Die Pandemie hat unsere Bewegungsfreiheit eingeschränkt. Am Flughafen Zürich sticht dies besonders ins Auge. Nach der Passkontrolle sind Ende August 2021 kaum Menschen unterwegs und die Sicherheitskontrolle ist leer. Hier treffen wir die international renommierte Cybersecurity-Forscherin Myriam Dunn Cavelty.
Abraxas Magazin: Dieses Statement von Ihnen konnte man vor kurzem lesen: Kritische Infrastrukturen in der Schweiz seien in Bezug auf die Cybersicherheit zu wenig geschützt. Woran machen Sie das fest?
Dunn Cavelty: Man muss nach Sektoren unterscheiden. Der Finanzsektor z.B. gibt sehr viel Geld für Cybersecurity aus. In anderen Sektoren weiss man, dass sehr wenig Geld fliesst und es auch sehr schwierig ist, die Systeme zu schützen – z.B. ist der Gesundheitsbereich seit Jahren ein Stiefkind. Es wird also an manchen Orten zu wenig investiert. Für diesen Rückstand bei den Investitionen für Cybersicherheit gibt es drei Gründe: mangelnde Awareness, ökonomische Ursachen und fehlendes Fachpersonal. Heute – 2021 – ist die Awareness da. Allerdings bleiben die sehr schwierigen Fragen «Was muss man machen?» und «Wie viel muss man machen?». Ausserdem sind Cyberrisiken ja bei einer Risikoanalyse nur ein Risiko unter vielen.
Um den Cyberschutz in der Schweiz zu erhöhen, stehen die Massnahmen Minimalstandards und Meldepflicht für Vorfälle politisch zur Diskussion. Würden diese Massnahmen greifen?
Ja. Wir befinden uns ja in einem gemeinsamen Sicherheits-Ökosystem und sind nicht allein. Zum Beispiel ist Strom eine superkritische Infrastruktur. Man ist abhängig von x verschiedenen Zulieferern und Unternehmen, die zusammen den Energiesektor bilden. Das Problem ist nun folgendes: Du investierst zwar eine Million in Cybersecurity, aber wenn jemand mit dir ein Netzwerk oder eine Supply Chain teilt und diese Investitionen bei sich nicht tätigt, hast du im Prinzip eine Million in den Sand gesetzt. Daher braucht es gewisse Minimalstandards, damit du dir sicher sein kannst, dass alle bis zu einem gewissen Punkt investieren. Bei der Meldepflicht erhofft man sich einen indirekten Anreiz, in Cybersecurity zu investieren, denn eine verpflichtende Meldung wäre mit zusätzlichem Aufwand und bei Bekanntwerden auch mit Reputationsschäden verbunden. Durch die Meldepflicht könnte auch Klarheit darüber geschaffen werden, wie gross das Risiko einer Gefährdung eigentlich ist. Denn zurzeit ist die Datenlage darüber ziemlich schlecht.
Wir sind am Flughafen. Welche Szenarien sind denkbar?
Es sind diverse Szenarien möglich. Angefangen bei einem rein ökonomischen Schaden beim Ausfall der Kassensysteme im Duty-Free-Bereich. Kritischer wird es bei gewissen Sicherheitsbereichen. Der Ausfall der Passkontrolle könnte Chaos nach sich ziehen. Schlimmer als ein reiner Funktionsausfall wären Manipulationen. Worst Case wäre ein Angriff auf die Flugsicherung – dazu ist es zum Glück weltweit noch nicht gekommen. Wichtig sind bei kritischen Infrastrukturen auch die klare Regelung von Zugriffen und die Sicherheitsüberprüfung von Mitarbeitenden. In der Cybersecurity ist vieles rein technisch und sie wird vielfach rein technisch gedacht. Aber jeder gute Hackerangriff fängt immer über Social Engineering an. Das Hacken ist der kleinste Teil.
Zur Person
Dr. Myriam Dunn Cavelty lehrt und forscht seit gut 20 Jahren zu Cybersecurity an der ETH Zürich. Die Politikwissenschafterin ist stellvertretende Leiterin für Forschung und Lehre am Center for Security Studies (CSS). In der Schweiz führt spätestens seit 2014 – und ihrem Buch «Cybersecurity in Switzerland» – kein Weg an ihr vorbei, wenn es um Cybersecurity Politics geht. Am CSS hat sie das weltweit grösste Team in dieser Fachrichtung aufgebaut.
Im August wurde der bislang grösste Datendiebstahl bei einer Schweizer Gemeindeverwaltung publik. Das Ransomware-Kollektiv «Vice Society» hatte die Waadtländer Gemeinde Rolle Ende Mai gehackt. Nach der Attacke tauchten eine grosse Menge an teils sensiblen Daten von rund 5500 Einwohnerinnen und Einwohnern im Darknet auf, darunter Name, Adresse, Geburtsdatum, AHV-Nummer, Schulnoten und Covid-Erkrankungen. Am 14. Juni reichten die Verantwortlichen Strafanzeige gegen unbekannt ein, aber verschwiegen den Hack. Erst nach Recherchen von «watson», «Le Temps» und «NZZ» räumte die Gemeinde Fehler im Umgang mit der Cyberattacke ein.
Werden sich in Zukunft solche Fälle häufen?
Grundsätzlich ja. Wir stehen ganz am Anfang einer Entwicklung. Es gibt bereits heute Angebote von Ransomware-as-a-Service, denn Cyberkriminalität ist ein Markt, in welchem die Player gesehen haben: Es funktioniert. Es werden also viele aufspringen. Die Abhängigkeit von digitalen Daten, die immer zur Verfügung stehen müssen, gepaart mit der Knappheit von Ausgaben in diesem Bereich und der vorhandenen Zahlungsbereitschaft angegriffener Firmen unterstützen das Geschäftsmodell der Kriminellen perfekt. Dieser Dynamik können wir im Moment ziemlich wenig entgegenhalten. Eigentlich lässt sich dieses Problem nur durch bessere IT-Security-Standards lösen. Beispielsweise über gepoolte Lösungen oder Cybersecurity-as-a-Service.
Was sollten Gemeinden auf die To-do-Liste setzen, um Fälle wie in Rolle zu vermeiden?
Unbedingt in Szenarien denken und planen. Eine klassische Risikoanalyse bringt wenig, weil zu wenig Fälle bekannt sind, die zeigen, wie hoch das Risiko ist und wie die Auswirkungen sein könnten. Für diese Szenarienplanung sollte man Experten beiziehen: Welche Daten sind wo gespeichert? Was sind die Konsequenzen, wenn ein Unbefugter diese in die Hände bekommt? Als weitere Massnahme kann man Pen-Tester die eigenen Netzwerke testen lassen. Und die Kommunikation immer mitdenken: Was ist, wenn es trotzdem zu einem Vorfall kommt?
Der Hack der Gemeinde Rolle VD deutet an, dass Cyberkriminalität die Glaubwürdigkeit des Staates destabilisieren kann. Entsprechend müsse Cybersecurity immer gesellschaftspolitisch, sozial gedacht werden, sagt die Expertin.
Sie forschen an der Schnittstelle von Technologie und Gesellschaftspolitik und sagten andernorts, dass Cyberkriminalität die Glaubwürdigkeit des Staates destabilisiert. Wäre der ehemalige US-Präsident Donald Trump also ein Cyberkrimineller?
In der engen Definition eines nichtstaatlichen Akteurs, der sich bereichern will, natürlich nicht. Aber wenn man sich seine Tools und rhetorischen Techniken anschaut, dann sind diese ganz gewiss aus dem Spielbuch von gewissen Kräften, bei denen man sagen würde, das ist illegal und sollte nicht erlaubt sein.
An den Reaktionen auf den Hack von Rolle oder dem deutlichen Abstimmungsresultat zur privatwirtschaftlichen E-ID bemerkt man eine gewisse Skepsis gegenüber der Digitalisierung. Wie soll man damit umgehen?
Die Gefahr des Misstrauens rührt sehr stark daher, dass sich die Menschen nicht befähigt fühlen, Entscheidungen zu treffen, wie sie sich im digitalen Raum bewegen sollen. Eine digitale Selbstbestimmung fehlt: Welche Daten gebe ich wann wem? Ein ähnliches Phänomen ist derzeit bei der COVID-Impfung zu beobachten: Viele Menschen fühlen sich von der Wissenschaft abgehängt. Digitalisierung ähnelt dem ein bisschen. Aus der Risikoforschung wissen wir, dass der Mensch zu Angstentscheidungen neigt, wenn er keine Kontrolle über das Risiko hat. Er reagiert dann emotional und nicht rational. Aus staatlicher Sicht muss hier ein Diskurs in der Gesellschaft geführt werden.
Wie immunisiert man eine Gesellschaft angesichts der wachsenden digitalen Abhängigkeit?
Unsere soziale Welt lebt extrem stark und auf allen Ebenen von digitalen Einflüssen. Traditionelle Autoritätsstrukturen fallen weg: Es gibt keine klaren Zuordnungen mehr von Medien zu politischen Parteien, wie z.B. NZZ zu FDP. Wir konsumieren viel mehr Medien aus dem Ausland, d.h. die nationalen Räume brechen weg. Es gibt also eine Destabilisierung von gewissen Mustern, die uns früher zur Verfügung standen und die das Vertrauen in sich schon eingebettet hatten. Die Digitalisierung mag hier mit ein Verstärker oder Grund für diese Destabilisierung sein, ist aber nicht der einzige Grund dafür. An allen Ecken und Enden ist ein Destabilisierungsprozess im Gange, der alte Werte und das bisherige gesellschaftliche Verständnis unterminiert. Eine Immunisierung ist hier nicht möglich. Wir sollten aber versuchen, das Vertrauen wiederherzustellen. Man kann hier viele Bottom-Up-Initiativen beobachten. Sehr vieles ist staatlich gar nicht mehr steuerbar.
Kann die Verwaltung dabei die Rolle einer ordnenden Hand einnehmen?
Ich glaube, die Zukunft gehört immer mehr multilateralen Modellen mit staatlichen, privaten und zivilgesellschaftlichen Akteuren. Verwaltungen erreichen mehr Legitimität, indem sie eine proaktive Rolle einnehmen und in einen Diskurs treten, Bürgerinnen und Bürger mitnehmen und Fachexpertinnen und –experten einbeziehen. Das ist grunddemokratisch und relativ weit von der Technik entfernt. Es soll nicht um technische Lösungen gehen, in diesem Raum muss es um soziale Fragen und das Abwägen von Interessen gehen.