Die Melde- und Analysestelle Informationssicherung des Bundes (MELANI) warnte vor kurzem vor Betrugsvarianten, die Social Engineering Methoden einsetzen. Dabei versuchen die Angreifer bei ihren Opfern Vertrauen zu schaffen, bevor der Angriff stattfindet. Davon sind laut Melani grosse und kleine Firmen aus unterschiedlichsten Sektoren betroffen.

Hugh Thompson warnt eindringlich vor diesen Attacken. Thompson ist Sicherheitsstratege beim IT- und Business Assurance-Technologie-Unternehmen Blue Coat. Er ist Experte für sicherere IT-Systeme, Buchautor zu eben diesem Thema und ist der Chef des Programmkomitees der RSA Conference, der weltweit grössten Konferenz für Informationssicherheit. Er tritt am SIGS Technology Summit auf, der am 26. und 27. August in Bern stattfindet.
 
Welche Cyberbedrohungen sehen sie konkret für die Schweiz?
Hugh Thompson: Die jährliche Zunahme der Cyber-Attacken war noch nie so gross, wie in den vergangenen drei Jahren. Davon ist auch die Schweiz betroffen. Und noch etwas hat sich in den letzten drei Jahren getan: die Attacken ändern sich. Früher griffen klassische Cyberkriminelle an und wollten Daten stehlen, die sie am Markt verkaufen konnten. Die Schweiz war daher ein beliebtes Ziel für diese Angreifer, obwohl sich die meisten Schweizer Finanzdienstleister ausreichend davor schützten.
 
Wie sieht es heute aus?
Heute stecken oft sogenannte Hacktivisten dahinter. Das sind Angreifer, die sich nicht bereichern, sondern etwas bewegen wollen - sei es politisch oder gesellschaftlich. Für solche Attacken ist die Schweiz ebenfalls interessant. Denn ihre potentiellen Zielscheiben haben Konten in der Schweiz. Die Bedrohung durch Hacktivisten wird zukünftig noch bedeutender. Das ist ein vergleichsweise neues Gebiet und sehr relevant in der Schweiz.
 
Wie laufen diese Cyber-Angriffe ab?
Die Angriffstaktiken verändern sich. Es geht nicht mehr darum einen möglichst cleveren Virus oder ausgefuchste Schadsoftware zu schreiben. Heute werden die Attacken viel häufiger über soziale Komponenten durchgeführt. Angreifer finden im Internet heraus, wo eine Person ausgeht, was sie isst und wer ihre Freunde  sind. Sie können dann sehr ausgeklügelte Mechanismen anwenden, um Zugang zu geheimen Informationen erhalten.
 
Sie sind überzeugt davon, dass so eine personalisierte Attacke bald gratis sein wird. Wann ist es so weit und was bedeutet das?
Heute kostet eine solche Attacke Geld. Die Kosten entstehen mehrheitlich aus der Zeit die für die Attacke aufgewendet wird. Wenn ein Angreifer eine spezielle Firma angreifen will, dann muss er beispielsweise in Sozialen Medien viel über die Zielperson herausfinden. Bevor er seinen Angriff beginnt muss er persönliche Information zusammentragen, um genug für ein heimtückisches Email oder einen Anruf zusammenzuhaben.
 
Wie geht er vor?
Die Zielperson würde ein Email mit einem Link zu einem Video erhalten, das sie wirklich interessiert. Um es anzuschauen müsste sie einen Player installieren, der gleichzeitig eine Schadsoftware ist. Dieses Vorgehen ist mit einem gewissen Aufwand verbunden. Wir sehen aber, dass die Werkzeuge für diesen Prozess immer besser werden und automatisch die notwendigen Informationen für solche Angriffe zusammentragen. Dann wird es sehr günstig für die Angreifer und sehr gefährlich für Unternehmen.
 
Wird in der Schweiz genügend unternommen?
In der Schweiz nehmen die Verwaltung und die Unternehmen, vor allem die Finanzindustrie, Sicherheit sehr ernst. Doch die Bedrohungslage ändert sich rasant. Es braucht daher einen anderen Ansatz um sich zu schützen. Eine Schutzmauer vor Angriffen genügt nicht mehr. Heute braucht es auch ein Sicherheitsnetz. Das hilft dabei, den Schaden zu begrenzen, wenn ein Angreifer eingedrungen ist. Dabei geht es beispielsweise um forensische Massnahmen.
 
Was ändert sich dadurch?
Das bedeutet einen Richtungswechsel in der Sicherheitsindustrie, denn einige Attacken sind so ausgefeilt, dass wir uns nicht vor ihnen schützen können. Doch wenn etwas passiert, dann müssen wir uns so schnell als möglich vom Angriff erholen. Das ist ein fundamentaler Richtungswechsel.
 
Wie soll das funktionieren?
Ein Unternehmen könnte über alle möglichen Abwehr- und Verteidungssysteme verfügen. Es ist aber klar, dass jedes System angreifbar ist. Das Sicherheitsnetz würde dann garantieren, dass jede Bewegung auf den Datenleitungen registriert würde. Es wäre wie eine Überwachungskamera, die jeden Schritt überwacht. Das verhindert keine Attacken, aber es erlaubt festzustellen, wie der Angriff funktionierte. Es geht darum zu akzeptieren, dass Angriffe geschehen und sich eine Firma darauf einstellen muss. Das ist wie beim Autofahren: In einem Auto sind auch viele Technologien eingebaut, die einen Unfall nicht verhindern aber wenigstens den Aufprall lindern.  
 
Unternehmen haben Angst davor Sicherheitslecks einzugestehen, weil sie dann als Versager dastehen. Wird sich das ändern?
Viele Führungskräfte verstehen langsam, dass es nicht möglich ist, eine 100prozentige Sicherheit zu garantieren. Es gibt nicht nur die beiden Extreme: gehackt oder sicher - es gibt auch viel dazwischen. Es braucht einen professionellen Umgang mit einem Sicherheitsproblem. Denn meist sind nicht alle Daten weg, wenn es ein Problem gab.
 
Braucht es Vorschriften, dass Unternehmen IT-Security-Vorfälle melden müssen? In der Schweiz ist das, im Gegensatz zur EU und den USA, nicht vorgesehen.
Vor allem für Betroffene braucht es eine gewisse Transparenz bei einem Datenraub. In den USA besteht die Meldepflicht bei persönlichen Daten wie Kreditkarteninformationen, Daten aus dem Gesundheitswesen oder bei Firmen deren Aktien an den Börsen gehandelt werden. Aber nur, wenn es möglich ist, dass die Daten einen Einfluss auf den Aktienkurs haben könnten. Der letzte Punkt ist interpretationsbedürftig. Doch für mich ist klar, wenn bestimmte Daten betroffen sind, dann sollte es ein gewisser Personenkreis wissen. Ob es nun Kunden oder Geschäftspartner sind. Dennoch ist es nicht einfach diese Vorschrift richtig umzusetzen. Prinzipiell ist sie aber richtig
 
Wie sollte ein solches Gesetz aussehen?
Eine Frage muss im Zentrum stehen: Ist eine Person oder eine andere Firma nach einem Datenraub einem ernsthaften Risiko ausgesetzt? Das als ein Gesetz umzusetzen ist nicht einfach, als Ansatz aber sicher hilfreich.
 
In der Schweiz gerieten vor wenigen Wochen die Kunden von rund einem Dutzend Banken ins Visier von Angreifern. Sie wurden zu einem grossen Teil darüber nicht informiert. Finden sie das richtig?
Die Frage ist: besteht ein Risiko für den Kunden? Wenn das so ist, dann sollten die Kunden informiert werden. Dann können sie sich besser schützen.
 
Die Schweiz setzt bei der Abwehr von Cyberbedrohungen auf einen Austausch zwischen Privatwirtschaft und Behörden. Die Behörden bleiben so sehr schlank besetzt. Geht das auf Dauer gut?
Viele westliche Staaten werten derzeit die Cyber Defense aus. Das gilt etwa für Deutschland, Grossbritannien, die USA oder auch für viele asiatische Staaten. Ein Problem haben alle: nämlich dass es nicht genügend Spezialisten gibt. Denn sowohl der Staat als auch die Unternehmen brauchen mehr Cyber-Defense-Experten. Südkorea geht dieses Problem an. Es fördert in einem Programm einige hundert Kinder, Schüler und Studenten. Sie nehmen dann an einem Wettbewerb teil und erhalten ein sehr spezifisches Training. Die Allerbesten werden ausgesucht und landen dann in der Industrie und bei Behörden. So ist sichergestellt, dass die besten Spezialisten im Land bleiben.
 
Werden Unternehmen durch all diese Sicherheitsbedrohungen und den notwendigen Schutz gelähmt?
Sicherheit macht eine Firma nicht langsamer. Es geht nicht darum ein zusätzliches Schloss vor die Firma zu hängen. Vor fünf Jahren war Zusammenarbeit übers Internet  sehr kompliziert. Aber sie war einfach abzusichern. Heute gibt es zahlreiche Gratis-Werkzeuge. Jeder kann sie benutzen. Das heisst, Firmen brauchen eine andere Herangehensweise für die Wahrung ihrer Sicherheit. Das bedeutet beispielsweise, dass Mitarbeiter Dropbox verwenden können, doch die Firmendaten werden im Hintergrund verschlüsselt. Das ist angenehm für die Mitarbeiter und sicherer für die Firma.

Anzeige