«Die Schweiz steht nicht im Fokus der Angreifer»
Erstes Fallbeispiel
CW: Sie führen beide ja auch Analysen für Melani respektive für Firmen durch. Können Sie uns anhand eines konkreten Falls die Vorgehensweise zeigen?
Lamia: In Zusammenarbeit mit Swiss Cyber Experts haben wir schon zwei Übungen durchgeführt und einen echten Fall behandelt. Wichtig ist, dass die Meldungen immer zentral an Melani gelangen. Wir müssen anhand der Informationen die Lage beurteilen können. Beim konkreten Fall handelte es sich um eine grössere Schweizer Firma, die nicht im geschlossenen Kundenkreis von Melani ist. Das Unternehmen hatte ein Problem mit einer Malware und wandte sich an uns. Wir erkannten dabei, dass der Fall zwar für das betroffene Unternehmen kritisch war, es sich jedoch aus Sicht des Staates nicht um eine kritische Infrastruktur handelte. Gleichzeitig waren wir mit anderen, dringenderen Fällen beschäftigt. Unsere Ressourcen waren somit ausgeschöpft. Wir haben den Fall an die Swiss Cyber Experts weitergeben können. Dabei fragten wir die betroffene Firma, ob sie damit einverstanden sei. In dem konkreten Fall war das Unternehmen einverstanden und wir mussten die für die Weiterbehandlung notwendigen Daten nicht einmal anonymisiert übergeben.
Ellenberger: Bei uns angekommen, läuft ein solcher Fall dann nach einem zuvor definierten Prozess ab, den wir darüber hinaus auch schon eingeübt hatten, bei dem wir also wissen, dass er funktioniert. Zunächst geht die Meldung an die Geschäftsstelle, die dann die einzelnen Swiss Cyber Experts informiert. Es folgt ein Meeting, bei dem abgeklärt wird, wer aktuell dafür Ressourcen frei hat. Eine weitere Frage lautet, wer das Know-how in dem für diesen Fall geforderten Bereich hat und somit die Projektleitung übernimmt. Im erwähnten Fall war Know-how vorhanden, und zwar gleich bei verschiedenen Firmen. Die Erfahrungen liessen sich somit bündeln und der Fall konnte sehr schnell gelöst werden. Ist eine Lösung gefunden, geben die Swiss Cyber Experts eine Empfehlung ab, wie das Problem am besten von der geschädigten Firma angegangen werden soll. Wir stellen im Prinzip eine Diagnose und schlagen eine Behandlung vor. Danach geht der Fall aber wieder zurück zu Melani.
Die CW-Redaktoren Fabian Vogt und Jens Stark im Gespräch mit Pascal Lamia und Tobias Ellenberger (v. l. n. r.)
Quelle: Samuel Trümpy/NMGZ
CW: Wie lange dauert dieser ganze Prozess?
Lamia: Bei besagtem Fall ist dies innerhalb von zwei bis drei Stunden analysiert und an die Swiss Cyber Experts weitergereicht worden.
Ellenberger: Im Prozess haben wir einen maximalen Zeitrahmen von 48 Stunden festgelegt, den wir aber noch nie erreicht haben. Innerhalb eines Tages können wir in der Regel auf einen Vorfall reagieren.
Lamia: Es kommt auch darauf an, wann der Fall gemeldet wird. Ist das am Freitagabend um 20 Uhr, ist es für uns schwieriger, die entsprechenden Ressourcen aufzubieten und die nötigen Kontaktpersonen zu erreichen.
Ellenberger: Problematisch kann es vor allem werden, wenn es sich um einen Spezialfall handelt, bei dem auf das Know-how einer oder zweier Mitgliedsfirmen zurückgegriffen werden muss, die wiederum nur wenige Spezialisten für ein bestimmtes Thema haben. Genau dafür finden regelmässig Übungen statt, werden die Prozesse geprüft und bei Bedarf angepasst.
Lamia: Zudem ist jeder Fall anders. Handelt es sich um eine Attacke mit einer bekannten Malware, können wir sehr schnell auch mithilfe der Swiss Cyber Experts reagieren. Handelt es sich aber um eine neue Bedrohung, die schweizweit auftritt, kann es länger dauern. Dann müssen wir beispielsweise Experten finden, die sich aufs Reverse Engineering verstehen. Bei Melani sind das nur zwei bis drei Personen. Auch hier sind die Swiss Cyber Experts ein zusätzlicher Fachkräfte-Pool. Denn zu den Mitgliedern zählen auch Branchenvertreter wie IBM oder PwC, die eine 24-Stunden-Bereitschaft haben und entsprechende Malware an ihre weltweit vorhandenen Labors weitergeben können. Dort lässt sich ein Problem rund um die Uhr analysieren. Hier liegt also ebenfalls ein grosser Mehrwert der Zusammenarbeit. Diese Fülle an Wissen und Leuten könnten wir uns bei Melani nicht leisten.
CW: Wie viele Prozent der Fälle geben Sie bei Melani weiter, wie viel bearbeiten Sie selbst?
Lamia: Wir versuchen, möglichst alle Vorfälle selbst zu analysieren. In vielen Fällen sind wir sogar dazu gezwungen. So dürfen wir bei Spionagefällen, bei denen Strafverfahren laufen, von Gesetzes wegen keine Informationen weitergeben. Es gibt zudem Geschädigte, die nicht wollen, dass die Daten an eine Vereinigung wie die Swiss Cyber Experts weitergereicht werden.