Am Rande Europas toben konventionelle Kriege. Haben die Angriffe im Cyberraum zugenommen oder ist es eher ruhiger geworden?
Myriam Dunn Cavelty: Eine markante Zunahme im Sinne einer qualitativen Eskalation von Cyberattacken haben wir nicht gesehen. Der Cyberraum wird vielmehr seit Jahren gezielt unterhalb der Kriegsschwelle eingesetzt – als Teil hybrider Kriegsführung. Wir haben es also mit einem dauerhaften Zustand von Unsicherheit zu tun, den wir inzwischen relativ gut kennen.
Die USA und Israel haben die Kommunikation des Regimes in Teheran gestört, damit es die Kontrolle über seine Truppen verliert, bevor sie die Luftangriffe starteten.
Dunn Cavelty: Das ist nichts Neues. Wenn eine Armee irgendwo einmarschiert, versucht sie seit jeher, die Kommunikation des Gegners zu stören. Meist gehören diese Aktivitäten in den Bereich der elektronischen Kriegsführung, wohingegen heute auch Cyberelemente hinzukommen. So wurden zum Beispiel Überwachungskameras gehackt, um die Bewegungsmuster der Führungspersonen zu identifizieren. Die amerikanischen und israelischen Cyberfähigkeiten gehören zu den besten der Welt.
Woran erkennt man das?
Dunn Cavelty: Sie haben die grössten Fähigkeiten in diesem Bereich und haben diese auch gut in bereits bestehende Abläufe integriert. Gute Fähigkeiten allein reichen nämlich noch nicht aus. Das hat man zum Beispiel bei Russland gesehen. Die Russen gelten zwar auch als starke Cybermacht, sie haben es in der Ukraine aber nicht geschafft, ihre Cyberfähigkeiten sinnvoll mit den militärischen Aktivitäten zu verknüpfen.
Im Iran wurde nicht nur die ausgeklügelte Überwachungs-Software gehackt, mit der überprüft wird, ob die Frauen verschleiert sind. Die Angreifer verbreiteten auch über eine Gebets-App gezielt Falschinformationen. Wie kann ein Überwachungsstaat, der auf maximale Kontrolle setzt, so verwundbar sein?
Dunn Cavelty: Weil niemand, auch nicht der mächtigste Staat, im Cyberspace absolute Sicherheit gewährleisten kann – das ist schlicht unmöglich. Es gibt immer Wege, in ein Computersystem einzudringen, wenn man genügend Zeit und Ressourcen einsetzt. Jede komplexere Software weist zwangsläufig Schwachstellen auf. Man findet sogar bei isolierten Hochsicherheitsnetzen eine Hintertür. Das zeigt auch der wohl bekannteste Cyberangriff, Stuxnet aus dem Jahr 2010, der ebenfalls den Iran betraf.
Sie meinen den Angriff auf das iranische Atomprogramm, der dem Mossad und dem Pentagon zugeschrieben wird?
Dunn Cavelty: Ja, das System war nicht mit dem Internet verbunden – der Wurm wurde über eine Person mittels USB-Stick eingeschleust. Wie erwähnt, selbst isolierte Systeme sind nicht sicher. Hinzu kommt, dass ein grossflächiges Überwachungssystem mit vielen Kameras ein hochkomplexes Geflecht aus sehr unterschiedlichen Komponenten ist – und damit anfällig für Sicherheitslücken. Für eine Gebets-App gilt das umso mehr: Sie basiert nicht auf Technologie, in der Sicherheit eine Rolle spielt.
Sicherheit ist immer eine Frage der Priorität, denn sie kostet. Die erwähnten Systeme wurden primär für Überwachung beziehungsweise religiöse Nutzung entwickelt – nicht für maximale IT-Sicherheit. Insofern überrascht es nicht, dass ein solcher Angriff möglich war.
Wie ist die Lage in der Schweiz? Auch wir sind immer wieder Ziel von Hackerangriffen. Wie können wir uns schützen?
Dunn Cavelty: Die Frage ist immer: Wer kann und soll was tun? In der föderalen Schweiz wie auch in anderen Ländern sind die Verantwortlichkeiten verteilt: Die Verbrechensbekämpfung und die Aufrechterhaltung der öffentlichen Sicherheit liegen bei den Kantonen, der Schutz kritischer Infrastrukturen bei den Betreibern, aber im Cyberbereich ist grundsätzlich jeder selbst für seinen Schutz verantwortlich. Die Rolle des Staates beschränkt sich daher weitgehend auf Lagebeurteilung, Koordination und Hilfe bei Ereignissen, die einzelne Akteurinnen und Akteure überfordern – das zeigt auch die nationale Strategie für Cybersicherheit (NCS).
Inwiefern?
Dunn Cavelty: Mit der NCS legen Bund und Kantone fest, welche Ziele sie in Zusammenarbeit mit Wirtschaft, Wissenschaft und Gesellschaft umsetzen wollen. Ganz wichtig ist zum Beispiel die Selbstbefähigung aller Akteurinnen und Akteure, inklusive der Bevölkerung. Der Staat hat nur wenige Instrumente, um direkt in die Cybersicherheit eingreifen zu können. Ein Beispiel ist die Meldepflicht, die der Bundesrat im vergangenen Jahr in Kraft gesetzt hat. Sie soll eine bessere Datengrundlage sicherstellen, wird aber auch indirekt dazu führen, dass Betreibende kritischer Infrastrukturen bessere Fähigkeiten zur Erkennung und Bewältigung schwerwiegender Angriffe auf ihre Systeme entwickeln.
Vor fünf Jahren haben Sie den Schutz kritischer Infrastrukturen in der Schweiz als ungenügend bezeichnet. Wo stehen wir heute?
Dunn Cavelty: Generell ist das sehr schwer zu beurteilen, weil wir wenig Daten haben. Wir müssen aber davon ausgehen, dass auf freiwilliger Basis zu wenig in Sicherheit investiert wird. Umfassende Regulierung ist schwierig, weil auch innerhalb der Sektoren grosse Unterschiede bestehen. Mindeststandards helfen, aber es gibt immer Restrisiken. In den letzten fünf Jahren hat sich zumindest das Verständnis durchgesetzt, dass es nicht nur Schutz braucht, sondern auch Resilienz. Entscheidend ist, nach einem Vorfall möglichst schnell wieder funktionsfähig zu sein. Der Fokus hat sich also verschoben – weg von reiner Abwehr, hin zur Fähigkeit, zentrale Funktionen rasch wiederherzustellen.
Wie gut ist die Schweiz im internationalen Vergleich aufgestellt?
Dunn Cavelty: Ungefähr gleich wie die anderen. Aber auch hier haben wir kaum verlässliche Daten, nicht zuletzt, weil das Thema so vielfältig und komplex ist. Da wir ein reiches Land sind, können sich viele Firmen gute – und deshalb teure – Cybersicherheitslösungen leisten. Der Fachkräftemangel ist eher ein Problem. Die grössten Schwachstellen liegen weltweit bei den kleinen und mittleren Unternehmen, von denen wir in der Schweiz sehr viele haben.
Was ist deren grösstes Problem?
Dunn Cavelty: Die meisten Betriebe sind heutzutage irgendwo abhängig von Computern, sogar der Bäcker hat hochautomatisierte Backvorgänge. Kleineren Betrieben fehlt oft das Geld, um viel in die IT-Security zu investieren, zudem fehlen häufig die Fachleute. Es ist auch eine Frage des Risikomanagements. Firmen sind nicht nur mit Cyberrisiken konfrontiert, sondern müssen ganz unterschiedliche Risiken managen. Wo sie wie viel Geld reinstecken, ist eine schwierige Frage.
Sind die beschränkten Mittel auch der Grund, dass Gemeinden immer wieder Opfer von Cyberangriffen werden?
Dunn Cavelty: Ja, Gemeinden sind bezüglich Grösse und Ressourcen mit einem KMU vergleichbar. Also sind sie potenzielle Opfer krimineller Akteure, die sie mit Ransomware zu erpressen versuchen.
Was raten Sie Gemeinden und Unternehmen, die ihre Sicherheit verbessern möchten?
Dunn Cavelty: Sicherheit ganzheitlich denken! Es ist kein rein technisches Problem. Und unbedingt in die Resilienz investieren.
Welche neuen Themen stehen an?
Dunn Cavelty: Dieses Jahr befassen wir uns am Center for Security Studies der ETH Zürich unter anderem mit digitaler Souveränität – also der Frage, wie sich Staaten und Gesellschaften im digitalen Raum mehr Autonomie und Wahlmöglichkeiten erschaffen können, etwa durch Open-Source-Lösungen oder Industriepolitik. In unseren Studien zeigen wir auf, welche Ansätze andere Staaten verfolgen, und liefern den Schweizer Behörden damit wissenschaftlich fundierte Entscheidungsgrundlagen.
Mit künstlicher Intelligenz sind Cyberangriffe einfacher, häufiger und professioneller geworden. Ist die Gefahr dadurch deutlich gestiegen?
Dunn Cavelty: Die Balance zwischen Sicherheit und Unsicherheit wurde jedenfalls nicht völlig auf den Kopf gestellt. KI bietet eben auch grosse Vorteile für die Abwehr: KI-gestützte Sicherheitssysteme erkennen Muster und Auffälligkeiten im Netzwerk weit effizienter als herkömmliche Schutzprogramme. Neue Risiken entstehen vor allem bei Bild- und Stimmengenerierung in der Cyberkriminalität. Zum Beispiel durch Betrugsversuche mit Deepfakes, bei denen ein angeblicher Verwandter in Geldnot anruft.
Was für die Betroffenen zwar schlimm ist, nicht aber für die Allgemeinheit?
Dunn Cavelty: Genau. Bei KI-Themen muss man genau hinschauen, die Emotionen gehen hoch. Es gab eine grosse Panik, als chinesische Akteure das Sprachmodell Claude verwendet haben, um einen Angriff zu automatisieren. Es stellte sich aber heraus, dass diese Angriffe sehr schlecht geplant waren, also kaum Schaden anrichten konnten. Man muss aufpassen: Nur weil etwas neu ist, heisst es noch lange nicht, dass es alles verändert. Gerade bei neuen Technologien ist der Effekt meistens nicht genau der, den man erwartet.
Woran liegt das?
Dunn Cavelty: Es liegt daran, dass Menschen Technologie entwickeln und einsetzen und dass es schlichtweg Grenzen gibt, was man mit ihnen erreichen kann. So haben wir über die Jahre gelernt, wie schwierig es ist, mit Cybermitteln physische Effekte zu erzielen – z. B. etwas unwiderrufbar zu zerstören. Das gelingt mit Mitteln wie Drohnen deutlich einfacher. Der Cyberspace hat daher einiges von seinem früheren Schrecken verloren. Seine Stärke liegt vor allem in der Kombination mit anderen Angriffen wie der Aufklärung oder Lokalisierung von Personen. Am intensivsten wird er im nachrichtendienstlichen Bereich genutzt – und dort liegt wohl auch die grösste Gefahr.
Sie verfügen über ein beträchtliches Know-how. Wie häufig sind Abwerbeversuche von globalen Unternehmen oder finanzstarken Kleinstaaten?
Dunn Cavelty: Sehr selten! Mein Wissen ist wahrscheinlich zu spezifisch. Ich würde mich auch nicht abwerben lassen. Das Center for Security Studies an der ETH bietet mir ideale Bedingungen: Ich sehe, was politische Akteurinnen und Akteure beschäftigt, und bleibe zugleich nah an der technischen Entwicklung einer führenden Hochschule. Es gibt nicht viele Orte, wo das möglich wäre. Für fundierte Expertise braucht es zudem ein Umfeld wie die Schweiz, wo man auch die Freiheit hat, zu denken.
Sie sind mit dem erfolgreichen Schriftsteller Gion Mathias Cavelty verheiratet. Packt Sie manchmal die Lust, mit Ihrem Wissen und Ihren Erfahrungen einen Roman zu schreiben, der im digitalen Raum spielt?
Dunn Cavelty: Das würde ich vielleicht machen, wenn ich pensioniert bin! Im Moment fehlt mir dazu die Zeit. Ich bin mit Managementaufgaben beschäftigt und mache viel Coaching und Mentoring für jüngere Mitarbeitende. Die Zeit, die mir bleibt, muss ich für meine eigenen wissenschaftlichen Inhalte aufsparen. Wenn ich aber einmal etwas schreiben würde, dann eher einen historischen Roman.
Wie verbringen Sie Ihre Freizeit – im cybergeschützten Raum?
Dunn Cavelty: Ich gehe oft mit unserem Xoloitzcuintle spazieren, am Wochenende gerne auch auf längere Wanderungen. Ausserdem koche ich gern. In unserer Familie schauen wir mit grosser Begeisterung sämtliche Kochsendungen wie zum Beispiel MasterChef Italia oder Top Chef France. Da packt mich manchmal die Lust, etwas Schwierigeres nachzukochen. Auch mache ich Musik: Ich spiele Klavier und Schlagzeug, manchmal auch zusammen mit meiner Tochter. Und ganz schreibfaul oder cybergeschützt bin ich in der Freizeit ebenfalls nicht: Ich bin seit vielen Jahren Teil einer Online-Community, die unter Pseudonymen Geschichten schreibt. Aber nicht zu Cyberthemen.
https://influence.ch/wp-content/uploads/2023/08/Gespraech_Wyler_zvg-1.jpeg
545
816
Eva Novak
https://influence.ch/wp-content/uploads/2023/03/Logo_Influence_weiss-1-300x77.png
Eva Novak2020-12-18 17:29:142023-08-24 10:28:03«Aufruf zum Vegetarismus, und die Hälfte der Mitglieder ist weg»
