Kritische Infrastrukturen wie die Strom- und Wasserversorgung geraten immer häufiger ins Visier von Cyber-Kriminellen, ja Cyber-Terroristen. Um sich gegen die zunehmende Gefahr zu wappnen, hat der Bundesrat unlängst eine «Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken» (NCS) samt einem konkreten Umsetzungsplan beschlossen.

Teil der Massnahmen ist die Etablierung einer Public Private Partnership (PPP), die als Kompetenznetzwerk Bundesstellen wie der Melani (Melde- und Analysestelle Informationssicherung) private Firmen aus dem IT-Security-Umfeld zur Seite stellt.

Wie sich die NCS und die frisch gegründeten «Swiss Cyber Experts» in der Praxis schlagen, berichten Pascal Lamia von der Melani und Tobias Ellenberger von Oneconsultgegenüber Computerworld.

Pascal Lamia: Das ist ganz klar eine Tendenz, die auch wir sehen. Tatsächlich geraten kritische Infrastrukturen vermehrt in den Fokus von Angreifern. Zwei Vorgehensweisen fallen dabei ins Auge: Hacker, die einmal testen wollen, was möglich ist. Es treten aber auch Fälle auf, wie in der Ostukraine, bei denen es darum geht, die Infrastrukturen zu manipulieren oder ganz abzustellen. Ich kann aber beruhigen: Die Schweiz steht zurzeit nicht sehr stark im Fokus der Angreifer, und eine vergleichbare Attacke ist bei uns noch nicht vorgekommen.

Lamia: Wir sind ein neutrales Land, das bei Konflikten eher vermittelt und daher als Angriffsziel nicht sehr interessant ist. Nichtsdestotrotz schauen wir uns alle Angriffe sehr genau an, um Betreiber von kritischen Infrastrukturen – gerade auch im Energiesektor – vorwarnen zu können. Oft erhalten wir jedoch auch Anfragen von den Betreibern selber, die sich Sorgen machen und wissen möchten, ob auch sie gefährdet sind. Diese Verhaltensweise ist sehr positiv, denn sie zeigt uns, dass die Betreiber sich Gedanken machen, ob Angriffe bei ihnen möglich sind und dass sie bereit sind, aus dem Ergebnis Schlussfolgerungen zu ziehen.

Lamia: Meines Erachtens sind wir gut auf­gestellt. So verfügen wir über ein Alarmierungsdispositiv und können die Betroffenen schnell informieren. Schliesslich gehören die Betreiber kritischer Infrastrukturen zum sogenannten geschlossenen Kundenkreis der Melani. Diese haben Zugang zu technischen und nachrichtendienstlichen Informationen, die der Öffentlichkeit nicht zugänglich sind und die sie auch sonst nicht so einfach erhalten würden. Und Melani ist in der Lage, die Betroffenen sehr schnell, falls nötig innert Minuten, zu warnen.

Lamia: Wir haben mit der «Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken» (NCS) ein auf die Schweiz bezogenes Modell implementiert, das bei uns sehr gut funktioniert, in Deutschland und Österreich jedoch nicht umsetzbar wäre. Unser Public-Private-Partnership-Modell (PPP), das bereits 2004 eingeführt wurde, basiert auf einem Vertrauensverhältnis. Das heisst, wir mussten zuerst das Vertrauen schaffen zwischen dem Staat und der Wirtschaft, was nicht einfach ist. Denn: Warum sollte eine Firma etwas freiwillig an Melani melden, wenn sie ja weiss, dass dies eine staatliche Stelle ist, die beispielsweise die Informationen an den Regulator weitergeben könnte?

Lamia: Ganz klar nein! Das tun wir nicht, wir behalten die Informationen bei uns und machen eine eigene Einschätzung über die Stärke und Relevanz des gemeldeten Angriffs. Danach geben wir Empfehlungen ab, wie die Betroffenen mit dem Vorfall am besten um­gehen sollten. Im Rahmen der NCS haben wir uns auch ganz klar gegen eine neue zusätzliche zent­rale Stelle beim Bund ausgesprochen, wie dies ursprünglich geplant war, als das Ganze noch Cyber-Defense-Strategie hiess. Stattdessen setzen wir auf die bereits bestehenden Organisa­tionen wie beispielsweise Melani oder Kobik sowie auf die Eigenverantwortung sowohl der Privatwirtschaft gegenüber dem Staat als auch des Staats gegenüber der Privatwirtschaft. Und hierzu gehört, dass Bundesstellen wie Melani und Kobik weiter Bestand haben sollen, wo nötig ausgebaut werden und eng zusammenarbeiten. Es wäre falsch, in der Schweiz mit ihrer föde­ralistischen Struktur in Sachen Cyber-Strategie zentralistisch vorzugehen und dem Staat zu grosse Befugnis zu geben, sodass dieser vorschreiben könnte, was die Privatwirtschaft tun und lassen soll. Ich glaube, ein solches System würde in der Schweiz nicht funktionieren.

Lamia: Mehr Druck ist problematisch. Es wäre schon schwierig zu definieren, welche Vorfälle die Firmen überhaupt melden müssten. Als Nächstes stellt sich dann die Frage, was der Staat mit diesen Informationen macht. Wir pochen auf die Eigenverantwortung der Unternehmen und erhalten durch das aufgebaute Vertrauen dennoch sehr viele Informationen, sozusagen auf freiwilliger Basis. Das heisst: Melani kann die Lage ziemlich gut beurteilen. In Ländern wie Deutschland, in denen es keine so enge Zusammenarbeit gibt und keine Vorfälle gemeldet werden, ist dies jedoch nicht möglich. Ich kann somit nachvollziehen, dass der Staat dort das Zepter in die Hand nimmt und die Unternehmen zwingt, die geforderten Informationen zu liefern. Generell ist das aber sehr heikel. Stellen Sie sich Folgendes vor: Sie sind eine börsennotierte Firma und haben im letzten Quartal drei Vorfälle gehabt, die Sie melden mussten und die in der Folge veröffentlicht wurden, weil der Staat ein Interesse daran hat, die Informationen auszuwerten und beispielsweise Berichte und Statistiken zu erstellen. Werden Sie als Firma in einem solchen Bericht namentlich genannt, kann Sie dies viel kosten, vom Börsenwert her, aber auch, was das Vertrauen gegenüber Ihrem Unternehmen anbelangt.

Tobias Ellenberger: «Wir erhalten z. T. andere Infos als eine staatliche Stelle»

Quelle: Samuel Trümpy/NMGZ

Tobias Ellenberger: Wir stellen fest, dass wir teilweise andere Informationen erhalten als eine staatliche Stelle wie Melani. Der Grund: Wir werden noch eher von Firmen direkt angefragt, weil für gewisse Unternehmen die Hürde nach wie vor zu gross ist, sich an eine staatliche Institution zu wenden. Dies trifft vor allem auf Firmen zu, die keinem Regulatorium unterstehen. Dieser Sektor ist übrigens sehr gross. Wenn Unternehmen aus diesem Umfeld attackiert werden, kommen sie erst einmal zu einer privaten Firma wie uns, um abzuklären, was passiert. Wissen sie es und kann der Fall behoben werden, sind sie im Normalfall daran interessiert, es nicht an die grosse Glocke zu hängen. Hier sehe ich denn auch ein Problem mit einem IT-Sicherheitsgesetz wie in Deutschland. Denn es ist vielen Firmen unklar, wie schwer ein Vorfall sein muss, um unter die Meldepflicht zu fallen. Selbst bei einem Spionagefall sollte das Unternehmen aus meiner Sicht selbst beurteilen können, was genau abhandengekommen ist und ob es sich allenfalls lohnt, Anzeige zu erstatten.

Ellenberger: Genau, der Wissensaustausch ist sehr wichtig. Dieser kann dazu führen, dass beispielsweise eine Malware schneller bekannt ist und weiteren betroffenen Firmen schneller geholfen werden kann, oder diese entsprechende Schutzmassnahmen präventiv einleiten können.

Lamia: Ich plädiere zudem für mehr Transparenz. Wir haben dies beispielsweise beim Spionageangriff auf das EDA 2009 vorgemacht. Damals gaben wir bekannt, dass sich ein Hackerangriff ereignet hat, dass wir ein Verfahren eingeleitet haben und daran waren, den Vorfall zu analysieren. Das zeigte einerseits, dass Angriffe bei uns Tatsache sind. Andererseits wurde klar, dass auch die Verwaltung betroffen sein kann und nicht nur Unternehmen. Das hilft wiederum bei der Sensibilisierung. Ich begreife allerdings auch, dass Firmen ein solches Vor­gehen nicht unbedingt schätzen und diese Art der Offenheit nicht wollen.

Pascal Lamia: «Mehr Druck vom Staat ist problematisch»

Quelle: Samuel Trümpy/NMGZ

Lamia: In der Tat gibt es solche Krisenübungen. So wurden auf Seiten der Bundesverwaltung und der Kantone bereits Trainings durchgeführt, wie beispielsweise die strategische Führungsübung 2013 und eine Verbundübung, die 2015 stattgefunden hat. Nächstes Jahr soll eine weitere Führungsübung durchgeführt werden. Geübt wird jeweils auf verschiedenen Stufen. So wurde 2013 ein Szenario erstellt, bei dem die ganze Schweiz betroffen und sogar der Bundesrat involviert war. Denn wichtig ist, dass in einem Krisenfall die Sicherheit zur Chefsache wird. Der Bundesrat muss also informiert werden und schlussendlich Entscheidungen treffen. Bei der Verbundübung ging es darum, in Erfahrung zu bringen, wie die Zusammenarbeit zwischen dem Bund und den Kantonen funk­tioniert: Wer für was zuständig ist, was der Kanton macht, wenn er im Cyber-Bereich nicht mehr weiterkommt, weil er beispielsweise zu wenig Leute oder Know-how hat. Auch auf europäischer Ebene finden Übungen statt. Gerade dieser Tage laufen Trainings mit der europäischen Netzagentur Enisa (European Network and Information Security Agency). Hier werden vor allem die Kommunikationswege getestet. Beispielsweise wird analysiert, ob die richtigen Ansprechpersonen in einem Land angegangen werden. Es wird geprüft, ob die E-Mail-Adressen noch stimmen und geübt, was zu tun ist, wenn diese im Krisenfall nicht mehr korrekt sind. Im Sommer und im Herbst folgt dann eine Übung, bei der es darum gehen soll, was passiert, wenn eine spezielle Malware auftaucht. Hier wird getestet, wer welche Fähigkeiten hat. Könnte also etwa die Schweiz das Schadprogramm analysieren? Geplant ist auch der Einbezug der Swiss Cyber Experts. Durch diese Zusammenarbeit kann Melani auf das Wissen der Experten aus der Privatwirtschaft zurückgreifen.

Ellenberger: Einer der Hauptgründe für den Aufbau des PPP Swiss Cyber Experts war die Tatsache, dass die personellen Ressourcen der Melani zwangsläufig beschränkt sind. Ein weiterer Aspekt ist, dass weder eine einzelne Firma, noch eine einzelne staatliche Stelle gerade im Cyber-Security-Bereich das ganze Know-how einzelner Spezialgebiete bündeln kann. Das geht schon vom Personal her sehr schwer. Bei den Swiss Cyber Experts sind denn derzeit auch über 20 Firmen aktiv, die unterschiedlich gross sind – beispielsweise sind Microsoft, IBM und die Schweizerische Post mit von der Partie. Diese sowie die weiteren Mitglieder haben in verschiedenen Bereichen Fachwissen anzubieten, sei es über Hacking, Forensik oder Industrieanlagen. Mit den Swiss Cyber Experts lassen sich diese Kenntnisse bündeln. Die Chance ist somit viel grösser, dass man entsprechende Ressourcen zur Verfügung stellen kann. Das hat sich bei unseren Übungen bereits gezeigt.

Lamia: In Zusammenarbeit mit Swiss Cyber Experts haben wir schon zwei Übungen durchgeführt und einen echten Fall behandelt. Wichtig ist, dass die Meldungen immer zentral an Melani gelangen. Wir müssen anhand der Informationen die Lage beurteilen können. Beim konkreten Fall handelte es sich um eine grös­sere Schweizer Firma, die nicht im geschlossenen Kundenkreis von Melani ist. Das Unternehmen hatte ein Problem mit einer Malware und wandte sich an uns. Wir erkannten dabei, dass der Fall zwar für das betroffene Unternehmen kritisch war, es sich jedoch aus Sicht des Staates nicht um eine kritische Infrastruktur handelte. Gleichzeitig waren wir mit anderen, dringenderen Fällen beschäftigt. Unsere Ressourcen waren somit ausgeschöpft. Wir haben den Fall an die Swiss Cyber Experts weitergeben können. Dabei fragten wir die betroffene Firma, ob sie damit einverstanden sei. In dem konkreten Fall war das Unternehmen einverstanden und wir mussten die für die Weiterbehandlung notwendigen Daten nicht einmal anonymisiert übergeben.

Ellenberger: Bei uns angekommen, läuft ein solcher Fall dann nach einem zuvor definierten Prozess ab, den wir darüber hinaus auch schon eingeübt hatten, bei dem wir also wissen, dass er funktioniert. Zunächst geht die Meldung an die Geschäftsstelle, die dann die einzelnen Swiss Cyber Experts informiert. Es folgt ein Meeting, bei dem abgeklärt wird, wer aktuell dafür Ressourcen frei hat. Eine weitere Frage lautet, wer das Know-how in dem für diesen Fall geforderten Bereich hat und somit die Projektleitung übernimmt. Im erwähnten Fall war Know-how vorhanden, und zwar gleich bei verschiedenen Firmen. Die Erfahrungen liessen sich somit bündeln und der Fall konnte sehr schnell gelöst werden. Ist eine Lösung gefunden, geben die Swiss Cyber Experts eine Empfehlung ab, wie das Problem am besten von der geschädigten Firma angegangen werden soll. Wir stellen im Prinzip eine Diagnose und schlagen eine Behandlung vor. Danach geht der Fall aber wieder zurück zu Melani.

Lamia: Bei besagtem Fall ist dies innerhalb von zwei bis drei Stunden analysiert und an die Swiss Cyber Experts weitergereicht worden.

Ellenberger: Im Prozess haben wir einen maximalen Zeitrahmen von 48 Stunden festgelegt, den wir aber noch nie erreicht haben. Innerhalb eines Tages können wir in der Regel auf einen Vorfall reagieren.

Lamia: Es kommt auch darauf an, wann der Fall gemeldet wird. Ist das am Freitagabend um 20 Uhr, ist es für uns schwieriger, die entsprechenden Ressourcen aufzubieten und die nötigen Kontaktpersonen zu erreichen.

Ellenberger: Problematisch kann es vor allem werden, wenn es sich um einen Spezialfall handelt, bei dem auf das Know-how einer oder zweier Mitgliedsfirmen zurückgegriffen werden muss, die wiederum nur wenige Spezialisten für ein bestimmtes Thema haben. Genau dafür finden regelmässig Übungen statt, werden die Prozesse geprüft und bei Bedarf angepasst.

Lamia: Zudem ist jeder Fall anders. Handelt es sich um eine Attacke mit einer bekannten Malware, können wir sehr schnell auch mithilfe der Swiss Cyber Experts reagieren. Handelt es sich aber um eine neue Bedrohung, die schweizweit auftritt, kann es länger dauern. Dann müssen wir beispielsweise Experten finden, die sich aufs Reverse Engineering verstehen. Bei Melani sind das nur zwei bis drei Personen. Auch hier sind die Swiss Cyber Experts ein zusätzlicher Fachkräfte-Pool. Denn zu den Mitgliedern zählen auch Branchenvertreter wie IBM oder PwC, die eine 24-Stunden-Bereitschaft haben und entsprechende Malware an ihre weltweit vorhandenen Labors weitergeben können. Dort lässt sich ein Problem rund um die Uhr analysieren. Hier liegt also ebenfalls ein grosser Mehrwert der Zusammenarbeit. Diese Fülle an Wissen und Leuten könnten wir uns bei Melani nicht leisten.

Lamia: Wir versuchen, möglichst alle Vorfälle selbst zu analysieren. In vielen Fällen sind wir sogar dazu gezwungen. So dürfen wir bei Spionagefällen, bei denen Strafverfahren laufen, von Gesetzes wegen keine Informationen weitergeben. Es gibt zudem Geschädigte, die nicht wollen, dass die Daten an eine Vereinigung wie die Swiss Cyber Experts weitergereicht werden.

Ellenberger: Die Erfahrungen, die wir bis jetzt gemacht haben, sind gut. Ziel der Swiss Cyber Experts ist es – und das ist auch in den Statuten festgehalten –, dass man nicht mit der Privatwirtschaft konkurriert. Das heisst, Aufträge, die eine Firma erbringen kann, werden nicht über den Verein abgewickelt. Man will mit dem PPP also keine Konkurrenz zur Privatwirtschaft aufbauen. Das wäre auch nicht sonderlich schlau. Denn schliesslich ist man auf die privatwirtschaftlichen Unternehmen angewiesen.

Lamia: Ich kann vielleicht noch anmerken, dass Informationen zu einem Vorfall immer zurück an Melani gehen. Wenn uns bei der Erörterung möglicher Problemlösungen die betroffene Firma anfragt, wer ihnen helfen könnte, kann Melani eine Empfehlung abgeben. Auf Wunsch der Betroffenen sollte dieser meist lokal verankert sein, wobei die Wahl dann oft auf die Swiss Cyber Experts fällt. Es ist aber definitiv nicht das Ziel der Swiss Cyber Experts, Aufträge an Land zu ziehen.

Ellenberger: Der grundsätzliche Konsens der Swiss Cyber Experts ist, dass man der Schweiz und Schweizer Unternehmen helfen möchte, mit Cyber-Gefahren besser umgehen zu können. Wirtschaftlich bringt uns das nichts. Im Gegenteil: Die Bereitstellung von Ressourcen kostet uns Geld und Zeit. Wichtig ist aber der Austausch untereinander und mit Melani. Wir treffen uns drei- bis viermal im Jahr und sehen uns auch sonst an Networking-Events. Gerade wenn es um IT-Forensik oder um Incident-Response-Fragen geht, ist es wichtig, dass man sich kennt, um schnell und angemessen reagieren zu können. Das Vertrauen, das man so aufbauen kann, ist etwas sehr Wertvolles. Man kennt einzelne Firmen, man kennt sich manchmal sogar privat. Kommt hinzu: Sollte sich ein grosser Vorfall ereignen, dann wird kaum ein einzelnes Unternehmen oder eine einzelne staatliche Stelle in der Lage sein, jeden Aspekt des Ereignisses abzudecken. Dann muss man zwingend zusammenarbeiten können und ist froh, dass es die PPP mit der entsprechenden Vernetzung gibt. Ein gutes Beispiel sitzt Ihnen gegenüber: Ich kenne Herrn Lamia von Melani persönlich und weiss, dass diese Institution die Daten nicht einfach einer weiteren Bundesstelle weitergeben darf. Dieses Vertrauen kann ich einem Geschädigten weitergeben und ihm empfehlen: «Gebt doch euren Fall an Melani weiter, die können euch sowie eventuell weiteren betroffenen Unternehmen helfen und behandeln die Daten vertraulich.» Auch um mehr Vertrauen zu schaffen, sind also die Swiss Cyber Experts eine gute Plattform.

Lamia: Von Melani wird nach einem grösseren Vorfall eine Nachanalyse mit den Geschädigten durchgeführt. Man setzt sich zusammen, bespricht die «Lessons Learned» und erörtert, welche Massnahmen und Verbesserungen am Sicherheitsdispositiv vorzunehmen sind.

Ellenberger: Die Swiss Cyber Experts bieten solche Dienstleistungen nicht direkt an. Hier gilt auch wieder, dass wir die Privatwirtschaft nicht konkurrieren wollen. Es gibt aber durchaus Mitglieder der Swiss Cyber Experts, die Kompetenzen im Bereich Business Continuity Management aufweisen. Wir können in gegebenem Fall die geschädigte Firma an diese verweisen.