Es ist erst fünf Wochen her. Kein Aussenstehender hat davon bisher erfahren, keine Zeitung darüber berichtet: Der Hauptsitz der UNO in Genf mit 1600 Mitarbeitenden war zwei Tage lang geschlossen, die Zugangstore verriegelt. Der Grund? Die zentralen IT-Server mussten neu gestartet werden – ein kompletter Reset. Kein Telefon ging, die Lifte waren eingestellt, der Netzzugang down. Die Arbeiten seien «kritisch und dringend», erfuhren die Mitarbeitenden per Mail. Wer trotzdem arbeiten wollte, musste dies von zu Hause aus tun. Nach Abschluss wurden alle Mitarbeitenden aufgefordert, neue Passwörter zu nutzen.

Was genau die Ursache des Problems war, bleibt geheim. Die Genfer UNO-Direktion wollte sich nicht erklären. Gerüchten zufolge hackten Unbekannte Passwörter zum Betriebssystem und zu den Mailservern. Mitarbeitende berichten von externen Mails, die sie zwei Wochen zuvor erhalten hätten und die ihre Passwörter auflisteten. Im besten Fall hat sich eine Gruppe wie Anonymous (sogenannte Hacktivisten) einen Gag erlaubt, um zu zeigen, wie schlecht es um die Vertraulichkeit steht. Der Schaden ist unbekannt.

Strom war da, nur konnte er nicht fliessen

Ein Cyberabwehrexperte des Bundes sagt, so etwas wie in Genf könne jeder Schweizer Behörde und jedem wichtigen Unternehmen hierzulande passieren. Immer noch präsent ist Experten ein Fall in der Ukraine im 2015: Eine Hackergruppe, wohl aus Russland, unterband über eine monatelange Infiltration der Soft- und Hardware die Stromverteilung des Landes. Strom war da, nur konnte er nicht fliessen. Ganze Regionen mit 225 000 Nutzern waren lahmgelegt, darunter Spitäler und Rettungsorganisationen. Experten glauben, dass deshalb auch Menschen gestorben sind.

Drei Monate später wurde der Cyberangiff in der Ukraine öffentlich gemacht – eine grosse Ausnahme. Häufiger kommt vor, was die UNO macht: den Vorfall totschweigen mit Verweis auf drohende Sicherheitsrisiken. So lassen sich Mängel in der Abwehr verheimlichen. Dieses Vorgehen ist allerdings hoch problematisch, wenn Staaten oder Infrastrukturfirmen wie Energieanbieter, Telekom- und Datennetzbetreiber involviert sind.

Die Folge: Bis heute kann keine Stelle sagen, wie häufig der Bund und die Schweizer Infrastruktur erfolgreich angegriffen worden sind und wie verletzlich sie sind. Eine generelle Meldepflicht gibt es nicht. Der halbjährliche Bericht der Melde- und Analysestelle Informationssicherung (Melani) enthält nur selektive Infos zu Attacken.
 

Anzeige

Vorbildliche Swisscom, Geheimniskrämer Salt

Die «Handelszeitung» wollte herausfinden, wie es um Schweizer Akteure steht. In einer Umfrage bat sie um Angaben zur Angriffshäufigkeit, zur Zahl erfolgreicher Attacken, zu den attackierten Elementen, den Folgen, zum Motiv der Angreifer, was dagegen unternommen wird, welches die Ressourcen sind und ob Geopolitik eine Rolle spiele. Von den Telekomfirmen antwortete nur Swisscom umfassend. Relativ offen zeigte sich auch Sunrise. UPC beantwortete nur wenige Fragen und Salt gab «aus Sicherheitsgründen» keine Auskunft.

​​​​​​​Ein Insider des Bundes sagt, dass im operativen Cyberschutz «bloss einige wenige Dutzend Leute tätig» seien. Das sei zu wenig.

Swisscom verzeichnet rund zwei Millionen Angriffe monatlich auf ihre Infrastruktur, einschliesslich des Netzverkehrs. Die meisten zielen auf die Geräte und Apps von Kunden, mittels Computerviren oder Mails, um Zugangsdaten zu erschleichen (Phishing). Als bösartig eingestufte Elemente werden automatisiert abgewehrt. Davon werden «rund zehn bis zwanzig Vorfälle pro Monat» genau geprüft.

Im Fokus stünden Bedrohungen für industrielle Kontrollsysteme und ferngesteuerte Geräte wie Sensoren oder Drohnen. Um Schwachstellen zu finden, sind bei Swisscom stets zwei Teams am Werk. Das «rote» Team verübt reale Angriffe gegen die Swisscom-Infrastruktur und -Dienste, das «blaue» Team verteidigt diese.

Anzeige

Leichtes Spiel für staatlich tolerierte Hacker

Sunrise lässt wissen, sie habe «bisher sämtliche Attacken erfolgreich abwehren» können. Man habe, im Gegensatz zur Konkurrenz, «auch keine Datenlecks» erlitten, in Anspielung auf Swisscom, die Kundendaten verlor. Über die Jahre hinweg betrachtet seien die Attacken «auf gleichbleibendem Niveau», sie passierten aber in kürzeren Abständen und kürzerer Dauer. Sunrise sei die «einzige Telekomanbieterin der Schweiz», die unternehmensweit ihr IT-System ISO-zertifiziert habe. Diese Norm sei «der einzige internationale Standard, der hohe Anforderungen an Cybersicherheit stellt». Datenlecks seien «höchst unwahrscheinlich», so ein Sprecher.

Zur Königsklasse der Akteure zählen laut Swisscom Angriffe regierungsnaher Kreise, «um einen strategischen Vorteil zu erhalten, um politische Ziele zu erreichen oder Technologieentwicklungen positiv zu beeinflussen». Solche gelten als «state-sponsored», also staatlich geförderte Hacker. Dieser Umstand sowie eine schwierige Rückverfolgbarkeit und eine «relativ risikolose Durchführung» hätten dazu geführt, dass «immer mehr Staaten ihre Cyberfähigkeiten mittels solcher Angriffe ausweiten». Über diese Angriffe hört man nichts.

5000 Millionen Dollar Schadenpotenzial haben Weiterentwicklungen der Erpressersoftware Petya.

300 Millionen Dollar kostete das IT-Grounding des Konzerns Maersk wegen der Malware Notpetya.

81 Millionen Dollar erbeuteten private Hacker beim Einbruch in die Nationalbank von Bangladesch.

2 Dutzend Hacker genügten, um nach einen Monat die Swift-Server der Nationalbank von Bangladesch zu knacken.

Anzeige

Mehr Lärm machen zwei weitere Gruppen, die Cyberkriminellen und die Hacktivisten. Erstere sind die häufigsten und versuchen, Daten oder Geld zu erbeuten oder zu erpressen, Letztere wollen Aufmerksamkeit. Organisierte Kriminelle stünden, so Swisscom, in ihren Fähigkeiten den staatlichen Spionageangriffen «oftmals in nichts nach». Auch sie bauten ihre Angriffe über eine lange Zeit auf. Bei Hacktivisten seien die Fähigkeiten «unterschiedlich gross». Die meisten suchten den Erfolg über «grosse Medienaufmerksamkeit».

Ohne Gegenstand sei bisher die Debatte zu terroristisch motivierten Cyberangriffen: «Bisher ist kein einziger Fall bekannt geworden», sagt Swisscom.

Im Kontrast zur Offenheit der Telekom-Branche stehen die Stromverteiler. Der wichtigste ist Swissgrid. Sie betreibt exklusiv Überlandleitungen. Wenn sie attackiert würde, stünde die Schweiz still. Doch die Monopolistin antwortet: «Schutzmassnahmen kommentieren wir nicht öffentlich.» Bedeutend ist auch die Axpo, die die Nordostschweiz versorgt. Dort heisst es, es sei «kontraproduktiv, Sicherheitskonzepte in der Öffentlichkeit zu diskutieren». Auch die Westschweizer Alpiq will «keine Details zur Sicherheit preisgeben».

«Drei bis fünf Jahre im Rückstand»

Offener sind regionale Anbieter. So sagt etwa das Stadtzürcher EWZ, man habe «Tausende von Eindringversuche pro Tag aus dem Internet, mit steigender Tendenz». Die Berner Stadtwerke EWB bekennen, es gebe «fortlaufend» Versuche, ins Netz einzudringen, insbesondere um IP-Adressen und Ports zu finden. Solche Angriffe hätten in den letzten Jahren zugenommen. Deren Herkunft sei oft verschleiert oder gefälscht. «Grösstenteils werden diese Angriffe aus dem Osten und aus Asien vermutet». Das zuständige Bundesamt für Energie bestätigt: «Bis heute ist es den Unternehmen selbst überlassen, was und wie viel sie tun. Grundsätzlich besteht wenig bis gar keine Transparenz darüber, wie hoch das Cybersicherheitsniveau von kritischen Infrastrukturen ist.» Ob ein Angriff wie jener in der Ukraine abgewehrt werden könnte, bleibt unklar.

Anzeige

Experten sagen, der Bund sei in Fragen des Cyberschutzes verglichen mit dem Ausland «drei bis fünf Jahre im Rückstand». Dem neuen Leiter für Cybersicherheit des Bundes, Florian Schütz (Mister Cyber) sind derzeit nur drei Leute direkt unterstellt. Bei seinem früheren Arbeitgeber, dem Onlinehändler Zalando, waren es 30. Diese steuerten etwa 2500 Softwareentwickler. Momentan führt Schütz drei Bereiche, den Analysedienst Melani, darunter die Notfalleinheit Gov-Cert und das IT-Sicherheitsteam des Bundes. Diese Bereiche haben bloss 26 Leute, einschliesslich Administration. Hinzu kommen eine unbekannte Zahl Leute der militärischen Cyberabwehr Mil-Cert und der Notfalleinheit CSirt.

Ein Insider des Bundes sagt, dass im operativen Cyberschutz «bloss einige wenige Dutzend Leute tätig» seien. Das sei zu wenig.

Portrait of Florian Schuetz, Federal Delegate for Cyber Security, taken at the Operation Control Center (OCC) of the Federal Office of Information Technology and Telecommunications (FOIT) in Bern, Switzerland, on September 9, 2019. (KEYSTONE/Gaetan Bally)Florian Schuetz, Delegierter des Bundes fuer Cyber-Sicherheit, portraitiert im Operation Control Center (OCC) des Bundesamts fuer Informatik und Telekommunikation (BIT) am 9. September 2019 in Bern. (KEYSTONE/Gaetan Bally)

Seit September im Amt, berichtet er der Regierung als Delegierter des Bundesrats allein über alles, was mit dem zivilem Cyberschutz zu tun hat. Zuvor war er unter anderem in Israel als Entwickler für Cyberaufklärung tätig.

Quelle: Keystone
Anzeige

Der Mister Cyber des Bundes wird eingreifen

Schütz wird in einigen Wochen das neue Cybersicherheitszentrum des Bundes vorstellen. Wie zu hören ist, geht es für Schütz eher harzig voran, alle zivilen Cyber-Ressourcen zusammenzuziehen. Es gibt Forderungen nach einer zivilen Eingreiftruppe bei Grossattacken. Eine solche sei «bis heute nicht vorhanden», so ein Kenner. Doch nicht alles beim Bund sei rückständig. Er habe zwei Bereiche, die sich international sehen lassen: zum einen der Analysedienst Melani. Ebenso das Bundesamt für wirtschaftliche Landesversorgung (BWL), eher bekannt für Pflichtreserven von Strom, Nahrung und Medikamenten. Dieses Amt drängt auf Minimalstandards zum Schutz privater lokaler Stromwerke und Internetbetreiber vor Cyberangriffen.

Einem Ex-Cyberexperten der deutschen Regierung zufolge steht es schlimm um die Sicherheit. Das Internet sei «ein Wilder Westen». China beschneide die Rechtssicherheit und nütze alle Kanäle zu seinen Gunsten – für die Kontrolle, Spionage und Einschüchterung politischer Gegner. Auch Russland, Israel und die USA zeigten, dass sie Cyberattacken verüben. Noch glaube der Westen, das Motiv und der Verursacher einer Cyberattacke würden keine Rolle spielen. Das sei falsch. Die Schweiz und ihre Unternehmen wären gut beraten, «eng mit europäischen Ländern zusammenzuspannen, die im Internet mit der Schweiz die gleichen Werte teilen». Die Attacke auf die UNO erstaunt ihn nicht.

«It’s a big game», so der Fachmann, «darauf müssen wir uns einstimmen.»