Monitoren, Testen, Optimieren: Wie sich Sicherheitslücken schliessen lassen

Am 20. September hat Emitec Datacom zur diesjährigen Ausgabe der IT-Monitoring-Konferenz geladen. Bevor ein Tag voller Vorträge und Showcases zum Thema "Mind the Gap - The Showcase Experience" so richtig losging, konnten sich die Besucherinnen und Besucher im Restaurant des Gottlieb Duttweiler Instituts in Rüschlikon erst einmal stärken. Bei Kaffee und Gipfeli blieb genügend Zeit fürs Networking und für eine erste Besichtigung der anwesenden Aussteller.

Networking bei Kaffee und Gipfeli. (Source: Netzmedien)

Da die Gäste dieses Angebot dankend annahmen, eröffnete Stefan Betschart, Senior Consultant bei Emitec Datacom, die Konferenz mit ein paar Minuten Verspätung. Nach einer herzlichen Begrüssung und einem kurzen Überblick über das Tagesprogramm ging es dann auch gleich mit den ersten Vorträgen los.

Stefan Betschart, Senior Consultant bei Emitec Datacom. (Source: Netzmedien)

Roman Hüssy, Technischer Analytiker beim Nationalen Zentrum für Cybersicherheit (NCSC), machte den Anfang. Während seinen Ausführungen zu den Aufgaben und Kompetenzen betonte er, dass das NCSC Unternehmen und Organisationen nur subsidiär unterstützt und diesen gegenüber keinerlei Weisungsbefugnis habe. "Wir können nicht vor Ort gehen und Zugriff auf diese und jene Informationen und Daten verlangen," stellte Hüssy klar.

Roman Hüssy, Technischer Analytiker beim NCSC. (Source: Netzmedien)

Grundsätzlich erhebe das NCSC nur kontextualisierte technische Daten. Dabei habe man auch keinen Zugriff auf Register der Strafverfolgungs- oder Justizbehörden. Was dem NCSC aber viel Agilität verleihe, sei die eigene Infrastruktur. Wenn ein gewünschtes Tool noch nicht vorhanden sei, entwickle man dieses selbst. Hüssy betonte aber, dass die vom NCSC teils in Unternehmen angebrachte Hard- und Software keine kommerziellen Produkte ersetzen können oder sollen.

Warum das NCSC per Einschreiben warnt

Es mag etwas paradox klingen, aber das NCSC warnt Unternehmen und Organisationen auch per Einschreiben vor potenziellen Gefahren. Die Erfahrungen der letzten Jahre hätten gezeigt, dass die Informationen nur so bei den Adressaten ankommen. Das NCSC habe bereits versucht, diese Meldungen per E-Mail zu verschicken. Diese seien aber oft im Spam-Filter hängengeblieben oder direkt gelöscht worden. Auch telefonisch habe man es versucht. Das brauche bei Hunderten von Firmen aber zu viel Zeit.

Auch direkt vor Ort aufzuschlagen, sei eine schlechte Idee. Nach einem Cybervorfall in der Nähe seiner Wohnung sei er persönlich mit einem Decrypter im Gepäck beim Unternehmen vorbeigegangen, dort aber abgewiesen worden. "Später hat mich ein Kollege informiert, dass die Verantwortlichen die Polizei gerufen haben. Der Täter sei bei ihnen vorbeigekommen." Bis auf weiteres wird es also bei Meldungen per Einschreiben bleiben.

Nicht Effizienz, mehr Resilienz

Als nächstes betrat Raphael Reischuk, Gründer des Nationalen Testinstitut für Cybersicherheit (NTC), die Bühne. Die grösste Herausforderung der nächsten Jahre werde die "Cyber-Pandemie" sein, sagte er. Der "Return on Investment" für Cyberkriminelle sei viel grösser als die Gefahr, ins Gefängnis zu kommen. Cybercrime lohne sich also. "Das ist jetzt aber kein Aufruf ", stellte er mit einem Augenzwinkern klar.

Raphael Reischuk, Gründer des Nationalen Testinstitut für Cybersicherheit (NTC). (Source: Netzmedien)

Die verbesserung der Cyberresilienz sei daher zentral. Der Fokus auf die Effizienzsteigerung habe uns in den letzten Jahren aber viel dieser Resilienz gekostet und man könne jetzt nicht weiter auf die Industrie warten. Deshalb sei das NTC gegründet worden und kümmere sich nun im öffentlichen Interesse um das Testen von kritischer und weitverbreiteter Infrastruktur.

E-Learning und Phishing-Tests reichen nicht

Den Abschluss der ersten Vortragsreihe machte Rebecca Enke, Gründerin des Beratungsunternehmens re4ming, mit ihren Ausführungen zum Thema Security Awareness. Die Leute hätten oft das Gefühl, dass die eigene Cyberabwehr nur technisch zu meistern sei. Das Bewusstsein für die Interaktion von Mensch und Maschine gehe dabei oft vergessen.

Rebecca Enke, Gründerin des Beratungsunternehmens re4ming. (Source: Netzmedien)

Das alljährliche E-learning und ein gelegentlicher Phishing-Test seien aber auch nicht genug, um die Security Awareness in den Köpfen der Menschen zu verankern. Sie betonte, dass es enorm wichtig sei, die Mitarbeitenden von Anfang an in den Prozess mit einzubeziehen.

Auch sei die hohe Komplexität des Themas ein Problem. Es sei daher besser, mit einfachen Beispielen zu arbeiten und dabei möglichst auf Fachbegriffe zu verzichten. So verliere man auch die technisch weniger affinen Angestellten nicht schon von Beginn weg.

Nach einer Pause ging das Programm weiter. Die Besuchenden wurden in drei Gruppen aufgeteilt und besuchten für den Rest des Tages verschiedene Referate und Showcases. Der Tag mündete in einem Apero mit anschliessendem Abendessen, bevor auch die diesjährige IT-Monitoring-Konferenz bereits wieder zu Ende ging.

Apropos Awareness: Sarah Mühlemann, Vorsteherin der Digital Self-Defense Foundation, sensibilisiert Mitarbeitende, Schülerinnen und Schüler für Bedrohungen im digitalen Raum. Im Interview spricht sie darüber, was sie zu ihrem Engagement motiviert, wie man Awareness erlebbar machen kann und wie es mit ihren Schulungsangeboten weitergeht.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.