Schweizer Politiker sind uneins über Angreif­bar­keit der ICT-Infrastruktur

10. Juni 2021, 14:27
  • telco
  • schweiz
  • parlament
  • security
image

Wie riskant ist der öffentliche Zugang zu Swisscom-Netzdaten? Politiker nehmen Stellung zu inside-it.ch-Recherchen.

Wer einen Angriff auf und via ICT-Infrastruktur in der Schweiz planen will, der kann sich wichtige und detaillierte Informationen im Voraus aus der Ferne besorgen. Und dies mit minimalen technischen Kenntnissen und geringem Risiko, jemals aufzufallen.
Dies hat ein Security-Experte uns mitgeteilt, und dies hat inside-it.ch zu überprüfen versucht im Text "Sind Attacken auf kritische ICT-Strukturen zu leicht möglich?".
Das Fazit: Viele detaillierte Informationen über Kabelbeschaffenheit oder Verteilerkästen können bei der Netzauskunft von Swisscom von jedermann beschafft werden. Dies ist auch anonym möglich und die Authentisierung ist lückenhaft.
In Kombination mit anderen Informationsquellen wie Online-Maps, Google Streetview oder virtuellen Rundgängen durch Kongresszentren oder Hotels können Kriminelle Angriffspunkte aus der Ferne identifizieren.
Mit genügend krimineller Energie und ohne viel Aufwand oder Risiko ist es theoretisch möglich, kritische ICT-Infrastruktur zu sabotieren, so der Text. Unabhängige IT-Security-Experten erklären, dass es möglich ist, Spionage zu betreiben oder Informationen zu manipulieren.
Sind Swisscom und öffentliche Organisationen, darunter Städte zu sorglos, wenn sie beispielsweise Netzauskunft-Daten – nach unseren Recherchen auch zu geheimen Infrastrukturen wie Bunkern – jedermann zur Verfügung stellen?
Oder schätzt der Telco Swisscom die ihm bekannten Risiken richtig ein und die Warnungen Aussenstehender sind übertrieben? Wir haben nationale ICT- und Sicherheitspolitiker befragt. Ist die Swisscom zu sorglos und welche politischen Konsequenzen sind allenfalls zu ziehen?

Hoher Aufwand für geringen Effekt?

Nationalrätin Edith Graf-Litscher (SP/TG) antwortet: "Ob Unternehmen wie Swisscom zu sorglos sind, ist eine Frage der individuellen Beurteilung. Fakt ist, dass sich die Betreiber der kritischen Infrastrukturen in der Schweiz der Cybergefahren durchaus bewusst sind und aktiv dagegen vorgehen. Welche Massnahmen sie umsetzen und ob sie dies überhaupt öffentlich kommunizieren, liegt jedoch in der Verantwortung des Unternehmens. So ist es grundsätzlich auch möglich, einen Strommasten zu sprengen und zumindest einen teilweisen 'Blackout' herbeizuführen."
Josef Dittli (FDP/Uri) glaubt ebenfalls nicht an ein grosses Problem: "Bei Bundesinfrastrukturen wird meines Wissens neben der Cybersicherheit immer auch die physikalische Sicherheit betrachtet und es werden Risiken ausgewiesen. Das geschilderte Risiko des Verlustes des Zugangs aufgrund eines Wegfallens der Swisscom Leitung wird – sofern als relevantes Risiko identifiziert – durch redundante Zugänge gelöst (z.B. alternative physikalische Leitungen oder Funkverbindungen)."
"Es werden viele Tools und auch Technologien genannt. Diese sind jedoch weder entscheidend und zum Teil auch nicht für den geschilderten Zweck verwendbar (Details unten). Das Szenario ist generell schon möglich, der Schaden aber wesentlich eingegrenzter als im Artikel beschrieben und der Erfolg würde einen sehr hohen Aufwand für relativ wenig Effekt bedeuten." Dittli, Mitglied der Ständerätlichen Sicherheitskommission und der Kommission für Verkehr und Fernmeldewesen ergänzt, es sei schon früher möglich gewesen, geheime Anlagen zu finden, auf Fusswegen oder beim Besuch eines Bergrestaurants.

"Sorglosigkeit ist erschreckend"

Ganz anders sieht dies der ICT-affine Nationalrat Balthasar Glättli (Grüne/ZH): "Die Sorglosigkeit im Umgang mit sensiblen Informationen ist erschreckend. Das Bewusstsein ist offenbar höchstens theoretisch vorhanden, dass die Telekommunikations-Infrastruktur eine kritische Infrastruktur ist, welche als Angriffsvektor sehr attraktiv ist. In der Praxis wird dies offenkundig nicht gelebt", sagt er nach der Lektüre kurz und bündig.
Nationalrätin und Swico-Geschäftsführerin Judith Bellaiche (GLP/ZH) sagt, der Text zeige, dass die Security-Herausforderungen gross seien und Risiken bei unterschiedlichen Akteuren liegen könne. Sie könne die Tragweite zwar nicht selbst beurteilen, aber sagt: "Was die erwähnte 'Sorglosigkeit' von Swisscom betrifft, glaube ich zu wissen, dass das Unternehmen ausgesprochen viel Energie in die eigene Sicherheit investiert und sehr hohe Ansprüche an sie stellt. Sowohl mit internen Teams als auch gezielten Aufträgen. Das Unternehmen betreibt auch Bug-Bounty-Programme, die einen strukturierten Rahmen für das systematische Aufsuchen und Melden von Sicherheitslücken geben und entsprechend belohnen. Dass immer wieder neue Lücken auftreten, hat mit Sorglosigkeit nichts zu tun, sondern ist ein inhärentes Ziel des Programms und zeigt wiederum, dass absolute Sicherheit kaum zu erreichen ist."

Es kommt eine Meldepflicht bei kritischen Vorfällen

Bellaiche sagt denn auch, was Politikerinnen und Politiker aller Couleurs unterschreiben könnten: "Security ist auch eine kontinuierliche und nie endende Aufgabe. Diese kann nur gemeinschaftlich angegangen werden zwischen Staat, Unternehmen und Konsumenten. Sie glaube, dass hier Fortschritte erzielt würden und das Thema ernst genommen werde.
Auch Graf-Litscher erklärt, die "Zusammenarbeit zwischen dem Staat und der Privatwirtschaft läuft im Cyberbereich sehr gut. So erstellt beispielsweise das BABS mit den Unternehmen die Risiko- und Verwundbarkeitsanalysen. Das BWL wiederum erstellt mit den Branchen die Minimalstandards und das NCSC informiert und warnt vor Cybergefahren und unterstützt die Unternehmen subsidiär bei einem Cyberangriff."
Sie weist auch darauf hin, dass in Kürze der Bundesrat eine Meldepflicht bei schwerwiegenden Sicherheitsvorfällen bei kritischen Infrastrukturen einführen werde, die auf ihrem Postulat von 2017 ausgelöst wurde.
"Zusammen mit der Eigenverantwortung der Unternehmen, ergibt dies einen hohen Stand an Sicherheit bei uns in der Schweiz", so die Nationalrätin.

"Wesentlich aufwändiger als dargestellt"

Josef Dittli nimmt konkret Stellung zu den genannten Möglichkeiten. Er stützt die Swisscom-Aussagen und deren Vorgehen. Er sagt, es sei hohe kriminelle Energie und mehr Vorwissen als im Artikel genannt nötig, um schon eine Sabotageaktion zu starten, von Abhören oder Datenmanipulation nicht zu sprechen. Auch sei der Nachrichtendienst des Bundes nicht so einfach zu verwunden wie dies der IT-Security-Experte "Meier" zu inside-it.ch sagt.
Dittli stützt auch die Offenlegung der Daten wie sie die Netzauskunft bietet: "Die Netzdaten sind gewollt einsehbar. Swisscom verweist korrekterweise auf die Risikoeinschätzung. Ich teile diese. Schliesslich könnte man ja einfach durch die Strasse gehen und würde die Verteilerkästen ja auch sehen, wenn man sie sucht. Und falls man dann physikalisch sabotieren oder zugreifen wollte, müsste man da ja eh hin." Zu den geheimen Einrichtungen schreibt er: "Generell kann diese Aussage korrekt sein, wenn das Objekt zu nahe am gezeigten Ende wäre und es sichergestellt ist, dass es sich effektiv um klassifizierte Objekte handelt und nicht 'normale' ändernde Eigentumsverhältnisse. Zu diesem Fakt müsste man aber das VBS befragen. Generell werden solche Dinge in Informationssicherhits- und Datenschutzkonzepten berücksichtigt."
Dittli hält also die Warnungen für übertrieben, auch bei Sabotage, auch wenn der physikalische Schutz auf öffentlichem Grund "zum Teil verbesserungswürdig" sei.
Dittli hält auch die Aussagen zu den Abhörmöglichkeiten mit Rasperry Pi etc. für sachlich nicht richtig. "Es ist meines Wissens so, dass gerade Voice-over-IP-Daten meist verschlüsselt sind. Encrypt everything bezieht sich auf alle Daten. Es kann sein, dass gewisse Daten nicht verschlüsselt wären. Diese abzuhören wäre jedoch wesentlich aufwändiger als dargestellt. Die erwähnten Technologien (Raspberry Pi etc…) reichen nicht aus um das zu machen. Sie sind in den genannten Szenarien zu wenig leistungsfähig und könnten lediglich Leitungen mit kleinen Datenmengen leicht abhören. (Ausserdem: Warum soll ich eine Batterie verwenden, wenn ich eh an den Verteilerkasten gehe. Da hat es Strom drin)."

Mehr Verschlüsselung wäre wünschenswert

Hingegen teilt er die Einschätzung der IT-Security-Experten, dass der Einsatz von verschiedenen Verschlüsselungsebenen sehr sinnvoll sei, und "– gerade in sensiblen Bereichen – gemacht werden sollte. Auch werde die interne Kommunikation bei vielen Firmen vernachlässigt und Firmen "bei E-Mails jegliche Absicherung vermissen lassen".
Dittlis detaillierte Stellungnahme per E-Mail publizieren wir als PDF.
Dittli schreibt überzeugt: "Ich zweifle etwas an der Expertise der Experten, da sie eher grundlegende Gedankenspiele durchspielen. Diese machen sich Einsteiger in die Materie oder Laien. Experten verstehen, dass die Details komplexer sind und würden ein Szenario entsprechend detaillierter und weniger 'reisserisch' darstellen."
Die beiden Sicherheitspolitiker Nationalrätin Ida Glanzmann-Hunkeler (Die Mitte/AG) und Ständerat Werner Salzmann (SVP/BE) reagierten auf die Anfrage von inside-it.ch nicht.
Was stimmt? Wer hat recht? Zeugt der Text von fehlenden Kenntnissen, übertriebenen Befürchtungen? Machen Swisscom oder öffentliche Organisationen richtige Risikobewertungen oder drohen reale Gefahren? Die Wirklichkeit wird es zeigen.

Loading

Mehr zum Thema

image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

In der Schweizer IT-Branche steigen die Löhne weiter

Michael Page hat seine neue Lohnübersicht veröffentlicht. Kandidatenmangel und Inflation führen zu steigenden Lohnerwartungen. Mit welchen Löhnen IT-Beschäftigte rechnen können.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Basel führt Pflichtfach Medien und Informatik in der Sek ein

Bislang wurden die Themenbereiche Medien und Informatik in anderen Fächern zusammen gebündelt. Ab dem Schuljahr 2024/2025 will Basel-Stadt das ändern.

publiziert am 1.2.2023