In den letzten 20 Jahren hat die Zahl der Internetnutzerinnen und -Nutzern sowie der Plattformen und Dienste kontinuierlich zugenommen. Das wirkte sich auch auf kriminelle Strukturen aus und wurde entsprechend ausgenutzt. So hat sich mit der zunehmenden Digitalisierung der Gesellschaft auch die Kriminalität ins Netz verlagert. Für die Serie 20 Jahre Melde- und Analysestelle Informationssicherung (Melani) haben wir uns die wichtigsten Ereignisse aus dieser Zeit genauer angeschaut.

Als Melani 2004 gegründet wurde, funktionierte vieles im Internet noch ganz anders als heute. Kommuniziert wurde über MSN oder ICQ, Myspace war die bekannteste Social-Media-Plattform und für das Login im E-Banking wurde eine Kartonkarte mit Verifizierungscodes benötigt. Cyberkriminelle haben damals schon viel unternommen, um an diese Zahlen zu kommen.

So tauchen im allerersten Halbjahresbericht der Meldestelle 2006 mehrere Finanzinstitute auf, die zum Ziel von Phishingattacken wurden. Dabei forderten die Hacker ihre Opfer mit gefälschten E-Mails dazu auf, die ersten fünf oder zehn Zahlenkombinationen der Streichliste einzugeben. Die Betrüger machten es sich dabei zu Nutze, dass die Zahlen jeweils der Reihe nach abgerufen wurden.

In der Schweiz haben einzelne Finanzinstitute auf diese Angriffe reagiert und neue Login-Verfahren für den Zugriff auf ihre E-Banking-Portale entwickelt. So wählte das System die Zahlen fortan nicht mehr der Reihe nach, sondern nach einem Zufallsprinzip aus. Mittlerweile kennen wir mit der digitalen Mehr-Faktor-Authentifizierung bessere Methoden als in der Anfangszeit von Melani.

Am 1. April 2008 wurde das Government Computer Emergency Response Team (GovCert) gegründet. Die Organisation dient seither als nationale Fachstelle für die technische Bewältigung von Cybervorfällen und die technische Analyse von Cyberbedrohungen. Sie ist heute ins Bundesamt für Cybersicherheit integriert.

GovCert unterstützt die Betreiber von kritischen Infrastrukturen, die Verwaltung und Unternehmen aus der Privatwirtschaft mit technischen Informationen zu aktuellen Cyberbedrohungen sowie bei der Bewältigung von Cybervorfällen. Zudem arbeitet die Behörde eng mit der Polizei zusammen. Diese Zusammenarbeit umfasst sowohl den Informationsaustausch als auch Unterstützung bei technischen Analysen.

Ebenfalls 2008 tauchte die Trojanerfamilie Gozi in der Schweiz zum ersten Mal auf. Dabei handelte es sich um einen Trojaner, der speziell Kundinnen und Kunden von Schweizer Finanzinstituten im Visier hatte. Potenzielle Opfer wurden auf präparierte Internetseiten gelockt und sollten dort ein Flash Plug-In herunterladen und installieren, um die visuellen Inhalte auf der Internetseite ansehen zu können. In diesem Flash Plug-In versteckte sich allerdings ein E-Banking-Trojaner.

Im Januar 2009 wurde von Melani eine Spam-Kampagne beobachtet, mit welcher der gleiche Trojaner-Typ verbreitet wurde. Dabei wurde jeweils auf eine gefälschte Seite der Gratiszeitung '20 Minuten' verlinkt. Auch hier sollte für die Darstellung von Bildern ein schadhaftes Plug-In heruntergeladen werden. 2010 konnte der Bande allerdings das Handwerk gelegt werden. Nikita Kuzmin, der Kopf hinter der Gruppe, wurde verhaftet.

Ende 2009 wurde das Eidgenössische Departement für auswärtige Angelegenheiten (EDA) Ziel eines professionellen Cyberangriffs. Am 14. Oktober trat beim EDA ein Problem mit einem Server auf. Bei einer anschliessenden Analyse durch Microsoft wurde Fremdcode gefunden. Das EDA informierte daraufhin das Bundesamt für Informatik und Telekommunikation (BIT) sowie Melani für erste Abklärungen.

Die Analysen ergaben, dass das EDA Ziel einer professionellen Malware-Attacke wurde. Unbekannte Täter setzten bei diesem Angriff eine besondere Schadsoftware ein, um in die IT-Infrastruktur des Departements zu gelangen und gezielt Informationen zu beschaffen. Die Malware war dabei äusserst gut versteckt und verursachte vorerst keine wahrnehmbaren Störungen in der IT-Infrastruktur.

Als Sofortmassnahme musste das EDA seine Infrastruktur für mehrere Tage vom Netz nehmen. Damit sollte eine weitere Manipulation der Informatik durch Dritte verunmöglicht und ein Datenfluss nach aussen verhindert werden, was schlussendlich aber nicht gelang.

Mitte 2010 sorgte der Computervirus Stuxnet für Schlagzeilen. Die Schadsoftware hatte in einer iranischen Anreicherungsanlage bis zu 1000 Uran-Zentrifugen beschädigt. Dazu musste lediglich ein USB-Stick in ein Windows-7-System gesteckt werden. In der Schadsoftware waren zwei Treiber mit Rootkit-Funktionen integriert, welche mit regulären, aber wohl gestohlenen digitalen Signaturen von zwei verschiedenen Firmen versehen waren. Dadurch liessen sie sich ohne Warnung im System installieren.

Der Wurm wurde über Druckspooler und Netzwerkfreigaben weiterverbreitet. Dazu hatte der Virus auch eine Peer-to-Peer-Komponente, welche gegenseitige Updates von infizierten Systemen innerhalb desselben Netzes ermöglichte. Auf diese Weise konnte sich Stuxnet auch in Offline-Netzwerken aktualisieren, sobald eine neuere Version eingeschleppt wurde.

Neben diesen aussergewöhnlich vielseitigen Infektionsvektoren für Windows konnten mit dem Code von Stuxnet auch Anwendungen manipuliert werden, die der Programmierung von industriellen Kontrollsystemen dienten. Dabei verschleierte Stuxnet seine Anwesenheit nicht nur auf Windows-Systemen, sondern auch in allen anderen befallenen Komponenten.

Am 7. April 2014 wurde eine kritische Sicherheitslücke in OpenSSL entdeckt, die unzählige Internetbenutzer direkt oder indirekt betraf. OpenSSL gehört zu den wichtigsten Verschlüsselungsbibliotheken und ist standardmässig auf vielen Webservern und bei Internetdiensten installiert, um die Kommunikation zu sichern. Eine Analyse des IT-Dienstleisters Netcraft zeigte vor zehn Jahren eine Vielzahl an verwundbaren Systemen.

Ursache war eine Sicherheitslücke bei der Funktion "Heartbeat", die eigentlich dafür sorgen sollte, dass eine gesicherte Verbindung über eine bestimmte Zeit bestehen bleibt und nicht immer wieder neu initialisiert werden muss. Durch diese Lücke konnten Angreifer die letzten 64 Kilobyte des Arbeitsspeichers eines betroffenen Servers einsehen, in dem sich die von Benutzern übertragenen Daten während eines kurzen Zeitraums befanden.

Auf diese Weise konnten sie Passwörter, Transaktionsdaten, aber auch Daten des Servers, wie zum Beispiel private Schlüssel, auslesen. Von der Lücke waren nicht nur E-Mail-Provider und Finanzinstitute betroffen, sondern auch Webdienste, die ein verschlüsseltes Login anboten und nicht-webbasierte Dienste wie beispielsweise Smartphone-Apps, Chatdienste, Cloudspeicher, Streamingdienste oder VPN-Zugänge.

Kurz vor Weihnachten 2015 wies der Nachrichtendienst des Bundes den Rüstungsbetrieb Ruag darauf hin, dass das Unternehmen gehackt wurde. Gemäss der Melde- und Analysestelle Informationssicherung könnte der Cyberangriff bis auf das Jahr 2014 zurückgeführt haben.

"Die Angreifer benutzten eine seit mehreren Jahren im Umlauf befindliche Schadsoftware der Turla-Familie. Die im Netzwerk der Ruag beobachtete Variante hat keine Rootkit-Funktionalität und setzt auf Tarnung, um unerkannt zu bleiben", hiess es in einem Bericht von Melani. Inside-it.ch hat den Fall Anfang 2021 nachrecherchiert.

Im ersten Halbjahr 2017 sorgten die Ransomware-Angriffe "WannaCry" und "NotPetya" weltweit für Aufsehen. Während WannaCry zunächst Spitäler in Grossbritannien, die Deutsche Bahn, den spanischen Telco Telefonica oder den US-Paketdienst Fedex traf, fielen NotPetya vor allem Computer in der Ukraine, aber auch grosse Konzerne wie das dänische Logistikunternehmen Maersk und der deutsche Pharma- und Chemieproduzent Merck zum Opfer. Bei NotPetya kam es auch in der Schweiz zu Infektionen.

NotPetya hatte zwar eine gewisse Ähnlichkeit mit dem Ransomware-Stamm Petya/Misha. Das Besondere an NotPetya war aber die Tatsache, dass die Schadsoftware den Master Boot Record verschlüsselte. Dies ist nur mit einer entsprechenden Berechtigung möglich. Wenn diese nicht vorhanden war, übernahm der andere Teil der Malware-Familie, Misha, die Dateiverschlüsselung. NotPetya war somit eine als Ransomware getarnte Datenzerstörungssoftware.

Die Schadsoftware verschlüsselte Computer zwar ähnlich wie eine herkömmliche Ransomware, doch der Virus verbreitete sich auf völlig neue Weise. Die Angreifer bauten mehrere Möglichkeiten ein, damit sich die Malware in einem internen Netzwerk unbemerkt verbreiten konnte. Damit war die Schadsoftware in der Lage, Hashes von Anmeldedaten (LSA Dump) auszulesen und Anmeldedaten zu sammeln.

Ende 2020 infiltrierten Hacker, die mit der russischen Regierung in Verbindung stehen, die Orion-Netzwerk­über­wachungs­software von Solarwinds. Im März hatten die Cyberkriminellen eine Hintertür in ein Update eingebaut. Die verseuchte Software wurde von Tausenden von Kunden heruntergeladen, darunter US-Regierungsbehörden und zahlreiche grosse Unternehmen.

Durch die Kompromittierung konnten sich die Angreifer einen vorgelagerten Zugang zu ihren Zielen verschaffen. Die Supply-Chain-Attacke war auch besonders interessant, weil sie den Zugang zu mehreren Zielen gleichzeitig ermöglichte und das Eindringen in einer ersten Phase besser verbergen konnte.

Im Januar 2021 informierte Europol über eine gross angelegte Aktion gegen die Verantwortlichen hinter der Schadsoftware Emotet. Zu Beginn war Emotet ein reiner Bankentrojaner. Das Ziel der Angreifer war es, in das IT-System der Opfer zu gelangen, um die Zugangsdaten der Bankverbindungen zu erhalten. Danach funktionierte Emotet wie ein "Dropper". Diese werden oft dazu verwendet, weitere Module nachzuladen.

Die Zugänge zu den infizierten IT-Systemen wurden oft an andere Gruppierungen weiterverkauft. Diese platzierten dann Zugänge für eine Ransomware, verschlüsselten die Daten auf dem Netzwerk und forderten Lösegeld für die Schlüssel. "War Emotet einmal im System, war es sehr schwer, die Schadsoftware wieder zu entfernen", schrieb das damalige NCSC in einem Halbjahresbericht.

Dabei war die Malware sehr anpassungsfähig. Sie konnte beispielsweise die Kontaktbeziehungen und E-Mail-Inhalte mittels sogenanntem E-Mail-Harvesting aus den Postfächern infizierter Systeme auslesen. Mit den gesammelten Daten konnten dann wiederum weitere Angriffe gestartet werden. So wurden die Kontakte zum Öffnen von Word-Dokumenten sowie zum Ausführen der darin enthaltenen Office-Makros verleitet.

Nach der Operation Ladybird und der vermeintlichen Zerschlagung von Emotet dauerte es kein Jahr, bis Cybersecurity-Experten eine Rückkehr der Cyberkriminellen feststellten. Eine Analyse von Intel 471 zeigte zudem, wie dynamisch die Landschaft der Cyberkriminellen mittlerweile ist.

Im Dezember 2021 machten Sicherheitsforscher und verschiedene Websites auf eine Zero-Day-Lücke in der Java-Logging-Bibliothek Log4j aufmerksam. Nur wenig später tauchte eine weitere kritische Sicherheitslücke in der Java-Bibliothek auf. In Kombination erlaubte diese den Angreifern die Ausführung von Code aus der Ferne. Trotz Workarounds und Patches kam es zu zahlreichen Sicherheitsverletzungen, unter anderem beim belgischen Verteidigungsministerium.

Nach dem Bekanntwerden der Sicherheitslücken arbeiteten der öffentliche und private Sektor, die Open-Source-Community sowie Security-Forscher weltweit zusammen. Doch die Schwachstelle betrifft praktisch jede vernetzte Organisation. Gemäss einem Bericht des US Department of Homeland Security (DHS) könnte Log4j noch ein Jahrzehnt oder länger in Systemen verbleiben und somit "endemisch" werden.

Im Frühling 2023 sorgte der Ransomware-Angriff auf den Behörden-Software-Anbieter Xplain für Schlagzeilen. Die Ransomwarebande Play hat dem Unternehmen 907 Gigabyte an Daten gestohlen und diese im Darknet publiziert. Darunter befanden sich Daten des Bundesamts für Polizei (Fedpol) und des Bundesamts für Zoll und Grenzsicherheit (BAZG), von den SBB und dem Kanton Aargau, der Liechtensteiner Landespolizei sowie vielen weiteren. Teilweise waren auch operative Daten darunter.

Der Vorfall zog mehrere Untersuchungen nach sich. Dabei mussten alle beteiligten Fehler eingestehen. Demnach hätten weder das Fedpol noch das BAZG mit Xplain klar vereinbart, unter welchen Voraussetzungen Personendaten auf den Servern von Xplain gespeichert werden könnten, urteilte etwa der Eidgenössische Datenschutzbeauftragte Adrian Lobsiger.

Die Behörden wurden in den Untersuchungsberichten zwar kritisiert, aber die gewählten Worte waren gemessen am Ausmass des Cyberangriffs zu harmlos. Auch personelle Konsequenzen gab es keine, es schien eher, als wollten die Verantwortlichen möglichst schnell wieder zur Tagesordnung übergehen.

Seit der Invasion von Russland in der Ukraine wird die Schweiz auch immer wieder zur Zielscheibe von DDoS-Attacken. Besonders häufig kommen solche Angriffe vor, wenn Ereignisse im Zusammenhang mit diesem Konflikt anstehen. So zum Beispiel vor der Rede des ukrainischen Präsidenten Wolodymyr Selenskyj im Bundeshaus oder vor der Ukraine-Konferenz auf dem Bürgenstock. Unter anderem wurden Websites des Bundes, von Stadtverwaltungen, Flughäfen und Grossunternehmen attackiert.

Im Gegensatz zu früher gibt es heute geeignete Abwehrmassnahmen gegen solche Angriffe. So können diese zwar zu kurzzeitigen Ausfällen führen oder die Antwortzeiten verlangsamen, richten aber kaum mehr nachhaltig Schaden an. Dennoch sind die Angriffe von grosser Tragweite. Das Bacs empfiehlt deshalb: "Bei einem DDoS-Angriff geht es primär darum, dem Angreifer zu signalisieren, dass er sein Ziel nicht erreicht. Halten sie genügend lange durch, wird der Angreifer sich typischerweise von Ihnen abwenden."