SCSD 2022
07.04.2022, 08:09 Uhr
Mit Transparenz gegen Cybergefahren
An den diesjährigen Swiss Cyber Security Days in Fribourg wurde nicht nur vor Cybergefahren gewarnt, sondern auch Abwehrstrategien präsentiert.
Florian Schütz, der Delegierte des Bundes für Cybersicherheit, präsentiert an den SCSD Pläne des NCSC
(Quelle: Jens Stark/NMGZ)
Im internationalen Vergleich ist die Schweiz in Sachen Cybersicherheit keine Musterschülerin. Wie das aktuelle Ranking der Fernmeldeunion ITU zeigt, steht die Schweiz auf Platz 42 (Computerworld berichtete). Diese «Hitparade», die übrigens von den USA angeführt wird, wurde denn auch an den diesjährigen Swiss Cyber Security Days (SCSD) in Fribourg mehrmals zitiert, so auch von Nationalrätin (FDP, ZH) und Präsidentin der SCSD, Doris Fiala, während ihrer Eröffnungsansprache. Auch sie tat dies, um zu unterstreichen, dass noch viel zu tun sei, um die Cyberabwehrkraft der Schweizer Wirtschaft und Gesellschaft zu erhöhen.
Dabei wird hierzulande mittlerweile doch schon einiges getan, um die Cybersecurity aller zu verbessern, und zwar auf gut eidgenössische Art unter dem grundsätzlich freiwilligen Einbezug aller Beteiligten. Auch wenn wir ungleich den USA kein «Top down»-System zur Durchsetzung von Massnahmen zur Erhöhung der Cybersicherheit haben, wie Fiala betonte, wurde doch hierzulande erkannt, dass es noch gut wäre, wenn gewisse Fäden zentral zusammenlaufen.
Dabei wird hierzulande mittlerweile doch schon einiges getan, um die Cybersecurity aller zu verbessern, und zwar auf gut eidgenössische Art unter dem grundsätzlich freiwilligen Einbezug aller Beteiligten. Auch wenn wir ungleich den USA kein «Top down»-System zur Durchsetzung von Massnahmen zur Erhöhung der Cybersicherheit haben, wie Fiala betonte, wurde doch hierzulande erkannt, dass es noch gut wäre, wenn gewisse Fäden zentral zusammenlaufen.
Pläne des NCSC
So wurde vor bald drei Jahren vom Bundesrat mit Florian Schütz ein «Mr. Cyber» ernannt. Dieser berichtete denn auch in Fribourg über seine Tätigkeit und weitere Vorhaben. So präsentierte der Delegierte des Bundes für Cybersicherheit die Arbeit des Nationalen Zentrums für Cybersicherheit NCSC und insbesondere dessen Meldewesen, das beständig ausgebaut werde. Der Mr. Cyber appellierte denn auch an Firmen wie Privatpersonen, Cyberangriffe zu rapportieren. «Nur wenn wir genügend Daten erhalten, die wir kumulieren und analysieren können, lassen sich Analysen und Lagebeurteilungen erstellen, die Ihnen wiederum helfen, Ihr Abwehrdispositiv zu gestalten», sagte er und verwies an das Angebot der NCSC wie wöchentliche Analysen und Statistiken.
Diese Transparenz und zusätzliche Informationen sollen denn auch der Grundpfeiler künftiger Tätigkeit werden. Gemäss Schütz soll das NCSC vermehrt auch sein derzeitiges Zielpublikum – Behörden und Betreiber kritischer Infrastrukturen – erweitern und die Wirtschaft generell sowie die Bevölkerung vermehrt bedienen. «Wir müssen für alle da sein. Wir müssen eine Plattform für alle schaffen», meinte Schütz.
Dies sei auch wichtig im Hinblick auf eine neue NCS (Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken) des Bundes, welche die jetzige, die dieses Jahr ausläuft, ersetzen soll. Denn einer der Kernpunkte in der Überarbeitung stellt die Selbstbefähigung von Wirtschaft und Bevölkerung dar. «Der Bund ist nicht dazu da, Sie zu schützen. Das ist Ihre Aufgabe», postulierte Schütz. «Unsere Aufgabe ist es allerdings, Rahmenbedingungen zu schaffen, damit Sie sich schützen können», ist er überzeugt.
Dazu gehöre auch, dass Digitales schon mit einem Sicherheitsfokus entwickelt werden sollte. Hier könne die Schweiz auch international eine Vorreiterrolle übernehmen und mit Sinn für Qualität wie schon in anderen Industrien einen Wettbewerbsvorteil erreichen.
Patchen, patchen, patchen!
Zur Selbstbefähigung dürfte auch zählen, dass Firmen und Private ihre Systeme à jour halten und Schwachstellen schliessen. Schütz berichtete sodann von einer Aktion, bei welcher der Bund Unternehmen per eingeschriebenem Brief aufforderte, doch gewisse Patches einzuspielen für Schwachstellen, die zum Teil schon seit Jahren vorhanden sind.
«Wir konnten nämlich beobachten, dass ein Schweizer Unternehmen nach dem anderen über diese alten Schwachstellen angegriffen und deren Ressourcen verschlüsselt wurden», berichtete er und erklärte, dass auch Firmen unter den Opfern waren, die vorgängig zum Patchen ermahnt worden waren. Die Reaktionen der gewarnten Unternehmen seien bisweilen unangenehm, berichtete Schütz. So habe man von den Betroffenen Post erhalten, mit dem Inhalt, dass man gegen die Behörden wegen Rufschädigung vorgehen wolle.
106'577 kritische Schwachstellen
Wie sehr der Schweizer Cyberspace von kritischen Schwachstellen bedroht ist, haben in einem anschliessenden Referat Nicolas Mayencourt, CEO von Dreamlab und Programmdirektor der SCSD, und Marc K. Peter, Leiter des Kompetenzzentrums Digitale Transformation an der Fachhochschule Nordwestschweiz (FHNW), dargelegt. Ihren Untersuchungen zufolge hat die Anzahl der Vulnerabilitäten vor allem zwischen 2020 und 2021 dramatisch zugenommen, und zwar von 54'557 auf 113'780, was unter anderem der Tatsache zuzuschreiben sei, dass sich viele Schweizer Angestellte pandemiebedingt im Home Office wiederfanden.
Kleiner Trost: Die aktuelle Analyse des Schweizer Cyberraums zeigt, dass die Anzahl der Schwachpunkte etwas zurückgegangen ist, und zwar auf 106'577. Fast 45 Prozent dieser Verletzlichkeiten werden derzeit im Erziehungswesen entdeckt, 20 Prozent bei Behörden und 19 Prozent im Gesundheitswesen.
Die Wahrscheinlichkeit, dass auch in der IT-Infrastruktur des eigenen Unternehmens Löcher klaffen, sei somit gross. Dies zu anerkennen und wahrzunehmen, sei somit ein erster Schritt, die Cybersituation zu verbessern. «Lasst uns aufhören, naiv zu sein gegenüber den Gefahren im Cyberspace», lautete denn auch die Botschaft der beiden.