ICT & Technik

IT-Sicherheit

Mehr Sicherheit für staatliche und kantonale Stellen

Thomas Fürling 21.09.2022
Weltweit entwickeln Regierungen verschiedene Strategien zum Schutz gegen die wachsende Bedrohung durch Ransomware. Dabei schneidet gemäss einer Studie die Schweiz schlechter ab als alle ihre Nachbarländer. Eine politische Richtlinie, die sich ausdrücklich mit Ransomware befasst, könnte in der Schweiz die behördenübergreifende Koordination unterstützen.
PDF Kaufen

Der grösste Ransomware-Angriff in der Schweiz erfolgte im Februar 2022, als das Luftfahrtunternehmen Swissport von der Ransomware-Gruppe «Black Cat» mit einer Lösegeldforderung erpresst wurde. Mit dem Ransomware-Angriff hatte «Black Cat» einen Teil der IT-Infra­struktur lahmgelegt. Der Angriff störte den Flugbetrieb weit über die Schweizer Grenze hinaus, was zu Flugverspätungen und Schadenersatzforderungen führte. Im internationalen Vergleich blieben aber in der Schweiz private Betriebe sowie staatliche und kantonale Stellen bislang weitgehend von Cybercrime verschont.

Dies verstärkt jedoch die Problematik, dass digitale Bedrohungen sehr abstrakt bleiben, solange man nicht selbst davon betroffen ist. Gerade beim Datenschutz sind der Staat und die Kantone angewiesen, noch vorsichtiger zu handeln als die Privatwirtschaft. Denn während wir als natürliche Personen selbst bestimmen können, welche Daten wir welchem Unternehmen zugänglich machen, haben wir als Bürgerinnen und Bürger keine andere Wahl, als dem Staat unsere Daten zur Verfügung zu stellen. 

Ein neues Bundesamt 

In puncto Cybersecurity hat die Schweiz einen eklatanten Nachholbedarf. Diesen Eindruck untermauert das globale Ranking der Internationalen Fernmeldeunion (ITU). Darin rangiert die Schweiz auf Platz 42, zwischen Nordmazedonien und Ghana. Besonders schmerzlich ist, dass alle Nachbarländer besser abschneiden als die Schweiz.

Ein Grund, weshalb der Schweizer Bundesrat noch keine schlagfertige und einheitliche Strategie zum Schutz und zur Ver­teidigung vor Angriffen im Cyberraum etablieren konnte, liegt wohl daran, dass sich zurzeit verschiedene Departemente verantwortlich zeichnen. So setzt das Bundesamt für Verteidigung, Bevölkerungsschutz und Sport (VBS) auf die Strategie, nur dann einzugreifen, wenn öffentliche Interessen auf dem Spiel stehen oder die Zusammenarbeit zwischen Wirtschaft, Hochschulen und Behörden eingeschränkt wird. Des Weiteren müssen zurzeit das Eidgenössische Justiz- und Polizeidepartments (EJPD) sowie das Departement für auswärtige Angelegenheiten (EDA) vor jeder Entscheidung im Bereich von Cybersecurity konsultiert werden.

An seiner Sitzung vom 18. Mai 2022 hat der Bundesrat beschlossen, das neu erschaffene Nationale Zentrum für Cybersicherheit (NCSC) in ein Bundesamt zu überführen. Interimistisch hat er das Eidgenössischen Finanzdepartements (EFD) beauftragt, bis Ende 2022 Vorschläge auszuarbeiten, wie das Amt ausgestaltet und in welchem Departement es ange­siedelt werden soll. Es soll künftig als erste Anlaufstelle für die Wirtschaft, Verwaltung, Bildungseinrichtungen und die Bevölkerung bei Cyberfragen fungieren.

Bei allem Respekt sind solche Prozesse vor allem eines: kompliziert und zeit­aufwendig. Es liegt also auf der Hand, dass die Schweiz im Falle eines nationalen Cyberangriffs auf die Verwaltung auf die «magische Lösung» aus der Wirtschaft setzen wird. So liess Finanzvorsteher Maurer am diesjährigen Swiss Cyber Security Day verlauten: «Aus Sicht des Bundes spielen wir hier nur eine sekundäre Rolle.» Fakt ist, dass zurzeit der Administration die gesetzlichen Grundlagen fehlen, um adäquat auf Sicherheitslücken einzugehen.

Resilienz als Herkulesaufgabe

Ransomware sind Schadprogramme, die den Computer sperren oder darauf befindliche Daten verschlüsseln, um anschliessend ein Lösegeld zu fordern. Die Infizierung mit Ransomware kann über zahlreiche, komplexe Wege eintreten, was die Ransom-Bedrohung für staatliche und kantonale Stellen kaum einschätzbar macht. Die häufigsten Infek­tionsvektoren von Ransomware sind aktuell E-Mail-Anhänge oder Spam-Mails mit verlinkter Schadsoftware sowie Schwachstellen in Server-Systemen, die über den Browser erreicht werden. Trotz des steigenden globalen Bewusstseins für Ransomware und Malware sowie der ständig wachsenden Aufmerksamkeit von IT-Teams bieten nach wie vor Be­nutzer, die versehentlich auf schädliche Links klicken, unsichere Websites be­suchen oder mit ihnen interagieren als grösste Angriffspunktfläche für die In­fizierung mit Ransomware. 

Im Umgang mit Information-Security-Themen ist eine hohe Resilienz der Systeme und Prozesse unabdingbar. Solange die Bedrohung aber nicht fassbar ist, wird wenig in die Resilienz investiert. Die strikte IT-Budgetierung der staatlichen und kantonalen Stellen hilft zudem nicht, um flexibel auf neue Bedrohungen einzugehen. Die Resilienz auf der gesamten Bandbreite der Administration sicherzustellen, wird eine Herkulesarbeit werden. 

Schutz gegen Ransomware

Die Cloud dürfte generell eine der wirksamsten Massnahmen gegen Ransomware darstellen. Einerseits sind Cloud Provider bezüglich Sicherheit, Backup und Recovery in der Regel sehr umfassend geschützt. Andererseits wurden bisher wenige Cloud-Lösungen Opfer von Ransomware. 

Infektion verhindern

Spielen sie Updates unverzüglich nach der Bereitstellung durch den jeweili­g­en Softwarehersteller auch in die IT-Systeme ein – idealerweise über eine zen­trale Softwareverteilung. Die grösste Gefahr besteht in der Regel für Anwendungen, mit denen Inhalte aus dem Netzwerk / Internet geöffnet werden, wie zum Beispiel Web-Browser, Browser-Plugins, E-Mail-Programme, PDF-Dokumentenbetrachter und Office-Suiten. 

Angriffsfläche minimieren

Deinstallieren Sie nicht mehr benötigte Software schnellstmöglich. Entfernen Sie in Web-Browsern nicht zwingend be­nötigte Browser-Plugins (zum Beispiel Flash, Java, Silverlight). Überprüfen Sie zudem, ob auf die Ausführung von Skripten im Betriebssystem gänzlich verzichtet werden kann. Nachhaltig kann mit Hilfe von Anwendungskontrolle die Ausführung von Schadprogrammen verhindert werden. 

Behandlung von E-Mails/Spam auf dem Client

E-Mails werden heutzutage vorwiegend als HTML-Mails versendet, was die An­steckungsgefahr mit Ransomware erhöht. Die grösste Schutzwirkung bietet Ihnen in diesem Fall die Darstellung von E-Mails als Textdarstellung. Ist dies nicht möglich, sollten Sie zumindest darauf achten, dass die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt wird. 

Sensibilisierung von Mitarbeitenden

Indem Sie Mitarbeitende über die Ge­fahren von Ransomware aufklären und entsprechend schulen, haben Sie bereits die halbe Miete zur Verhinderung einer Ransom-Situation bezahlt. Leider braucht es jedoch nur eine Person, welche zur ­falschen Zeit unvorsichtig ist. Deshalb ist die Sensibilisierung zwar eine gute Massnahme, aber leider eben nur die halbe Miete.

Porträt

CEO, e3 AG

Thomas Fürling ist seit dem Jahr 2000 CEO, Head of ­Sales, Enterprise Architect sowie als DLP Solution Archi­tect bei der e3 AG tätig. Im Jahr 2006 gründete er die e3 Software Services AG, welcher er seither als CEO vorsteht. Bei den in den Jahren 2011 gegründeten Tochtergesellschaften silicon mountains GmbH und e3 CSS AG amtiert Fürling als Geschäftsführer respektive Vorsitzender des Verwaltungsrats. Vor seiner Tätigkeit bei der e3 AG war Fürling während gut zehn Jahren in der IT der UBS tätig. Neben einem Teil seiner Arbeit in den Bereichen Systemmanagement, Identitätsmanagement und Sicherheit (digitale Signaturen, Log and Audit Management) ist er zunehmend für Integration und Geschäftsprozessmanagement, Data Loss Prevention und CASB verantwortlich. Die e3 AG unterstützt rund 250 Kunden aus verschiedenen Branchen mit Lösungen, welche danach ausgerichtet sind, die Datensicherheit zu optimieren. 

Kontakt

thomas.fuerling(at)e3ag.ch www.e3ag.ch