Zürich, war die Vernetzung verschiedener Akteure ein Anliegen. Nussbaumer leitet das interkantonale polizeiliche Netzwerk NEDIK, welches vor eineinhalb Jahren gegründet wurde. Diverse regionale Polizeicorps sowie das Bundesamt für Polizei (Fedpol) sind darin vertreten, teilen Wissen und Ressourcen. So übernehme etwa der Kanton Bern die Koordination aller Präventionskampagnen, während die Romandie eine Datenbank zur Erfassung aller Cybervorfälle unterhält. Die wichtigste Aufgabe des Netzwerkes sei aber, Fälle zusammen zu lösen und sich gegenseitig zu unterstützen. Cyberkriminalität finde unabhängig von Kantonsgrenzen statt, und das polizeiliche Netzwerk ermögliche, auch die Strafverfolgung über diese Grenzen fortzuführen.

Dreiste Betrüger, ausgeklügelte Software

Daniel Nussbaumer gab auch einen Überblick über die digitalen Fälle, welche die Schweizer Polizeicorps besonders oft beschäftigen. Grundsätzlich unterscheide man zwischen Cybercrime und digitaler Kriminalität. Cybercrime beinhalte gezielte Hackerangriffe auf Computer, während digitale Kriminalität eigentlich "altbekannte" Verbrechen bezeichnet, die jetzt mit modernen Technologien verübt werden. Letztere halten die Polizei deutlich häufiger auf Trab als Cybercrime im engeren Sinne, sagte Nussbaumer.

Die meisten digitalen Verbrechen fallen in den Bereich der Wirtschaftskriminalität und seien Formen des Betrugs: Getrickst werde zum Beispiel in Onlineshops. Hier nutzten die Kriminellen stets neue Methoden, um Leute übers Ohr zu hauen. Häufig seien aber auch Fälle von CEO-Fraud: Via gefälschter E-Mails gibt sich ein Fremder als Chef eines Unternehmens aus und bittet seine Mitarbeiter darum, Firmengelder zu überweisen. Die verschickten Mails seien immer schwerer als Fälschung zu erkennen, sagte der Cyberpolizist. Zudem fangen die Betrüger neuerdings an, auch telefonisch bei den Mitarbeitern nachzuhaken.

Auch im Cybercrime werden die Hacker zunehmend professioneller, führte Nussbaumer aus. Häufig befasse sich die Polizei mit Ransomware-Fällen. Beunruhigend finde er, dass die Angriffe mit mehreren Schadsoftware-Anwendungen erfolge. Ein Programm breche ins System ein, ein anderes erlange höhere Nutzerrechte, während ein drittes dann die Daten verschlüssele.

Die Angreifer nehmen sich oft mehrere Monate Zeit, um das eingebrochene System ausführlich zu erkunden und unschädlich zu machen. Damit können sie das Unternehmen fast sicher in die Knie zwingen. Ist der Schaden einmal angerichtet, hilft die Polizei, Straftäter zu identifizieren, zu lokalisieren, allenfalls mit den Kriminellen zu kommunizieren und zu verhandeln. Das Unternehmen wieder aus der Krise herauszuführen, sei aber keine polizeiliche Aufgabe, sondern liege in der Verantwortung des Unternehmens. Ebenso habe die Firma selber für den Schutz ihrer Infrastruktur zu sorgen.

Daniel Nussbaumer, Leiter der Abteilung Cybercrime der Kapo Zürich. (Source: Netzmedien)

Gute Vorbereitung, rasches Handeln

Dass viele Schweizer Unternehmen auf einen Cyberangriff schlicht nicht vorbereitet seien, hörte man immer wieder während den SCSD. Matthias Spielmann, Direktor des Spitals Wetzikon, führte im ersten Teil seines Referats aus, wie er die IT-Sicherheit seines Unternehmens 2018 überprüfte und verbesserte. Untersucht habe man damals etwa, welche digitalen Informationen ungeschützt im Internet abrufbar sind. Es hätten sich aber auch Pentester als Ärzte verkleidet und versucht, von ihren "Kollegen" ein Zugangspasswort zu erschleichen. Als Folge der Analyse habe man etwa die Sicherheitsvorkehrungen aller Clients verstärkt, regelmässige Mitarbeitersensibilisierungen eingeführt und die Netzwerksegmentierung grundsätzlich neu aufgebaut.

Im zweiten Teil berichtete Spielmann vom Ransomware-Angriff auf das Spital, der im vergangenen Oktober erfolgt war. Über eine gefälschte E-Mail wurde ein Computer mit "Emotet" infiziert. Die Software breitete sich im Netzwerk aus und lud weitere Schadprogramme nach. Zum Glück, so Spielmann, habe man die Attacke binnen 15 Minuten bemerkt und sofort externe Experten hinzuziehen können. Emotet kam nicht dazu, irgendwelche Daten zu verschlüsseln. Der Spitalbetrieb lief weiter, wenn auch teilweise eingeschränkt. Es hätte aber auch anders laufen können. Hätte man die Gefahr nicht sofort bemerkt, wäre der Schaden um ein Vielfaches grösser gewesen. Und noch bedenklicher: Da auch viele medizinischen Geräte mit dem Netzwerk verbunden sind, könne ein Hacker unter Umständen nicht nur einen finanziellen Schaden verursachen, sondern Patienten in Lebensgefahr bringen. Mehr zum Ransomware-Angriff auf das Spital Wetzikon lesen Sie hier.

"Hören Sie auf, naiv zu sein!"

Noch etwas pessimistischer zeigte sich Nicolas Mayencourt, Gründer von Dreamlabs und Head der SCSD-Programmkommission. In seinem Referat hob auch er hervor, dass fehlerhaft umgesetzte Cybersicherheit unter Umständen lebensbedrohliche Folgen haben kann, zumal auch kritische Infrastruktur – Spitäler oder Elektrizitätswerke – ans Internet angeschlossen sind. Er präsentierte eine Studie seines Unternehmens, in welcher öffentliche Schweizer Server auf offene Sicherheitslücken abgeklopft wurden. Das Resultat war ernüchternd: 54'000 Schwachstellen offenbarte der Scan. Darunter war etwa ein Spital, welches einen Windows-2000-Server betreibt – ein Produkt, welches schon seit Jahren keine Sicherheitsupdates mehr erhält. Bei einem Wasser- und Elektrizitätswerk sei man auf eine Bluekey-Schwachstelle gestossen, über die ein Hacker vollen Zugriff auf das System erhalten könne. Für Lacher sorgte der Fund eines kantonalen Gesundheitsdepartements: Dieses habe Benutzernamen und Passwörter so abgespeichert, dass man sie mit einer einfachen Google-Suche finden konnte.

"Warum sagt niemand NEIN dazu?" fragte Mayencourt immer wieder. Und er befahl der Schweiz und ihrer IT-Branche: "Hören Sie auf, naiv zu sein!" Während Jahren habe man dem technologischen Wandel zugesehen. Die IT sei binnen kürzester Zeit um ein Vielfaches komplexer geworden. Obwohl man heute täglich von neuen, immer grösseren Cyberattacken höre, mache die Branche weiter wie bisher. "Wir müssen akzeptieren, dass jedes Business auf der Welt im Grunde ein Tech-Business ist", sagte er weiter. Die Unternehmen müssten dringend ihre Verantwortung wahrnehmen, und nicht darauf warten, dass irgendwer das für sie entscheide.

Nicolas Mayencourt, CEO von Dreamlabs. (Source: Netzmedien)

Angebote nutzen und umdenken

Derweil ist die Schweiz durchaus gut aufgestellt, wenn es um Dienstleistungen im Bereich der Cybersicherheit geht. Ein Rundgang durch die Ausstellung im Forum Fribourg machte dies deutlich. Tatsächlich, sagte der Dreamlabs-Gründer in einem Diskussionspanel, stelle er fest, dass immer mehr Unternehmen ihre IT mittels Pentesting auf Schwachstellen abklopfen lassen. Wichtig sei aber auch, immer auf dem neuesten Stand zu bleiben. Er appellierte an die Policy Makers und forderte sie auf, für genug Weiterbildung im Unternehmen zu sorgen. Doch auch die Grundausbildung müsse sich verändern: Schon im Kindergarten sollte ein verantwortungsbewusster Umgang mit Cyber gelehrt werden.

Auch von der Gesellschaft sei ein Umdenken gefragt. "In den letzten fünfzehn Jahren haben wir gelernt, dass es gut ist, seine persönlichen Daten weiterzugeben", sagte Mayencourt im Panel. Es sei an der Zeit, dass wir das wieder "entlernen". Wie viele Schwachstellen die Schweizer IT in diesem Jahr schliessen kann, will er an den kommenden Swiss Cyber Security Days am 10. und 11. März 2021 zeigen.

Webcode
DPF8_170288