Geotech: Was die Schweiz für mehr Cybersicherheit tun kann

4. Oktober 2022, 12:11
image
Blick auf das Bellevue in Zürich. Foto: Patrick Federi / Unsplash

Die geopolitische Lage spitzt sich auch im Cyberspace zu. Einzelne Anbieter auszuschliessen, sei keine gute Massnahme, sagen Security-Experten. Sie bevorzugen andere Mittel.

Mitte Juli machten die USA erneut China für eine Cyberkampagne auf zehntausende Organisationen verantwortlich. Unter den Opfern findet sich auch die Schweiz. Und es drohen weitere Risiken. Die hiesige kritische Infrastruktur sollte zwar nicht in den Fokus russischer Sabotage geraten, bei anhaltendem Krieg drohen aber Sabotageangriffe auf NATO-Staaten und damit Kollateralschäden in Europa. Zugleich werden mit der Digitalisierung, der grossen Anzahl internettauglicher Geräte und der zunehmend komplexeren Software-Stacks auch Angriffsfläche und potenzielle Schäden grösser.
Das birgt Risiken für die kritische Infrastruktur. Während der Gesundheitssektor mit seinen Medizinalgeräten in der IT-Security teils vorsintflutlich anmutet, wird das Schweizer Stromnetz zu einem Smart-Grid-System umgebaut. An diesem sollen sich auch kleine Firmen beteiligen können, die oftmals über keinerlei IT-Security-Knowhow verfügen. Ein Horrorszenario? Hier werde es mit Sicherheit mehr Unterstützung seitens des Nationalen Zentrums für Cybersicherheit (NCSC) brauchen, sagt ETH-Sicherheitsforscher Kevin Kohler, auch wenn in den letzten Jahren offenbar mehr Bewusstsein und Wille entstanden sei. Beleg dafür ist die Diskussion um den Ausbau des NCSC zu einem Bundesamt mit mehr Kompetenzen.
Die politische Diskussion ist aufgeladen und schiesst öfter über das Ziel hinaus. Demnächst wird auch in der Schweiz über eine Motion befunden, die ein Verbot von IKT-Komponenten vorsieht, wenn ein Hersteller mit einem autokratischen Staat verbunden ist. Namen, die häufig fallen: Huawei und Kaspersky. Der Ausschluss einzelner Anbieter nütze aber in Sachen Spionage oder Sabotage wenig, sagt der IT-Security-Experte Raphael Reischuk. Zu vernetzt sind die Technologien. Akteure mit den Ressourcen geopolitisch wichtiger Staaten fänden ein neues Schlupfloch – etwa wenn sie die Lieferketten angreifen würden – das man dann wiederum stopfen müsste, so Reischuk. Das würde einer Sisyphus-Arbeit gleichen.
Eine 'Cyber-Empa' als Bestandteil des Dispositivs
Ein Puzzlestein wäre eine unabhängige Testanstalt für Soft- und Hardware. "Ein Testzentrum für Cybersicherheit wäre sinnvoll. Europa – und erst recht die Schweiz – hat keine Chance, sich in den nächsten 10 Jahren von Hard- und Software von jenseits der Weltmeere unabhängig zu machen", sagt Security-Forscher David Gugelmann. In Zug wurde mit dem Nationalen Testzentrum für Cybersecurity (NTC) ein solches aufgegleist. Diesem wurde kürzlich eine kantonale Anschubfinanzierung von rund 7,5 Millionen Franken zugesprochen. Es soll bis 2025 mit 30 Cybersicherheitsspezialisten ausgestattet sein und zudem auf Ressourcen externer Security-Firmen zugreifen können.
Raphael Reischuk ist der technologische Vordenker des NTC. Der vielerorts engagierte Informatiker sagt: "Die Transparenzinitiativen von Kaspersky und Huawei sind zu begrüssen, aber die Technologien sind so komplex und miteinander verzahnt, dass man nie das ganze Bild sehen kann." Transparenz müsse unbedingt von unabhängigen und unkommerziellen Drittparteien gesichert werden. Reischuk nennt die Bestimmungen des NTC: Die Analyse soll minutiös dokumentiert und 10 Jahre aufbewahrt werden. Schwachstellen werden den Herstellern und im Falle einer ernsten Bedrohung dem NCSC gemeldet. So sieht es ein Memorandum of Understanding vor, das im letzten Dezember als Vorlage publiziert worden ist.
Firmen, die es unterschreiben, müssen alle angeforderten Materialien von der Dokumentation über den Quellcode bis zu technischen Spezifikationen zur Verfügung stellen. Das ist ein grosser Unterschied zu firmeninternen Initiativen wie bei Kaspersky oder Huawei. Vorbereitungszeit haben die Unternehmen kaum und sie sollen liefern, was das NTC einfordert. Sanktionsmittel hat das NTC nicht: Falls sich eine registrierte Firma weigert, wird die Komponente oder das Produkt als "nicht getestet" ausgewiesen. Die Architektur und die politische Dimension des NTC hat Reischuk kürzlich im Gespräch mit inside-it.ch umrissen.

Selbst Staubsauger müssen Vorgaben erfüllen

Eine solche unabhängige Prüfinstanz kann aber nur ein Teil in einem ganzen Dispositiv sein. Die Bundesverwaltung hat kürzlich eine zentrale Plattform für Bug-Bounty-Programme beschafft, auf der ethische Hacker künftig die IT-Systeme der Bundesverwaltung nach Schwachstellen durchsuchen können. In einem ersten Pilotprojekt vom Mai 2021 hatten Teilnehmer bereits 10 Lücken gefunden.
David Gugelmann, der auf Netzwerksicherheit spezialisiert ist, nennt einen weiteren Aspekt: "Eine beständige Überwachung des Datenverkehrs wäre wichtig, gerade weil Backdoors relativ einfach versteckt werden können. Grosse Organisationen kommen nicht darum herum, ihren Netzwerkverkehr zu monitoren, sei dies in einem eigenen Security Operations Center (SOC) oder durch einen Sicherheits-Dienstleister." Bei Banken sei dies bereits Pflicht. Deutschland gehe sogar noch einen Schritt weiter und fordere das für sämtliche kritische Infrastruktur, so Gugelmann. Die Debatte läuft auch in der Schweiz.
Das würde gesetzliche Grundlagen voraussetzen. Es gebe bislang neben dem Datenschutzgesetz kaum Grundlagen, die die IT-Sicherheit von Produkten und Services verbindlich regeln würden, sagt Reischuk. Dabei wären sowohl Hersteller als auch Integratoren und Operatoren der Dienste in die Pflicht zu nehmen. Es müsste nur schon festgelegt werden, wer bei einem Vorfall haftet, sagt Reischuk und beschwichtigt: "Ich will keinen Führerausweis für das Internet, aber minimale Vorgaben müssen unbedingt gesetzlich festgelegt werden." Bestimmte Regeln für IT-Produkte sind wichtig: Heute dürfen beispielsweise auch keine Staubsauger mehr verkauft werden, die die Richtlinien für die Stromleistung nicht erfüllen.
Eine wichtige Rolle könnte das NCSC spielen. Dieses hat kürzlich ein Regelwerk für den Gesundheitssektor publiziert, überraschend war das Endpoint-Monitoring nicht als Pflichtkriterium definiert. Da das NCSC aber ohnehin keine Weisungsbefugnisse hat, hätte dies auch keinen verpflichtenden Charakter. Das könnte sich aber nach dem Umbau zum Bundesamt mit mehr Befugnissen ändern.

Die Kosten sind eine grosse Hürde

So könnten Herstellern zu Standards verpflichtet werden, aber auch Anwender müssten die Situation besser einschätzen können. Erst jüngst haben das NCSC und die Schweizerische Kriminalprävention eine nationale Sensibilisierungskampagne zum Thema Cybersicherheit gestartet. Die Kampagne unter dem Stichwort "Sichern, Updaten, Prüfen, Einloggen, Reduzieren" ist ein Schritt in die richtige Richtung, deckt aber nur die Grundlagen ab.
Ergänzt werden müsste der Ansatz mit einer besseren Sicherheit von Software, der bereits im Designprozess als prioritär zu behandeln wäre. Als wichtiger Ansatz wird auch Zero Trust gehandelt, ein Sicherheitskonzept, das darauf basiert, keinem Gerät, Nutzer oder Dienst ausser-, aber auch innerhalb des eigenen Netzwerks zu vertrauen. Jeder Anwender, beziehungsweise jedes Gerät, wird unabhängig von seinem Standort in Bezug auf das Netzwerk bei jedem Zugriff überprüft, als stamme dieser aus einem unkontrollierten, nicht-vertrauenswürdigen Netzwerk. Dies erfordert allerdings umfangreiche und aufwendige Massnahmen zur Authentifizierung sämtlicher Anwender und Dienste sowie zur Prüfung des Verkehrs in einem stark segmentierten Netzwerk.
Und all diese Massnahmen kosten, was zu oft die Motivation zum Handeln verringert. Bis ein verheerender Angriff ein Unternehmen oder gar kritische Infrastruktur lahmlegt.
Korrigendum 6. Oktober 2022: Ein Satz zu einer Klausel im MoU des NTC wurde gestrichen. Zudem wurde die Aussage zu den möglichen Schlupflöchern im dritten Abschnitt präzisiert.

Loading

Mehr zum Thema

image

Mutmasslicher Cyberangriff auf den Vatikan

Russische Hacker sollen verschiedene Websites des Zwergstaates angegriffen haben, weil der Papst den Angriffskrieg in der Ukraine als "grausam" bezeichnete.

publiziert am 1.12.2022
image

Polizei in San Francisco will Roboter zum Töten einsetzen

Eine Mehrheit eines kommunalen Gremiums hat die umstrittene Richtlinie nach wochenlanger Prüfung und einer hitzigen Debatte angenommen. Kritische Stimmen wehren sich gegen den Entscheid.

publiziert am 30.11.2022
image

NCSC warnt vor neuer Office-365-Phishing-Variante

Der neue Trick scheint noch ausgeklügelter zu sein als bisherige Phishing-Tricks.

publiziert am 29.11.2022
image

Bei Infopro laufen erste Systeme nach Cyber­angriff wieder

Der Berner IT-Dienstleister kann erste Systeme wieder hochfahren und hofft, im Verlauf dieser Woche zum Normal­betrieb zurückkehren zu können.

publiziert am 28.11.2022