Mit eingeschriebenen BriefenBund mahnt Firmen wegen Cyberlücke
Seit einem Jahr ist das gravierende Leck bekannt. Doch noch immer sind 130 Zentralrechner in der Schweiz nicht abgesichert. Nun reagiert die Cyberabwehr: Sie schreibt Briefe.
Die Aktion zeugt von schierer Ratlosigkeit: Die nationalen IT-Sicherheitswächter verschicken eingeschriebene Briefe. Darin bitten sie säumige Server-Administratoren, ein längst bekanntes, gravierendes Sicherheitsleck endlich zu stopfen. 130 solche Schreiben wurden verschickt, wie das Swiss Government Computer Emergency Response Team (Govcert) in einem Tweet mitteilt.
Hier wird Inhalt angezeigt, der zusätzliche Cookies setzt.
An dieser Stelle finden Sie einen ergänzenden externen Inhalt. Falls Sie damit einverstanden sind, dass Cookies von externen Anbietern gesetzt und dadurch personenbezogene Daten an externe Anbieter übermittelt werden, können Sie alle Cookies zulassen und externe Inhalte direkt anzeigen.
Das Problem ist seit beinahe einem Jahr bekannt: Anfang März 2021 musste Microsoft einräumen, dass im weit verbreiteten Exchange-Server eine gravierende Sicherheitslücke klafft. Sogleich stellte das US-Unternehmen eine erste Aktualisierungssoftware bereit. Viele nationale Sicherheitswächter schlugen Alarm, darunter das Govcert. In den Medien wurde breit über das Problem berichtet.
Durch die Lücke können Angreifer auf E-Mails, Kontakte und Termine der Mitarbeiterinnen und Mitarbeiter zugreifen, und sie können Daten absaugen. Die Server lassen sich aber auch zum Schürfen von Kryptowährungen missbrauchen. Oder die Angreifer schleusen Verschlüsselungstrojaner ein. In den letzten Monaten waren auffällig viele Unternehmen von solchen «Ransomware»-Attacken betroffen – jüngst etwa der Autohändler Emil Frey oder die CPH-Gruppe, die ihre Papierproduktionsmaschinen wegen der IT-Probleme eine Zeit lang stoppen musste.
Das Nationale Zentrum für Cybersicherheit, zu dem das Govcert gehört, beurteilt die Sicherheitslücke im Exchange-Server denn auch als sehr gravierend. «Die Schwachstellen sind längst bekannt und werden seit Monaten aktiv von Cyberkriminellen ausgenutzt», sagt Mediensprecherin Manuela Sonderegger.
«Es ist schwierig, die richtigen Ansprechpartner in einem Unternehmen zu finden.»
Die Schweizer Sicherheitswächter haben laut eigenen Angaben im letzten Jahr 4500 Organisationen per E-Mail über das Problem informiert. Einige haben sofort reagiert und die Sicherheitslücke geschlossen. Andere unternahmen nichts. Sie reagierten nicht einmal auf die Kontaktversuche. Brisant: Unter den Säumigen sind offenbar auch Gemeinden.
Das Zentrum für Cybersicherheit habe die Hinweise auf die noch immer verwundbaren Installationen von internationalen Partnern erhalten, sagt Sonderegger. Ein eingeschriebener Brief sei «oft die einzige Möglichkeit, Unternehmen und Privatpersonen zuverlässig zu erreichen». E-Mails würden nicht immer zugestellt oder landeten im Spam-Ordner – selbst wenn sie digital signiert sind. Auch etliche telefonische Kontaktversuche seien gescheitert. «Es ist schwierig, die richtigen Ansprechpartner in einem Unternehmen zu finden. Und häufig sind die Mitarbeitenden so sensibilisiert, dass sie annehmen, es handle sich um einen betrügerischen Anruf.»
Einige Betreiber hätten nun aber auf den Brief und den Tweet reagiert, sagt die Mediensprecherin des Zentrums für Cybersicherheit. «Jedes Update hilft, die Schweiz sicherer zu machen.» Noch seien aber nicht alle Probleme behoben, räumt sie ein: «Das Einspielen von Sicherheitsupdates braucht etwas Zeit.»
Die Schweiz nimmt die Bedrohung zu wenig ernst
Die Verantwortlichen bei 130 Schweizer Gemeinden, Unternehmen und Organisationen haben also eine gravierende Cyberbedrohung ein Jahr lang ignoriert. Darüber kann Nicolas Mayencourt nur den Kopf schütteln. «Wer angesichts einer solch gravierenden, stark ausgenutzten und gut dokumentierten Schwachstelle nicht unverzüglich reagiert, handelt fahrlässig», kommentiert der Geschäftsführer des Sicherheitsunternehmens Dreamlab Technologies und Programmverantwortliche beim Branchentreffen Swiss Cyber Security Days.
Das Risiko, dass Fremde ins Computersystem eindringen, sei bei dieser Schwachstelle sehr hoch. Dadurch entsteht potenziell grosser Schaden: Unternehmensgeheimnisse können ausspioniert, die Produktion kann lahmgelegt oder das Unternehmen erpresst werden. Teilweise würden zudem Daten von Kunden und Partnern abgefischt. Anschliessend geraten diese ins Visier der Angreifer.
«Die Schweiz geht viel zu sorglos mit Cyberrisiken um.»
Dass die Liste der immer noch nicht abgesicherten Exchange-Server von ausländischen Partnern gekommen ist, lasse tief blicken, sagt Mayencourt. «Offensichtlich glaubt man dort, dass die Schweiz ihre Verantwortung zu wenig wahrnimmt. Nicht zu Unrecht: Hierzulande geht man tatsächlich viel zu sorglos mit Cyberrisiken um.» In der Pflicht stünden zum einen die IT-Verantwortlichen der Unternehmen und Institutionen. Doch auch der Staat benötige griffigere Instrumente, um etwa Industriespionage und Cyberattacken zu unterbinden.
Ein Rating der Internationalen Fernmeldeunion scheint ihm recht zu geben: Die reiche Schweiz schafft es im Global Cybersecurity Index lediglich auf Rang 42 – und klassiert sich damit direkt hinter Ländern wie Serbien, Aserbeidschan und Zypern. Alle Nachbarländer liegen in der Rangliste, die im letzten Sommer publiziert wurde, weit vor der Schweiz. Im Vergleich zum zwei Jahre älteren Rating ist die Schweiz sogar um fünf Plätze abgerutscht.
Der Bundesrat nimmt nun einen Anlauf: Er möchte vorschreiben, dass Cyberangriffe auf kritische Infrastrukturen in Zukunft dem Bund gemeldet werden müssen. Und er will die Kompetenzen der Schweizer Cyberabwehr ausbauen. Die Vernehmlassung zu den Vorschlägen dauert bis Mitte April. Offenbar ist es also auch Bundesbern klar: Eingeschriebene Briefe als Ultima Ratio genügen nicht.
Fehler gefunden?Jetzt melden.
