Swiss IT: Situation Cybersecurity
05.05.2021, 16:08 Uhr
Mehrkampf gegen Cybergefahren
Schweizer Unternehmen und Privatpersonen waren 2020 nicht zuletzt wegen der Corona-Krise vermehrt Cyberangriffen ausgesetzt. Derweil wird schweizweit einiges getan, um die Abwehrkräfte zu stärken.
Die Schweiz wird zunehmend digital. Das zeigen nicht zuletzt die vielen IT-Projekte, die in allen Wirtschaftsbereichen umgesetzt werden. Doch die zunehmende Digitalisierung hat auch eine unschöne Seite: Sie bietet eine immer grössere Angriffsfläche für Cyberkriminelle.
Gerade das Krisenjahr 2020 hat dies gezeigt: Einerseits hat die Digitalisierung geholfen, dass vielerorts der Betrieb ohne allzu grossen Produktivitätsverlust weiterlaufen konnte. Andererseits hat gerade die Tatsache, dass viele Angestellte sich Knall auf Fall im Home Office wiederfanden, die Angriffsfläche massiv vergrössert.
Und die Cyberkriminellen wussten diese Situation auszunutzen. Dies belegt auch der 31. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (Melani), die Teil des Nationalen Zentrums für Cybersicherheit (NCSC) ist. So ist die Anzahl der gemeldeten Cybervorfälle ab März 2020 förmlich explodiert. Gingen in den Monaten Januar und Februar noch jeweils gut 500 Meldungen bei der Meldestelle ein, stieg die Anzahl im März auf knapp 800 und im April auf über 1400 an, was fast einer Verdreifachung gleichkommt. Immerhin sank die Anzahl Meldungen in den beiden Folgemonaten Mai und Juni auf gut 1000 respektive 800 Meldungen.
Die Gefahr ist bei Weitem nicht gebannt: Dies zeigen die Woche für Woche vom NCSC veröffentlichten Meldeeingänge. Diese liegen im Normalfall bei etwa 300 bis 400 pro Kalenderwoche. Sie können aber bei einer Angriffswelle auch dramatisch anschwellen. So schnellten die gemeldeten Vorfälle in der fünften Kalenderwoche 2021 auf 822 hoch (vgl. Grafik). In allen Zeitperioden betreffen die meisten Meldungen Betrugsversuche und Phishing-Angriffe.
Die akute Bedrohungslage zeigt sich auch bei einer Umfrage unter 503 Schweizer KMU-CEOs, die das Marktforschungsinstitut GFS-Zürich von August bis Oktober 2020 im Auftrag von Digitalswitzerland, der Mobiliar, dem NCSC, der Hochschule für Wirtschaft der Fachhochschule Nordwestschweiz (FHNW) und der Schweizerischen Akademie der Technischen Wissenschaften (SATW) durchgeführt hatte. Die Untersuchung ergab unter anderem, dass ein Viertel der Schweizer KMU schon Opfer eines folgenschweren Cyberangriffs war. Zudem trug rund ein Drittel der angegriffenen Firmen einen finanziellen Schaden davon und jeder zehnte Angriff hatte einen Reputationsschaden und/oder den Verlust von Kundendaten zur Folge. Besonders erschreckend: Trotz der häufigen Cyberattacken hat nur jedes zweite KMU einen Notfallplan für die Sicherstellung der Geschäftsfortführung und rund zwei Drittel führen weder regelmässige Mitarbeiterschulungen durch, noch haben sie ein Sicherheitskonzept im Unternehmen implementiert, lauten weitere Ergebnisse der Studie.
Erste offizielle Cybercrime-Statistik
Dass Cybercrime immer weitere Kreise zieht, zeigt auch die Tatsache, dass die polizeiliche Kriminalstatistik (PKS) des Bundesamtes für Statistik (BFS) im Jahr 2020 erstmals auch Ergebnisse zu den digitalen Straftaten in der Schweiz veröffentlicht hat. So wurden von der Polizei im letzten Jahr insgesamt 24 398 Straftaten mit einer digitalen Komponente registriert. Gemäss den Zahlen betraf die grosse Mehrheit Cyberbetrug (16 395 Straftaten), zu dem unter anderem betrügerische Machenschaften im Zusammenhang mit Online-Shops, Immobilienanzeigen oder Vortäuschen einer Liebesbeziehung gehören. Zum Vergleich: Im gleichen Jahr wurden 32 819 «analoge» Einbruch- und Einschleichdiebstähle gezählt.
Besonders gefährlich: Phishing und Ransomware
Ein ganz ähnliches Bild zeigen die Antworten der von Computerworld befragten CIOs. Auf die Frage, welches nach Meinung der Befragten die gefährlichsten Bedrohungen für die Cybersicherheit sind, wählten bei maximal drei Nennungen 74,6 Prozent Phishing und Social Engineering als Top-Gefahren. Fast so gefährlich sind nach Ansicht der Schweizer CIOs Angriffe mit Ransomware und Malware. 64,4 Prozent machten hier in der Umfrage ihr Kreuz. Im Mittelfeld finden sich «veraltete Software/mangelndes Patchmanagement» mit 33,1 Prozent und interne Angriffe durch Mitarbeitende mit 27,5 Prozent (vgl. Grafik).
Und die Gefahrenlage wird vom Nicht-IT-Management ganz ähnlich gesehen. Auch bei dieser befragten Personengruppe wurden Phishing und Social Engineering (58,1 Prozent) sowie Ransomware und Malware (49,3 Prozent) als gefährlichste Bedrohungen wahrgenommen.
Das Thema Cybersecurity steht also definitiv auf der Prioritätenliste zuoberst. Ja, das Thema hat an Bedeutung sogar nochmals zulegen können. Auf die Frage nach den fünf wichtigsten IT-Projekten des laufenden Jahres wählten im letzten Jahr 72,8 Prozent der befragten IT-Entscheider Cybersecurity als wichtigstes Vorhaben. In der aktuellen Umfrage stieg die Rate sogar auf 73,3 Prozent. Nach wie vor steht die IT-Security damit ganz zuoberst auf der IT-Projekte-Prioritätenliste der Schweizer CIOs. Erst mit einem gewissen Abstand folgen Projekte aus anderen Bereichen wie die Einführung neuer Business-Software (44,1 Prozent) und Vorhaben im Bereich Cloud Computing (38,1 Prozent).
Security vielerorts Bestandteil von IT-Projekten
Die von Computerworld befragten CIOs sind sich nicht nur der Wichtigkeit von Cybersecurity bewusst. Viele von ihnen handeln auch schon dementsprechend. So gaben auf die Frage «Ab welcher Phase wird Security typischerweise in Business-Projekten hinzugezogen?» 33,9 Prozent an, dass IT-Sicherheit schon von Anfang an mit an Bord und Bestandteil des Anforderungskatalogs ist. Immerhin noch bei 22,0 Prozent kommt die Security während der Projektplanung ins Spiel. Damit denkt gut die Hälfte der Befragten an das Thema Cybersecurity, bevor das Projekt in die Umsetzungsphase gelangt.
Obwohl diese Ergebnisse Mut machen, steht die Schweiz im internationalen Vergleich in Sachen Cybersecurity nicht besonders gut da. Gemäss dem letzten Global Cybersecurity Index der Fernmeldeunion ITU, der 2018 veröffentlicht wurde, rangiert unser Land auf Platz 37 von 175 Mitgliedsländern. Also nicht nur weit hinter den drei toprangierten Nationen Grossbritannien, USA und Frankreich, sondern auch um einiges hinter Deutschland (Rang 22), Italien (25) und Österreich (28).
Somit hat das Thema Cybersecurity in der Schweiz noch ziemlich viel Entwicklungspotenzial. Die Bemühungen, die IT-Sicherheit in unserem Land zu erhöhen, sind derweil zahlreich und führen hoffentlich in künftigen Ausgaben des Global Cybersecurity Index der ITU zu einem verbesserten Ranking.
Viele Projekte rund um das NCSC
Tatsächlich ist bezüglich Verbesserung der Cybersicherheit derzeit auf Bundesebene einiges am Laufen. Am offensichtlichsten ist dabei, dass man sich derzeit zwecks Verbesserung der Cybersicherheit neu aufstellt. So wurde unlängst das bereits erwähnte NCSC formiert, in dem die bislang bekannte Anlaufstelle Melani seit 1. Juli 2020 integriert wurde. Unter dem NCSC-Dach findet sich zudem neu das nationale Computer Emergency Response Team (GovCERT) als technische Fachstelle. Mit der Schaffung des NCSC unter der Leitung des Delegierten des Bundes für Cybersicherheit, Florian Schütz, wolle der Bundesrat die Bevölkerung, die Wirtschaft, Bildungseinrichtungen und die Verwaltung beim Schutz vor Cyberrisiken unterstützen und die Sicherheit der eigenen Systeme verbessern, heisst es im Selbstbeschrieb auf der Webseite des Zentrums.
Aber nicht nur intern wurde umgebaut. Auch der Webauftritt kommt nun in einem neuen Kleid daher. Die Cybersecurity-Informationen wurden neu gruppiert und ergänzt. So wurden Informationen und Hinweise für die Benutzergruppen «Private», «Unternehmen» und «IT-Spezialisten» zusammengefasst. Dadurch sollen die Besucher der Webseite schneller zu relevanten Themen gelangen. In jeder der Sektionen erhalten die Surfer dann zahlreiche Tipps zu aktuellen Bedrohungen und viele Best-Practice-Beispiele für die Verbesserung der eigenen IT-Sicherheit.
Aber nicht nur intern wurde umgebaut. Auch der Webauftritt kommt nun in einem neuen Kleid daher. Die Cybersecurity-Informationen wurden neu gruppiert und ergänzt. So wurden Informationen und Hinweise für die Benutzergruppen «Private», «Unternehmen» und «IT-Spezialisten» zusammengefasst. Dadurch sollen die Besucher der Webseite schneller zu relevanten Themen gelangen. In jeder der Sektionen erhalten die Surfer dann zahlreiche Tipps zu aktuellen Bedrohungen und viele Best-Practice-Beispiele für die Verbesserung der eigenen IT-Sicherheit.
Neu gestaltet wurde auch das Online-Meldeformular, bei dem Cybervorfälle freiwillig gemeldet werden können. Dieser Auftritt ist nun sehr interaktiv gestaltet und bietet dem Meldenden schon in dieser Phase Hilfestellungen für das weitere Vorgehen. Will man beispielsweise den Empfang einer verdächtigen Mail melden, werden dem Benutzer eine Reihe von bereits bekannten Fällen präsentiert und damit erste wichtige Hinweise zum Umgang mit dem Vorfall. Mit der Meldung in Dialogform habe man bereits gute Erfahrungen gemacht, berichtet denn auch Schütz während seines Auftritts an den diesjährigen Swiss Cyber Security Days (SCSD). Ihm zufolge führt dies zu einem Anstieg der Angaben und zu präziseren Informationen.
Die abschliessende Angabe von weiteren Informationen ermöglicht es dem NCSC, den Meldenden bei Bedarf weitere Unterstützung zu bieten.
Das Berichten des Vorfalls ist aber nicht nur für den Meldenden wertvoll. Die Informationen leisten auch einen wichtigen Beitrag, um seitens NCSC Trends bei Vorfällen rasch zu erkennen, ein vollständiges Cyberlagebild zu erstellen und geeignete Gegenmassnahmen zu ergreifen. Deshalb plädiert Schütz für die Einführung einer Meldepflicht für Cybervorfälle bei kritischen Infrastrukturen. Diesbezüglich ist auch eine entsprechende Vorlage auf Bundesebene in Arbeit. «Hier geht es nicht darum, einfach zu sanktionieren, sondern darum, durch eine schnellere Meldung besser aktiv werden zu können», argumentiert er. Zudem erhalte man so mehr Daten, um künftig die Prävention zu verbessern.
Auch Kantone und Kantonspolizeien aktiv
In einem föderalistisch organisierten Land wie der Schweiz ist es fast schon selbstverständlich, dass auch die Kantone aktiv werden. Als eigenen Angaben zufolge erster Kanton ist St. Gallen im letzten Jahr vorgeprescht und hat seinerseits eine Strategie zum Schutz vor Cyberrisiken initiiert. Als ein Grund wird die Entwicklung des «Internet der Dinge» und das damit verbundene neue Gefährdungspotenzial genannt. «Hacker können heute nicht nur am Computer, sondern beispielsweise auch Verkehrssteuerungsanlagen oder Sensoren für das Raumklima oder in Rauchmeldern angreifen», heisst es seitens des Kantons. Eine von der Regierung in Auftrag gegebene Vorstudie habe gezeigt, dass der Kanton St. Gallen eine eigene Cyberschutz-Strategie brauche, um auf Angriffe im Cyberraum umfassender vorbereitetet zu sein und die Sicherheit im Netz besser gewährleisten zu können. Die St. Galler Regierung hat daher Ende April 2020 die Strategie verabschiedet.
Unter anderem sind in der Strategie die Rollen und Aufgaben des Kantons im Bereich «Cyber-Sicherheit» in Bezug auf die St. Galler Bevölkerung, die Wirtschaft, die Staatsverwaltung, die Gemeinden, die Organisationen mit kantonaler Beteiligung und die kritischen Infrastrukturen unter Einbettung in die nationalen Cyberschutz-Strategien geklärt. Die Strategie dient als oberste Richtschnur und ermöglicht und erleichtert die Koordination und Kooperation der Departemente und Ämter sowie die staatsebenenübergreifenden Arbeiten beim Schutz vor Cyberrisiken.
Unter anderem sind in der Strategie die Rollen und Aufgaben des Kantons im Bereich «Cyber-Sicherheit» in Bezug auf die St. Galler Bevölkerung, die Wirtschaft, die Staatsverwaltung, die Gemeinden, die Organisationen mit kantonaler Beteiligung und die kritischen Infrastrukturen unter Einbettung in die nationalen Cyberschutz-Strategien geklärt. Die Strategie dient als oberste Richtschnur und ermöglicht und erleichtert die Koordination und Kooperation der Departemente und Ämter sowie die staatsebenenübergreifenden Arbeiten beim Schutz vor Cyberrisiken.
Auch in Sachen Information werden Kantone aktiv. So hat die Abteilung Cybercrime der Kantonspolizei Zürich Anfang 2020 mit Cyberpolice.ch eine spezielle Webseite ins Leben gerufen, auf der man sich tagesaktuell über Cyberbedrohungen informieren kann. Die einzelnen Fälle sind oft sehr ausführlich beschrieben, vor allem bei den neusten Betrugsmaschen und Phishing-Kampagnen mit vielen Screenshots illustriert, und enthalten sehr konkrete Handlungsanweisungen für Betroffene. Auch Cyberpolice.ch bietet die Möglichkeit, ein Ereignis per E-Mail zu melden. Bei der Erstattung einer Strafanzeige oder bei Notfällen hat aber die Digitalisierung ein Ende. Dann fordert die Seite die Besucher auf, den nächsten Polizeiposten aufzusuchen respektive die Notrufnummer 117 zu wählen.
Armee erhält Cybertruppe
Derweil tut sich zurzeit einiges in Sachen Cyberabwehr bei der Schweizer Armee. Der Grund liegt auf der Hand: In modernen Konfliktszenarien setzen Angreifer gemäss Aussage des VBS (Departement für Verteidigung, Bevölkerungsschutz und Sport) auf eine Kombination aus klassischen Militäreinsätzen, aus wirtschaftlichem Druck, Computerangriffen bis hin zu Propaganda in den Medien und sozialen Netzwerken. Dafür will auch die Schweizer Armee künftig besser gewappnet sein.
Grösstes Projekt in diesem Zusammenhang ist die Umwandlung der heutigen Führungsunterstützungsbasis (FUB) auf Anfang 2024 in das Kommando Cyber. Dieses soll künftig die militärischen Schlüsselfähigkeiten in den Bereichen Lagebild, Cyberabwehr, Informatik- und Kommunikationsleistungen, Führungsunterstützung, Kryptologie und elektronische Kriegsführung bereitstellen. «Wir müssen uns laufend neuen Bedrohungen anpassen, es bleibt ein dauernder Wettlauf», meinte Armeechef Thomas Süssli in Hinblick auf das geplante Cyberbataillon.
Konkret soll auf den 1. Januar 2022 neben dem Cyberbataillon auch ein Cyberfachstab gebildet werden. Damit wird auch der Bestand der im Bereich Cyberabwehr eingesetzten Miliz gemäss VBS von 206 auf 575 Angehörige der Armee erhöht. Anfang Jahr ist darüber hinaus bestimmt worden, wer bei der Umwandlung der FUB in das Cyberkommando federführend sein wird. Der Bundesrat hat vor Kurzem die Projektverantwortung dem Divisionär Alain Vuitel übergeben, dem heutigen Chef der FUB.
Die Vorbereitungen sind somit im Gang: Um zudem die Ausbildungsqualität der Miliz-Cyberspezialistinnen und -Cyberspezialisten weiter zu erhöhen, werde die Ausbildung innerhalb der Armee mit einem Praktikum bei externen Partnern ergänzt, heisst es seitens des VBS. Dadurch liessen sich die erlernten Fähigkeiten vertiefen, erweitern und anschliessend in die Armee zurückführen.
Die Efforts des VBS in Sachen Cyberabwehr beschränken sich aber nicht nur auf den Aufbau des Bataillons. Vielmehr sucht man seit einiger Zeit den Schulterschluss mit Wirtschaft und Forschung in diesem Bereich. So wurde unlängst der nationale Cyber-Defense Campus ins Leben gerufen, der neben Ablegern an der ETH Lausanne und dem Hauptstützpunkt Thun seit Ende 2019 auch ein Labor an der ETH Zürich besitzt.
Auch diese Tätigkeit unter Federführung von Armasuisse, dem Bundesamt für Rüstung, wird laufend ausgeweitet. So hat der Cyber-Defense Campus Anfang 2021 ein Forscherteam aufgebaut, um Schwachstellen in den Informatiksystemen des VBS aufzuspüren und vor Hackern zu schützen. Das Team besteht aus sieben spezialisierten Sicherheitsforschern aus dem Bereich der Cybersicherheit, die daneben weiterhin ihre Aufgaben als Projektleiter bei Armasuisse wahrnehmen. Sie verfolgen das Ziel, Lücken in eingesetzter Software zu finden, bevor dies Hacker tun können. Das Team durchsucht dabei Software-Komponenten, die das VBS im Einsatz hat, nach möglichen Angriffspunkten. Werden Schwachstellen gefunden, informiert der Cyber-Defense Campus die betroffenen Stellen sowie das NCSC und unterstützt somit auch die Hersteller in der Verbesserung ihrer Software, was dann schlussendlich auch weiteren Betreibern der Programme, sprich Unternehmen und Privaten, zugutekommen soll.