Hysterie? Hausaufgaben!

82 Prozent der Schweizer Unternehmen sind kaum auf Cyber-Pannen vorbereitet. Erwischen kann es jedes Unternehmen jederzeit. Am 4. Mai 2016 wurde der Fall RUAG publik. Dramatische Folgen sind bisher ausgeblieben, aber auf «menschliches Versagen» können sich allfällige Angreifer verlassen.

Mark A. Saxer

4. Mai 2016|Mark A. Saxer|Wirtschaft

«Es besteht ein ständiger Druck auf sensible Daten», so hält die Melde- und Analysestelle Informationssicherung des Bundes (MELANI) in Präsentationen bei jeder Gelegenheit fest. Spionageversuche seien «immer und überall möglich, sei es am Arbeitsplatz, auf Dienstreise oder [via] Mobiltelephon». Anfangs war «Titan Rain» (2003-2004) noch isoliert, aber seit 2008 überlagern sich die Malware-Wellen in zunehmender Intensität.

82 Prozent der Schweizer Unternehmen sind nicht vorbereitet

Sind die Unternehmen in der Schweiz entsprechend vorbereitet? Eine jährliche Erhebung gibt Auskunft, aktuell «The Global State of Information Security® Survey 2016». Die weltweite Studie wird von der Beratungsfirma PwC sowie den Branchenblättern CIO und CSO Magazine durchgeführt, und sie zeigt Länderzahlen.

Aktive Entwicklung einer generellen Sicherheitsstrategie unter Einbeziehung des Vorstands: Hier landet die Schweiz bei knapp 36 Prozent (Europa: 44 Prozent, weltweit 45 Prozent). ICTswitzerland hat auf der Plattform digital.swiss für die Schweiz 45 Prozent publiziert: Diese Zahl sagt jedoch aus, wie weit die Erreichung des Verbands-Zielwertes von 80 Prozent fortgeschritten ist.

Eine Strategie zur Informationssicherheit wurde formuliert: In der Schweiz in knapp 54 Prozent der Firmen, die an der Umfrage teilgenommen haben (europa- und weltweit je knapp 58 Prozent)

Durch Simulationen getestete Cyber-Fähigkeiten: Der Wert der Schweizer Unternehmen liegt bei knapp 18 Prozent und damit minim hinter «Europa»; weltweit sind es 20 Prozent.

Was aber heisst das? Was bedeutet es, dass in der Schweiz 36 Prozent der Unternehmen eine generelle Sicherheitsstrategie haben und 54 Prozent eine Informationssicherheitsstrategie – dass aber nur knapp 18 Prozent die Fähigkeiten getestet haben? Es heisst: Nur knapp 18 Prozent haben tatsächlich eine Strategie. Denn was nützt eine Strategie, die in einem Ordner abgelegt ist, im Ernstfall?

Das Kritische an den Infrastrukturen

Dass es jedes Unternehmen erwischen kann, hat aktuell RUAG bewiesen – es sollen höchst vertrauliche Daten abgeflossen sein. In den letzten Monaten erwischte es die Elektrizitätsindustrie. Über diese Fälle weiss man mehr: Am 6. Januar 2016 schrieb «20 Minuten» (selbst unlängst Opfer): «Wegen eines Cyberangriffs sassen 700’000 Ukrainer im Dunkeln».

Und am 27. April 2016 meldete Reuters: «German nuclear plant infected with computer viruses, operator says». Die «Frankfurter Allgemeine Zeitung» (FAZ) dazu: «Im Atommeiler im bayerischen Gundremmingen haben Techniker eine Schadsoftware im Computersystem entdeckt. Das Ziel des Virus: das Kraftwerk mit dem Internet zu verbinden». Konkret gehört das befallene System laut FAZ zur Brennelemente-Lademaschine, ohne Einfluss auf die Steuerung der Anlage zu haben.

Malware aus den Jahren 2008 & 2010

Ein kurzer Blick auf die Technik lohnt sich, namentlich auf ihr Alter: Es ging um die Schad-Programme Conficker, bekannt seit 2008, und W32Ramnit. Über Conficker schrieb MELANI im Halbjahresbericht 2015/1: «Beunruhigend» sei, «dass dieser Wurm bereits über 8 Jahre existiert und offensichtlich immer noch weit verbreitet ist».

W32Ramnit ist jünger – der Wurm wurde 2010 entdeckt. Seine Funktionen sind bestens dokumentiert. In Kürze: Sobald ein Rechner infiziert ist, startet das Virus heimlich iexplore.exe und umgeht ab dann die lokale Firewall. Zudem infiziert W32Ramnit unter anderem sämtliche HTML-Files.

Diese beiden Fälle betrafen im engeren Sinne kritische Infrastrukturen. Ohne dramatische Folgen – kein Grund zur Hysterie, aber ein Appell, die Hausaufgaben nicht zu vernachlässigen.

«123456», «login» & «qwertz»

Die Liste der möglichen Folgen eines «major cyber incident» ist lang: Unterbruch der Geschäftstätigkeit und Verlust von Umsatz oder Kunden sind sicher die Spitzenreiter. Gefolgt von allfälligen Schwierigkeiten mit Regulierungsbehörden («compliance»!) oder gar dem Gesetz. Unsicher ist, wie gross der Reputationsschaden ist. Laut der RAND Corporation soll nur knapp jeder zehnte US-Amerikaner, der 2015 darüber benachrichtigt wurde, dass seine persönlichen Daten Teil einer Datenschutzverletzung durch ein Unternehmen seines Vertrauens waren, sein Geschäftsverhältnis mit der gehackten Firma beendet haben.

Eigentlich bekannt sind die Ursachen von Cyber-Pannen. Die Nummer 1 auf allen Listen: «Menschliches Versagen». In diese Kategorie gehören auch schwache Passworte (W32Ramnit etwa testet eine lange Liste), die entsprechenden Hitlisten werden jährlich veröffentlicht. Nicht wegzudenken sind «123456», «qwertz» oder im Jahr einer WM: «football». Auch «Passwort» taucht immer wieder in den Spitzenrängen auf, so wie «welcome» und «login». «Menschliches Versagen» ist es aber auch, Memory sticks bedenkenlos zu verwenden. Wie Gundremmingen illustriert, wo 18 infizierte, entfernbare Laufwerke gefunden wurden – vor allem USB-Sticks.

Autor: Mark A. Saxer, Geschäftsführer Swiss Cyber Experts