Nachholbedarf bei Cybersicherheit: Die Schweiz unterschätzt die Gefahr aus dem Netz

Nachholbedarf bei Cybersicherheit
Die Schweiz unterschätzt die Gefahr aus dem Netz

Ein Server nach dem anderen wird verschlüsselt. Trotzdem reagieren etliche Firmeninhaber nicht auf die Bedrohung. Das beklagt der «Mr. Cyber» des Bundes.

Mathias Born

Publiziert: 15.04.2022, 21:29

Direkt Hand anlegen muss man nicht, um grossen Schaden anzurichten. Meist genügen ein Notebook und das nötige Know-how, um einen Server lahmzulegen.
Foto: Keystone

Jetzt abonnieren und von der Vorlesefunktion profitieren.

Abo abschliessen Login

BotTalk

Immer und immer wieder kommt dieselbe Warnung: Die Schweiz nimmt die Cybersicherheit zu wenig ernst. In einem Ranking der Internationalen Telekommunikationsunion liegt die Eidgenossenschaft abgeschlagen auf Rang 42 – direkt vor Ghana, aber weit hinter allen Nachbarländern. Das breiten an den Swiss Cyber Security Days gleich mehrere Rednerinnen und Redner aus.

Dabei ist die Schweiz laut einem anderen Ranking das innovativste Land überhaupt. Darauf weist Nicolas Mayencourt hin, der Programmverantwortliche des Branchenkongresses, der letzte Woche in Freiburg stattgefunden hat. Doch: «Wenn wir bei der Cybersicherheit nicht vorwärtsmachen, sind wir bald nicht mehr konkurrenzfähig.»

Mitarbeiter des Unternehmens Dreamlab Technologies haben das Schweizer Internet nach bekannten Sicherheitslücken abgesucht. Dabei sind sie auf 106’577 kritische Probleme gestossen – leicht weniger als im Vorjahr, aber massiv mehr als noch vor der Pandemie. Stark betroffen sind insbesondere Schulen, das Gesundheitswesen und die Verwaltung.

«Corona gab der Digitalisierung kräftig Schub», sagt Mayencourt. Von einem Tag auf den anderen mussten die Angestellten von zu Hause aus arbeiten. Plötzlich konnten Produkte nur noch online verkauft werden. Und das Klassenzimmer wurde flugs in den Cyberspace verlegt. In kürzester Zeit haben die Unternehmen und Organisationen ihre IT-Infrastruktur aufgebohrt.

«Wir sollten nicht mehr so naiv sein.»
Nicolas Mayencourt, Mitorganisator der Swiss Cyber Security Days

Der Druck, mit der Digitalisierung vorwärtszumachen, war gross. Auch der Zeitdruck. Deshalb ging die eine oder andere Sicherheitsvorkehrung vergessen. «Das ist brandgefährlich», warnt Nicolas Mayencourt. «Wir sollten nicht mehr so naiv sein.» Bekannte Lecks würden systematisch ausgenutzt – eher früher als später. Gefordert seien alle: von den normalen Anwendern über die Softwareentwicklerinnen bis hin zu den Geschäftsführerinnen von Unternehmen und zu den Bundesbeamten.

Einige Unternehmer foutieren sich um die Sicherheit

In der Pflicht steht dort vorab Florian Schütz, der Delegierte für die Cybersicherheit. Der Bund unternehme bereits viel, müsse aber weiter ausbauen und viel investieren, führt er aus. So könnte demnächst ein Departement für Cybersicherheit geschaffen werden. Und auch die Armee wird wohl kräftig ausgebaut.

Bereits heute verteidigt das Nationale Zentrum für Cybersicherheit zusammen mit der Armee kritische Infrastrukturen wie Kraftwerke und Telekommunikationsnetze. Und es schafft die Rahmenbedingungen, damit sich Unternehmen und Privatpersonen selbst schützen können. Etwa, indem es über Sicherheitsprobleme informiert.

«Wir mussten zuschauen, wie ein Unternehmen nach dem anderen verschlüsselt wird. Und das trotz all unserer Warnungen.»
Florian Schütz, Delegierter des Bundes für Cybersicherheit

Um noch schneller und besser reagieren zu können, benötige er detaillierte Informationen zu möglichst vielen Vorfällen. «Bitte melden Sie uns, wenn Sie angegriffen werden», fleht «Mr. Cyber» die Sicherheitsverantwortlichen und Geschäftsführer am Branchenkongress an. Bislang besteht keine Meldepflicht. Der Bundesrat möchte eine einführen – allerdings nur für Angriffe auf kritische Infrastrukturen.

Er kritisiert den nachlässigen Umgang mit IT-Sicherheit: Florian Schütz, der Delegierte für Cybersicherheit des Bundes.
Foto: Keystone

Und dann redet Florian Schütz den Geschäftsführern kräftig ins Gewissen: In vielen Unternehmen sei man sich der Gefahr aus dem Cyberspace zu wenig bewusst, sagt er. Das verdeutlichen die zahlreichen Ransomware-Attacken der letzten Monate: «Wir mussten zuschauen, wie ein Unternehmen nach dem anderen verschlüsselt wird. Und das trotz all unserer Warnungen.»

Etwa im Fall der kritischen Schwachstellen im Exchange-Server, die vor einem Jahr bekannt wurden: Weil die Unternehmen auf Anrufe und E-Mails nicht reagierten, hat der Bund als Ultima Ratio schliesslich eingeschriebene Briefe verschickt.

Schlimmer noch: Einzelne Firmeninhaber hätten dem Bund – statt für den Hinweis zu danken und das Leck rasch zu stopfen – mit einer Klage wegen Rufschädigung gedroht. Einige Geschäftsleute hätten immer noch das Gefühl, dass das Problem mit der Cybersicherheit nicht so gravierend sei, wie es dargestellt werde, sagt Schütz. «Sie sollen sich aber bitte nicht beklagen, wenn es ihre Firma plötzlich nicht mehr gibt.»

Er wünscht sich eine enge Zusammenarbeit zwischen der Privatwirtschaft und der öffentlichen Verwaltung. Genau so, wie es im Swiss Financial Sector Cyber Security Center, einem soeben aus der Taufe gehobenen Verein, vorgesehen ist: Darin arbeiten Bankenvertreter und IT-Sicherheitsleute Seite an Seite mit den Experten aus der Verwaltung und der Armee.

«Wir müssen hart an unserer Cybersicherheit arbeiten.»
Nathalie Gratzer, Bundesamt für wirtschaftliche Landesversorgung

Auch Nathalie Gratzer nimmt die Geschäftsleiter in die Pflicht. Jedes einzelne Unternehmen müsse resilienter werden, sagt die Projektleiterin für Cybersicherheit beim Bundesamt für wirtschaftliche Landesversorgung. Sie müssten darauf hinarbeiten, dass nichts passiere. Und für den Fall, dass ein Angriff erfolgreich sei: dass das eigene Geschäft rasch wieder hochgefahren werden könne.

Heute fehle es vielerorts an Redundanz: Deshalb kommt das Geschäft oft ganz zum Erliegen, wenn ein Teilsystem angegriffen wird. Manchmal sogar, wenn eine einzelne eingekaufte Dienstleistung nicht funktioniert. So hat etwa der Angriff auf ein Satellitennetzwerk in Grossbritannien, der vermutlich im Zusammenhang mit der Invasion Russlands in der Ukraine stand, dazu geführt, dass in Deutschland Windkraftanlagen stillstanden.

«Wir müssen hart an unserer Cybersicherheit arbeiten», sagt Gratzer. Und mit Blick auf den 42. Rang im Cybersicherheitsrating sagt sie: «Wir haben ein grosses Potenzial.»

Chris Inglis fordert den Westen zur Zusammenarbeit auf.

Foto: Keystone

Der Amerikaner Chris Inglis malt ein düsteres Bild: Der Konflikt in der Ukraine sei ein «Wendepunkt in der Kriegsführung», sagt der Chef der US-Cyberabwehr. Der ehemalige Luftwaffengeneral war einst Vizechef der Nationalen Sicherheitsagentur (NSA). Konflikte würden fortan parallel auf dem Boden wie auch im Cyberspace ausgetragen, erläuterte er in einem Mediengespräch an den Swiss Cyber Security Days von letzter Woche in Freiburg.

Russland setze im Krieg gegen die Ukraine zahlreiche Cybermittel ein, so Inglis. In einer grossen Desinformationskampagne versuche der Kreml, starken Einfluss auf die Meinungsbildung zu nehmen. Daneben würden Angriffe auf die IT-Infrastruktur der Ukraine durchgeführt. Dabei werde nicht zwischen militärischen und zivilen Zielen unterschieden, wie das im humanitären Völkerrecht eigentlich vorgeschrieben sei. Ähnliches gelte natürlich für die Gegenoffensive gegen Russland. Gefahr bestehe nicht nur für die Kriegsparteien: «Cyberattacken bleiben selten auf das eigentliche Ziel beschränkt», sagt er. Sie könnten rasch ausser Kontrolle geraten und Kollateralschaden verursachen. «Im Cyberkrieg braucht man nicht das Ziel zu sein, um zum Opfer zu werden.»

Genau dies ist bei Notpetya passiert: Das Virus, das die Daten auf befallenen Computern löschen soll, sollte laut der US-Regierung im Sommer 2017 Systeme in der Ukraine lahmlegen. Doch das Virus hat sich weltweit ausgebreitet und grossen Schaden verursacht.

Im Cyberspace sei der Angreifer stets im Vorteil, führt Inglis weiter aus. Angriffe könnten sehr rasch und mit kleinen Ressourcen losgetreten werden. Auch solche, die grossen Schaden verursachten. Sind die meisten Staaten gegen solche Angriffe gewappnet? «Wir sind es nicht», räumt Inglis unumwunden ein. So fehle es etwa an Fachkräften in der Cyberverteidigung. Und die Infrastruktur sei noch zu wenig robust.

Chris Inglis fordert deshalb, dass die westlichen Staaten auch in diesem Bereich sehr eng kooperieren. Die Schweiz mit ihren vielen hoch qualifizierten Fachkräften könne einen grossen Beitrag leisten. «Kein Land kann die Probleme der Cybersicherheit allein lösen.» (mbb)

Mathias Born war bis 2022 Redaktor und Datenjournalist im Wirtschaftsressort. Er arbeitet seit dem Jahr 2000 als Journalist. Mathias Born hat ein Studium in Medienwissenschaft sowie eine Datenjournalismus-Ausbildung abgeschlossen. Mehr Infos@thisss

Fehler gefunden?Jetzt melden.