Rückblick Jahrestagung Industrie 2025 – Melani-Leiter Pascal Lamia über Gefahren der Vernetzung

Cyberattacken als Dienstleistung

Pascal Lamia mahnte bei der Jahrestagung Industrie 2025 die Zuhörer zu einem sensibleren Umgang mit der IT. Bild: EFD
Markus Back / Chefredaktor Smart Tech /

Die Vernetzung von Maschinen und Dingen birgt verschiedene Gefahren, wie Pascal Lamia bei der Jahrestagung Industrie 2025 in Brugg-Windisch verdeutlichte. An die Unternehmen gerichtet appellierte er, dass die IT-Sicherheit Chefsache sei und es neben technischen auch organisatorische Massnahmen brauche.

Die Cyberattacken im Sommer 2017 legten selbst grosse Unternehmen wie Maersk oder Mondelez lahm und machten eines deutlich: es kann jeden treffen! Dass diese Angriffe ausschliesslich zufällig erfolgen, ist dabei ein Trugschluss. «Wenn sich Ihr Konkurrent darüber ärgert, dass Sie ein besseres Produkt vertreiben als er, kann er Ihnen ohne grossen Aufwand das Leben schwer machen», erzählte Pascal Lamia aus seinem Alltag als Leiter der Melde- und Analysestelle Informationssicherung des Bundes (MELANI). Im Internet könne dieser die Cyberattacken als Dienstleistung einkaufen und diese gezielt einsetzen lassen. Zuvor bekomme der eifersüchtige Wettbewerber selbstverständlich eine Kostprobe. «Das ist wie mit der Probefahrt beim Kauf eines neuen Autos», so Pascal Lamia: «Sie können beispielsweise seine Infrastruktur für zehn Minuten lahm legen lassen, um zu sehen, wie Ihnen diese Art von Angriff gefällt.» Dabei sei es sogar möglich, mit dem Dienstleister in Kontakt zu treten und ihm ein Feedback über seine Arbeit zu geben. Mit der Verrechnung der Dienstleistung verhalte es sich dabei ähnlich wie in der Geschäftswelt und sei reine Verhandlungssache. «Wenn die Attacke länger dauern soll, ist das teurer, wird dafür aber stärker rabattiert», so der Referent.

Vernetzung nicht immer sinnvoll

Seinen Auftritt bei der Jahrestagung Industrie 2025 an der FHNW in Brugg-Windisch nutzte der Leiter von MELANI, um die Zuhörer zu sensibilisieren: «Bisher galten vor allem Laptop, Computer und Server als Einfallstore für Angreifer. Mit dem Internet der Dinge tun sich für diese jedoch ganz neue Möglichkeiten auf. Nun können sie jedes Gerät nutzen, das am Netz hängt.» Dass dies keine Panikmache, sondern Realität ist, verdeutlichte Pascal Lamia an einem Fall, der sich in einem hiesigen Spital zutrug. MELANI hatte dessen IT-Leiter über eine Störung informiert, deren Quelle sich zunächst nicht ausmachen liess. Erst als die Bodenplatten entfernt und jedes einzelne Kabel geprüft war, fand sich die Ursache: eine Herz-Lungen-Maschine, an der ein Patient hing. Diese lief auf einem veralteten Linux-System ohne Firewall, das letzte Software-Update lag mittlerweile sechs Jahre zurück. «Wir haben sofort den US-amerikanischen Hersteller kontaktiert und ihm das Problem geschildert», so Pascal Lamia: «Seine erste Frage war, ob wir gegen ihn prozessieren wollen?» Es wurde nicht prozessiert, für den Behördenleiter stellt sich aber die Frage, wieso solche Maschinen am Internet angeschlossen sein müssen? Nicht alles, was sich vernetzen lasse, müsse zwingend vernetzt werden: «Oder wollen Sie etwa an einer lebenserhaltenden Maschine angeschlossen sein, wenn gerade ein Software-Update erfolgt?»

Das Internet der Dinge schafft vollkommen neue Angriffsmöglichkeiten

In einem anderen Fall geriet die Swisscom zu Unrecht an den Pranger. Über einen Dienstleister, der Zugriff auf den Swisscom-Server hatte, erfolgte der Diebstahl von 800000 Datensätzen. «Wie sind Sie in Ihrem Unternehmen geschützt?», fragte daher Pascal Lamia: «Kommt man bei Ihnen so ohne weiteres aufs System? Haben Sie eine Zwei-Faktor-Authentisierung oder ist jemand von der IT im Prozess, der einen Zugriff zuerst quittieren muss?» Einen Tag nach der Veröffentlichung des Datendiebstahls twitterte und bloggte übrigens eine IT-Sicherheitsfirma, dass sie davon ausgehe, dass ein neuer Pishing-Angriff im Zusammenhang mit dem Datenleck bei der Swisscom stehe. Diese hatte zwar nur die Privat-Adressen mit Name, Vorname und Handynummer gespeichert, doch der Hacker hatte diese Daten einfach mit anderen gestohlenen Daten gematcht und so eine Pishing-Attacke gestartet.

Diebstahl geistigen Eigentums

Eine interessante Beobachtung machte MELANI bei den Grossangriffen Petja, Not Petja und Wanna Cry mit weltweit über 200000 Geschädigten. Während es in einigen Ländern mehrere zehntausend Betroffene gab, hielt sich der Schaden in der Schweiz mit rund 200 registrierten Fällen in Grenzen. Bei der Aufarbeitung zeigte sich, dass die Nutzer hier die Software nicht illegal herunterladen, sondern in aller Regel dort einkaufen, wo Lizenzgebühren bezahlt werden. Zudem laufe auf vielen Computern eine Antiviren-Software und die Firewall sei automatisch aktiviert. Deutlich mehr Opfer erforderten die Angriffe in Russland mit rund 40000 und in China mit knapp 35000 Geschädigten. «Auch dort ist Windows im Einsatz», so Pascal Lamia: «Oftmals handelt es sich aber um gehackte Versionen, für die keine Updates erfolgen. Diese Systeme sind somit wenig bis gar nicht geschützt und dadurch einfache Angriffsziele.»

 

Die Melde- und Analysestelle Informationssicherung des Bundes, kurz MELANI, adressiert zwei Kundenkreise. Dem offenen Kundenkreis gehören private Computer- und Internetnutzer sowie kleinere und mittlere Unternehmen an. Zu ihrem Schutz bietet MELANI unter anderem Informationen über Gefahren und Massnahmen im Umgang mit modernen Informations- und Kommunikationstechnologien sowie ein Formular, um Vorfälle zu melden. Der geschlossene Kundenkreis umfasst ausgewählte Betreiber von nationalen, kritischen Infrastrukturen wie zum Beispiel Energieversorger, Telekommunikationsunternehmen oder Banken. Hier ist es Aufgabe der Behörde, diese kritischen Infrastrukturen zu schützen sowie Netz- und Systemunterbrechungen möglichst kurz und deren Schadensausmass möglichst gering zu halten. MELANI beschränkt sich bei dieser Zusammenarbeit darauf, Wissen und Mittel einzubringen, die nur ihr als staatlicher Stelle zur Verfügung stehen und die der Wirtschaft anderweitig nicht zugänglich sind. Dies gilt vor allem im Bereich des Nachrichtendienstes bei den nationalen Computer Emergency Response Teams sowie bei der Strafverfolgung.

 

Diese gezielten Angriffe erfolgen aber nicht nur auf grosse Unternehmen oder die Bundesverwaltung. Sie werden auch dazu genutzt, um sich günstig das Know-how seines Wettbewerbers zu verschaffen. «Sind Sie sicher, dass Sie nicht bereits angegriffen wurden oder man bei Ihnen mit hört?», fragte der Leiter von MELANI denn auch provokant. Bei gezielten Angriffen dauere es durchschnittlich ein bis eineinhalb Jahre, bis diese überhaupt wahrgenommen würden. Bei RUAG, die Opfer einer solchen Attacke wurde, bedurfte es eines Hinweises aus dem Ausland, um die Bespitzelung im eigenen Hause zu bemerken. Der entstandene Schaden sei bei solchen Vorfällen äusserst schwer abzuschätzen, zumal die Hacker die Daten vor dem Versenden oftmals verschlüsselten, um ihre Spuren zu verwischen.

Schlussfolgerung

Doch welche Schlüsse sind aus diesen Vorfällen zu ziehen? Für Pascal Lamia ist es mit technischen Massnahmen allein nicht getan. Ergänzend bedürfe es nationaler und internationaler Sensibilisierung und organisatorischer Massnahmen, um sich vor Cyberattacken zu schützen. Des Weiteren sei jeder Einzelne gefordert, in dem er seine Verantwortung als Privatperson oder auch als Angestellter wahrnehme. «Mit Ihrem Verhalten helfen Sie, den Wirtschaftsstandort Schweiz zu schützen», mahnte der MELANI-Leiter abschliessend.