"Teile der kritischen Infra­­struktur sind kompromittiert"

1. September 2015, 13:46
  • security
  • schweiz
  • swisscom
image

Passiert etwas, werde einfach der CSO entlassen, kritisiert Security Architect Stefan Frei von Swisscom.

Die IT-Welt dreht sich schneller und schneller, wird komplexer und komplexer. Für Dr. Stefan Frei ist das soweit nichts Neues. Er ist Security Architect der Swisscom und hat heute in Zürich an einer Pressekonferenz über die nationale Sicherheitslage aus Sicht von Swisscom informiert.
Grundsätzlich würden Attacken in Zukunft weniger vorhersehbar und häufiger auf innovativen Wegen kommen. Das liege vor allem an der zunehmenden Vernetzung von Geräten unter dem Stichwort "Internet of Things". Die dadurch zunehmende Vielfalt miteinander verbundener Geräte erhöhe auch die Komplexität, was die Prävention schwieriger machen werde.
Im Hinblick auf die Bedrohung durch staatliche Akteure wie Geheimdienste geht Frei davon aus, dass "Teile der kritischen Infrastruktur der Schweiz kompromittiert sind". Er verweist dabei auch auf die Gefahr von Attacken zwecks Industriespionage. Oft würden entsprechende Möglichkeiten präventiv ausgelotet, um im Bedarfsfall zuschlagen zu können.
Als gut geschützt bezeichnet Frei einzig die Finanzindustrie. Viele andere hätten noch Luft nach oben. Überraschend ist, wie auch in der IT-Industrie die unmittelbare Betroffenheit eine grosse Rolle zu spielen scheint. Als in den USA grosse Teile der IT-Infrastruktur von Sony Entertainment gehackt wurden, schoss die Nachfrage nach Security-Lösungen und mit ihr die Börsenkurse der nordamerikanischen IT-Security-Firmen in die Höhe. In der Schweiz habe man diesen Effekt überhaupt nicht gespürt, sagt Frei. Grundsätzlich würde das Bewusstsein in den Unternehmen zwar zunehmen. Doch er kritisiert: "Passiert etwas, wird auch heute noch vielerorts einfach der CSO entlassen. Dass er längst vor der Gefahr gewarnt und ihm das nötige Budget verweigert wurde, wird ignoriert".
Den Handel mit Schwachstellen institutionalisieren
Zu den dringendsten Problemen zählt Swisscom Zero-days, Sicherheitslücken, die ausgenützt werden können, bevor sie der Hersteller geschlossen hat. Im Idealfall informiert der Entdecker einer solchen Lücke den Hersteller, damit er sie schliessen kann, bevor Schaden angerichtet wird. Oft lande die Kenntnis über diese Lücken aber auch bei Geheimdiensten, Cyberkriminellen oder finanzkräftigen Terroristen. Oder der Hersteller ignoriert das Problem gleich selbst. Einige Unternehmen versuchen, diese Zero-days und weitere Lücken mit Belohnungsprogrammen aufzukaufen. Die Website Bugcrowd, die für eine (unvollständige) Übersicht bestehende Bug-Bounty-Programme sammelt, hat aber noch keine hundert Unternehmen gefunden, die finanzielle Belohnungen ausschreiben. Auch wenn es tatsächlich deutlich mehr sein dürften: Diese (scheinbare) Überschaubarkeit des Engagements der Privatwirtschaft wirft die Frage auf, ob das reicht.
Aus Sicht von Stefan Frei reagiert die Privatwirtschaft zu träge. Immer wieder käme es vor, dass Unternehmen Sicherheitslücken nicht oder nur halbherzig schliessen. Jüngst durch die Medien gegangen ist die Story von zwei Hackern, die über neun Monate lang mit Chrysler in Kontakt standen, nachdem sie herausgefunden haben, wie sie das System eines Jeep Cherokee übernehmen können. Chrysler hat zwar einen Sicherheits-Patch auf seine Website gestellt. Darauf aufmerksam werden musste der Kunde aber selber. Ausserdem musste er für den Patch zu einem Händler gehen oder ihn selbst via USB-Stick installieren. Das war den Hackern zu wenig, weshalb sie die Lücke an der Sicherheitskonferenz Blackhat öffentlich gemacht haben. Als Folge entschied sich Crysler dazu, alle betroffenen Autos zurück zu rufen.
"Was wäre, wenn zum Beispiel die UNO ein internationales Programm zum Aufkauf von Schwachstellen auflegen würde?", hat sich Stefan Frei deshalb gefragt. Bereits vor bald zwei Jahren hat er sich dazu Gedanken gemacht kosten". Das sei eine verschwindend kleine Summe, verglichen mit den potentiellen Schäden, die sonst durch diese Schwachstellen zu entstehen drohten. Angelockt würden die Hacker mit finanziellen Belohnungen die den üblichen Preisen auf dem Schwarzmarkt entsprechen oder diese übersteigen würden. (Michael Küng)

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

Swisscom verdient 2022 weniger

Aber das dürften wir eigentlich noch gar nicht wissen. Die Publikation der Geschäftszahlen war ein Versehen.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

In der Schweizer IT-Branche steigen die Löhne weiter

Michael Page hat seine neue Lohnübersicht veröffentlicht. Kandidatenmangel und Inflation führen zu steigenden Lohnerwartungen. Mit welchen Löhnen IT-Beschäftigte rechnen können.

publiziert am 2.2.2023