Ohne Sensibilisierung keine IT-Sicherheit

Ganze Städte sind inzwischen von Erpresser-Software lahmgelegt worden. Diese Ransomware hat auch die Schweiz erreicht. Schutzlos ist aber niemand den Machenschaften der Cyber-Kriminellen ausgeliefert.

Von Volker Richert · 11. November 2019

Es war nicht zuletzt das erste iPhone vor rund 12 Jahren, mit dem die Digitalisierung in einem zuvor unbekannten Ausmass Unternehmen wie Behörden neue Chancen eröffnete. Die seither sich über immer mehr Anwendungen erstreckende Mobilität oder die wachsende Nutzung von Cloud-Lösungen eröffneten Möglichkeiten der ICT-Nutzung, auf die heute kaum mehr verzichtet werden kann. Für Franz Grütter, Co-Präsident der aus allen Parteien zusammengesetzten parlamentarischen Gruppe Digitale Nachhaltigkeit (Parldigi) ist klar, dass die Digitalisierung «Prozesse nicht nur effizienter macht, sondern in vielen Bereichen sogar einen zusätzlichen Nutzen für Bürger und Unternehmen stiftet». Zur Illustration verweist er darauf, «wie viel einfacher eine digitale Steuerabrechnung ist oder der Austausch mit der Zollverwaltung, sobald auch deren Prozesse vollständig digitalisiert sind».

Digitalisierung macht nicht nur Prozesse effizienter, sondern stiftet in vielen Bereichen sogar einen zusätzlichen Nutzen für die Bürger; dabei ist die IT-Sicherheit zentral. Franz Grüter, Co-Präsident der parlamentarischen Gruppe Digitale Nachhaltigkeit (Parldigi)

Demokratie in Gefahr?

Allerdings ist für die Parldigi auch klar, dass mit dieser Entwicklung die Gefahren des Missbrauchs zugenommen haben. Die IT-Sicherheit ist zentral, so Grüter mit dem Hinweis auf «auch höchst sensible Daten der Behörden». Dramatisch wären die Auswirkungen, wenn etwa beim elektronischen Stimmkanal die Vertraulichkeit und das Stimmgeheimnis nicht jederzeit gewährleistet sind: «Unsichere Systeme hätten fatale Folgen, das würde die Grundwerte unserer Demokratie in Frage stellen».

Viele der derzeitigen Cyber- Angriffe versuchen die Schwachstelle Mensch auszunutzen. (Illustration: Geraldine Hasler)
Der Grossteil der Cyber-Angriffe richtet sich nicht gezielt gegen einzelne Branchen oder Unternehmen respektive Behörden. Gemeinden und Städte sind grundsätzlich den gleichen Gefahren ausgesetzt, wie die Privatwirtschaft oder Privatpersonen. Max Klaus, stellvertretender Leiter der Melde- und Analysestelle Informationssicherung (Melani) des Bundes

Beim Informatiksteuerungsorgan des Bundes (ISB) teilt man zwar diese Einschätzung, ergänzt aber, dass «für alle Betreiber von IT-Infrastrukturen in erster Linie im Wandel der Technologie» die Herausforderung besteht. «Das Internet der Dinge oder Bring your own
device stellen alle IT-Betreiber vor Fragen, mit denen man sich vor einigen Jahren noch gar nicht befassen musste», erklärt Max Klaus, stellvertretender Leiter der Melde- und Analysestelle Informationssicherung (Melani) des Bundes, auch im Namen des ISB. Zu beachten
sei dabei, dass der «Grossteil der Cyber-Angriffe sich nicht gezielt gegen einzelne Branchen oder Unternehmen respektive Behörden richtet». Gemeinden und Städte grundsätzlich den gleichen Gefahren ausgesetzt, wie beispielsweise auch die Privatwirtschaft oder Privatpersonen, so Klaus weiter.

 

Entführer und Erpresser im Cyberraum

Wie weit Cyberkriminelle zu gehen bereit sind, haben zuletzt bösartige Angriffe durch Erpresser-Software gezeigt. So warnte gerade erst im September das eng mit Melani verbundene Computer Security Incident Response Team des Bundes (GovCERT.ch) vor solcher Ransomware. Cyber-Kriminellen hatten gefälschte E-Mails im Namen der eidgenössischen Steuerverwaltung genutzt, um Fragen zur Steuererklärung beantwortet zu bekommen. Würde darauf eingegangen, so die Warnung, werde von den Angreifern versucht beispielsweise via Teamviewer die Kontrolle über den Rechner zu erlangen.

Meist erfolgen die Angriffe via E-Mail, die in der Regel über einen Link auf eine bösartige Webseite oder einen schädlichen Dateianhang verfügt. Aber längst werden im sogenannten Darknet auch Zugänge zu bereits infizierten Rechnern verkauft. Oder Kriminelle scannen das Internet nach offenen VPN- und Terminal-Servern, um dann Zugriff auf sie durch automatisiertes, wahlloses Ausprobieren von Passwörtern oder Schlüssel zu erhalten.

 

Lösegeld in Millionenhöhe

Welcher Schaden am Ende angerichtet werden kann, zeigten gerade die letzten Monate. Erfolgreich durchgeführte Erpressungsangriffe hatten Gemeinden und Städte in den USA genauso zu verzeichnen wie namhafte Unternehmen in der Schweiz. Dabei traf es die Rothenburger Auto AG Group genauso wie den Gebäudetechnik-Spezialisten Meier Tobler oder den Hersteller von Industriemineralien Omya im aargauischen Oftringen. So ausgelöste Betriebsunterbrüche hatten allein für Meier Tobler oder die US-Stadt Baltimore Millionenschäden zur Folge.

Zwar geht es den Cyber-Kriminellen bei ihren Angriffen in der Regel um Geld. Doch ist die Motivlage nicht immer klar. Neben der Übernahme der Systeme oder Datendiebstahl kann Schad-Software auch zur Spionage genutzt werden. Weltweit Schlagzeilen machten die Angriffe auf die Schweizer Rüstungsschmiede Ruag oder auf das bundeseigene Labor Spiez. Wie einfach solche Angriffe zum Teil funktionieren, zeigen Fälle in Basel und St. Gallen , wo Schüler Rechner von Lehrern kaperten, um an Prüfungsfragen zu gelangen. Und während der diesjährigen Lehrabschlussprüfungen legte Ransomware auch grosse Teile des Kantonalen Gewerbeverbands St. Gallen lahm.

Eine der grössten Gefahren – ob für Verwaltungen oder Unternehmen – ist der Faktor Mensch. Daniel Nussbaumer, Präsident der Swiss Internet Security Alliance

Faktor Mensch als Schwachstelle

Nicht ohne Grund betont Daniel Nussbaumer, der Präsident der Swiss Internet Security Alliance (SISA), denn auch, dass «eine der grössten Gefahren - ob für Verwaltungen oder Unternehmen - der Faktor Mensch» ist. Bei der SISA, welche von namhaften Vertretern der Wirtschaft ins Leben gerufen wurde, um die Schweiz zum sichersten Internet-Land der Welt zu machen, konstatiert man, dass viele der derzeitigen Angriffe versuchen, diese Schwachstelle auszunutzen. Der Klick auf ein Phishing-Mail eines vermeintlichen Bekannten, das unter anderem wie eine Kalendereinladung oder ein Video-Link aussehen kann, ermöglicht das Eindringen der Malware. Es seien oft einfache Tipps zu berücksichtigen, wie man sie mit der Kampagne iBarry anbiete, um den Schutz der IT-Infrastruktur zu erhöhen und die Bürger für Online-Betrüger und ihre Methoden zu sensibilisieren», so Nussbaumer.

In vielen Fällen werden Budgets für grosse Digitalisierungsprojekte gesprochen, ohne dass angemessene Ressourcen für den Datenschutz und die Datensicherheit bereitgestellt werden. Bruno Baeriswyl, Datenschutzbeauftragter des Kantons Zürich

Der Zürcher Datenschutzbeauftragte Bruno Baeriswyl betont hingegen die mit der Digitalisierung wachsende Komplexität und die damit auch zunehmenden Risiken. Dieser Risiken bewusst sei sich «nur der kleinere Teil der Gemeinden und Städte». Seriöse Risikoanalysen oder Datenschutzfolgeabschätzungen fänden oft nicht statt und Transparenz über die Risiken fehle, konkretisiert Baeriswyl. IT-Security-Verantwortliche seien nicht festgelegt und die politische Führung nicht in die Verantwortung einbezogen. Zudem würden in «vielen Fällen Budgets für grosse Digitalisierungsprojekte gesprochen, ohne dass angemessene Ressourcen für den Datenschutz und die Datensicherheit bereitgestellt werden».

Die Sensibilisierung für die Gefahren der Cyber-Kriminalität gelingt am besten, wenn man sie möglichst praktisch bewusst machen kann. Peter Kölsch, Bereichsleiter Informatik der Stadt Wetzikon

Verteidigungslinien im Cyberkrieg

Peter Kölsch, als Bereichsleiter Informatik für die IT der Stadt Wetzikon verantwortlich, ist noch nicht in die Fänge der Kriminellen geraten. Auch er weiss aber, dass diese Ruhe trügerisch sein kann. Zu den umfangreichen Massnahmen, die die Stadt getroffen hat, gehört unter anderem, dass alle Hardware «kastriert» worden ist, wie er sagt. Über eine Citrix-basierte Infrastruktur würden alle Mitarbeitenden Daten aus einem Rechenzentrum (RZ) nutzen, das gelte auch für mobile genutzte private Devices. Nur eines sei pro Mitarbeiter zugelassen. Lokale Verzeichnisse, Laufwerke sowie USB-Sticks sind so im Homeoffice unterbunden. Zudem habe man das städtische WLAN vom öffentlichen getrennt und wer Remote arbeiten wolle, müsse eine Zwei-Faktor-Authentifizierung nutzen. Kölsch verweist zudem auf die
enge Kooperation mit dem RZ-Betreiber RIZ (Regionales Informatikzentrum). Dort sei eine restriktive Nutzung von Applikationen implementiert. Zudem würde die Konfiguration lokaler Firewall-Richtlinien Angriffsmöglichkeiten reduzieren und die komplette Übernahme der Domäne und deren Systeme genauso erschweren wie weitere Sicherheitsmechanismen die Weiterbewegung der Angreifer im Netzwerk sehr aufwändig machen.

Generell, so Kölsch, sei Wetzikon technisch auf Cyber-Angriffe vergleichsweise gut vorbereitet. Das ändere aber nichts daran, dass der Mensch weiterhin eine Schwachstelle bleibe. Nicht jedes Mail müsse geöffnet werden und manche Aufgaben wie die Bildschirmsperre beim Verlassen des Büros und das Schliessen der Tür müssen einfach manuell ausgeführt werden. Die Sensibilisierung der Mitarbeiter sei deshalb die zentralste IT-Security-Aufgabe, um Angriffen zu begegnen. Dabei habe er die Erfahrung gemacht, dass dies am besten gelingt, wenn man die Gefahren der Cyber-Kriminalität möglichst praktisch bewusst machen kann.