PolitTalk Digitales Zürich #8 – Die dunkle Seite der Digitalisierung
Mitteilung 28.01.2020
In den neu bezogenen Räumlichkeiten der Digital Society Initiative der Universität Zürich stellten Dominik Mösching vom Staatslabor und Moritz Zumbühl von der Agentur Feinheit einleitend die Frage: «Brauchen wir ein Notfallset für digitale Krisen?». Diese bildete den Auftakt für die Diskussionsrunde zum Thema sichere Infrastrukturen und Dienste.
Man wähnt sich in einem Krimi. Eine Überwachungskamera beobachtet Ivano Somaini bei seinem erstem Bankeinbruch. Geschickt nutzt er die Hilfsbereitschaft einer Lieferantin aus, die jeweils frühmorgens Kaffeebohnen für das Unternehmen bringt und über einen Ausweis verfügt, der ihr Zutritt zur Bank erlaubt. Somaini hält eine grosse Kiste unter dem linken Arm, die rechte Hand ist mit dem Handy besetzt. Er kann also unmöglich nach seinem gefälschten Badge greifen, darum hält ihm die nette Dame auch die Türe auf, die es ihm später ermöglicht in den Serverraum der Bank im vierten Stock vorzudringen. Mission erfüllt.
Wir alle können jederzeit gehackt werden, gibt denn auch Ivano Somaini, Social Engineer und Regional Manager beim IT-Security-Unternehmen Compass Security, unmissverständlich zu verstehen. Die Firma überprüft auf Wunsch von Unternehmen, wie gut diese gegen Cyber-, aber auch traditionelle Angriffe gewappnet sind. Wie das eben erwähnte Beispiel zeigt, steht bei den meisten Attacken nicht die IT-Infrastruktur im Vordergrund, sondern die Schwachstelle Mensch. Hilfsbereitschaft und Gutgläubigkeit – positive Eigenschaften, die in der Schweiz weit verbreitet sind – werden schamlos ausgenützt, um zu kritischen Informationen über einen Betrieb zu kommen oder um Viren einzuschleusen und so die Kontrolle über sensible Daten für eine Erpressung zu erlangen.
Das Gefühl einer falschen Sicherheit
Gerne wähnen wir uns in Sicherheit mit dem Gedanken: «Warum sollte ich gehackt werden, ich bin doch nicht von Interesse.» Das mag für vereinzelte Privatpersonen hinkommen, aber für Firmen und Staatsbetriebe sind solche Einschätzungen verfehlt. Über zusehends raffiniertere Phishing-Mails werden infizierte Bewerbungsunterlagen oder angehängte Word- oder Excel-Dateien, in denen Makro-Viren schlummern, eingeschleust. Beliebte Cyber-Köder sind auch «verlorene» USB-Sticks, die über vermeintlich sensible Daten wie Lohnlisten verfügen. Wer diese einsteckt und die sich darauf befindenden Dokumente öffnet, lädt gleich einen Trojaner ins System. Dabei geht es nicht immer um einen direkten Angriff, sondern oft um die Vorbereitung einer Attacke. So kann ein Keylogger-Programm sämtliche Tastaturbefehle über einen längeren Zeitraum aufzeichnen und an die Hacker zurückspielen. Die Analyse der Daten gibt zum Beispiel Aufschluss über Login-Daten inklusive Passwort oder andere wichtige Informationen, die zur Ausführung des eigentlichen Angriffs oder Installation weiterer Schadsoftware notwendig sind.
Gemäss Daniel Nussbaumer, Chef Cybercrime der Kantonspolizei Zürich, ist niemand davor gefeit, in eine solche Falle zu treten. Das sieht auch Arno Stark so, Leiter Digitalisierung & Informatik der ewz. Er weist weiter darauf hin, dass auch staatliche Stromversorger mit solchen Attacken rechnen müssen. Der erste grosse Angriff auf Prozessleitsysteme liegt bereits zehn Jahre zurück. Damals schleusten Hacker den Stuxnet-Virus in das iranische Atomwaffenprogramm ein und brachten die Turbinen zum Überhitzen. Der Angriff warf die Entwicklung der iranischen Atombombe um Jahre zurück.
Keine falsche Scham bei Cyberangriffen
Um besser gegen Cyberangriffe gewappnet zu sein und aus Vorfällen zu lernen, wünscht Melanie Koller, Legal Counsel Cyber Risk, Kessler & Co. AG, dass auch in der Schweiz eine Meldepflicht eingeführt wird, wenn ein Unternehmen gehackt worden ist. Noch heute schämen und scheuen sich viele Firmen, zuzugeben, dass sie Opfer eines Angriffs geworden sind. Es kann aber auch sein, weist Koller darauf hin, dass der Betrugsversuch von «innen» lanciert wird und erklärt die 10:80:10-Regel. Diese besagt, dass 10 Prozent der Bevölkerung nicht kriminell ist, 80 Prozent je nach Situation agieren könnte – gemäss dem Motto «Gelegenheit macht Diebe» – und die verbleibenden 10 Prozent kriminell sind. Ein Betrieb sieht sich also 90 Prozent «potenziellen» Täterinnen und Tätern gegenüber.
In der von Beat Glogger moderierten Runde fordern die Experten denn auch, dass sich Nutzerinnen und Nutzer – der Faktor Mensch also – weniger gutgläubig und neugierig verhalten sollten, wenn es darum geht, kritische Daten wie Passwörter oder Informationen über die Firma preiszugeben. Lieber einmal mehr nachfragen, wer gerade diese Daten benötigt und warum. Weiter gilt es laufend Backups von den relevanten Firmeninformationen zu machen.
Falls ein Ransomware-Angriff gelingt, solle man nicht das Lösegeld bezahlen, um die verschlüsselte Harddisk wieder öffnen zu können, empfiehlt Cybercrime-Chef Daniel Nussbaumer. Sonst finanziert man gewissermassen weitere Angriffe. Nicht ganz gleicher Meinung ist Melanie Koller. Es sei vielmehr eine Gratwanderung, und von Fall zu Fall müsse entschieden werden, wie das Unternehmen am schnellsten wieder zu seinen Daten kommt. Lösegeldzahlungen können auch durch entsprechende Cyberversicherungen erfolgen. Doch wie gross ist die Chance, dass die Harddisk tatsächlich wieder freigegeben wird? «Manche entschlüsseln die gesperrten Daten», sagt Nussbaumer. «Denn sie seien auch um einen guten Ruf bemüht, schliesslich soll sich zahlen ‹lohnen›.»
Bei der Weiterbildung nicht nur an die Firma denken
Bei der Schulung sollte man darauf achten, dass der gewünschte Lerneffekt sich nicht nur auf das Betriebsumfeld beschränkt, sondern auch für die Privatperson relevant ist. So ist die Erfolgschance deutlich höher. Beispielsweise kann beim Thema «Back-up erstellen» darauf hingewiesen werden, dass es auch Sinn macht, zu Hause von wichtigen Daten und emotionalen Dingen wie Fotos Sicherungskopien herzustellen und diese separat aufzubewahren. Ob dies auf einer externen Harddisk oder in der Cloud geschehen soll, hänge vom Betrieb ab, meint Ivano Somaini. Wer sich für eine Cloud-Lösung entscheidet, soll das Angebot eines grossen, professionellen Anbieters wählen, da diese im höchsten Mass die Sicherheit ihrer Infrastruktur pflegen.
Im Anschluss an den informativen und spannenden PolitTalk #8 wurden die Diskussionen beim Apéro in kleinen Gruppen angeregt fortgesetzt und natürlich gleich das Datum für den kommenden PolitTalk #9 in die Agenda eingetragen. Dieser legt den Fokus auf das Thema «Risiken des Nutzerverhaltens» und findet am 9. Juni 2020, wiederum in den Räumlichkeiten der Digital Society Initiative, statt.
Bitte geben Sie uns Feedback
Ist diese Seite verständlich?
Vielen Dank für Ihr Feedback!
Kontakt
Amt für Wirtschaft und Arbeit - Standortförderung