Die Angriffe auf Unternehmen, nationale Institutionen und kritische Infrastrukturen häufen sich: Anfang Februar attackierte eine Ransomware-Gruppe die Universität Zürich, wenig später bestätigten die SBB einen Cyberangriff, auch Gemeinden verzeichnen seit einem Jahr deutlich mehr Angriffe auf ihre Systeme. Zuletzt gehörten auch Kantone, das nationale Parlament und die Bundesverwaltung zu den Opfern von Cyber-Attacken.
So griffen prorussische Hacktivisten mehrere Webseiten der Bundesverwaltung an – drei Tage vor der Rede des ukrainischen Präsidenten Wolodimir Selenski vor der Bundesversammlung.
Gemäss Angaben des Nationalen Zentrums für Cybersicherheit (NCSC) galt der Angriff der ganzen Bundesverwaltung: Die Webseiten waren nicht mehr erreichbar, Anwendungen des Bundes nicht mehr verfügbar. DDoS-Angriffe (Distributed Denial of Service) auf die Informatiksysteme der Verwaltung legten die Systeme lahm.
Letzte Woche wurde das Ausmass des Lecks publik, welche ein Ransomware-Angriff auf die IT-Firma Xplain in Interlaken hatte: Baupläne von Polizei- und Armeesystemen, Adressen und Sicherheitsdaten von Bundesräten sowie Informationen über den Schutz von hiesigen Botschaften stellte die Hackerbande Play ins Netz.
Die Art der Attacken unterscheiden sich zwar. Unbestritten aber ist: Der Schaden ist einerseits finanziell gross und andererseits unterminieren die Angriffe das Vertrauen in die Behörden.
Die Schweiz ist nicht alleine. Weltweit wächst die Schadensbilanz in schnellen Schritten. Denn die Digitalisierung der Wirtschaft schreitet voran, und damit auch die Interaktionen im Internet. Den Hackern bietet sich mehr Angriffsfläche.
Die Unternehmensberater von McKinsey schätzen, dass der Schaden weltweit bis 2025 auf 10,5 Billionen Dollar pro Jahr wächst, fast 10'000'000'000'000 Franken. Das sind drei Mal mehr als noch 2015.
Damit steigt auch das Bedürfnis nach Sicherheit. Private, Unternehmen und Behörden wenden jedes Jahr mehr Geld auf, um sich, ihre Daten, Systeme sowie Dienstleistungen zu schützen. Je nach Schätzung werden weltweit 150 bis 250 Milliarden Dollar pro Jahr in die Cybersicherheit gesteckt – bei einer jährlichen Wachstumsrate von über 12 Prozent.
Grössere Unternehmen, die über höchst sensible Daten verfügen und kritische Dienstleistungen anbieten, schützen sich meist aufwendig. Das Paradebeispiel dafür sind Geldtransfers der hiesigen Banken.
Die Schweizerische Nationalbank (SNB) muss sicherstellen, dass die Transfers zwischen den Geldinstituten funktionieren, sie ist verantwortlich für das sogenannte Swiss Interbank Clearingsystem (SIC). 2022 wurden pro Tag im Mittel rund 3,7 Millionen Zahlungen im Wert von 200 Milliarden Franken über dieses System abgewickelt. An Spitzentagen können es über 12 Millionen täglich sein – mit Umsätzen von bis zu 403 Milliarden Franken.
Unvorstellbar, was passieren würde, wenn Überweisungen nicht übermittelt werden könnten und somit nicht mehr beim Adressaten ankommen. Unvorstellbar auch das Chaos, wenn das private Konto plötzlich und für längere Zeit nicht mehr zugänglich ist. Wer verfügt heute noch über so viel Bargeld, um sich mehrere Tage versorgen zu können?
Um das Zahlungssystem vor Angriffen zu schützen und die Transaktionen ohne grössere Unterbrüche sicherzustellen, mietet die SNB sowie alle SIC-Teilnehmer Punkt-zu-Punkt-Verbindungen zum zentralen SIC-System. Über solche privaten Linien kommunizieren auch Militärs oder Nachrichtendienste, um Zugriffe von aussen auszuschliessen.
Die Verbindungen der Banken sind so zwar sicher, aber vergleichsweise wenig resilient: Fällt eine Netzwerkverbindung aus, dauert es bis zu drei Minuten für die Umschaltung auf eine alternative Verbindung. In Zeiten, da Kunden in Sekundenschnelle ihre Ware zahlen oder auch Geld erhalten wollen, ist Geschwindigkeit auch eine Sicherheitsfrage.
Die SNB zeigte sich offen und interessiert an neuer Technologie, die zukunftsfähig und mindestens genauso sicher wie das bisherige Verfahren ist. Das von der ETH Zürich unter Professor Adrian Perrig entwickelte SCION-Protokoll entspricht den strengen Kriterien, weil es eine wesentlich erhöhte Sicherheit und weitere wünschenswerte Eigenschaften verspricht. So beschränkt das geschlossene Netzwerk die Teilnahme auf einen Teilnehmerkreis aus der Finanzbranche und kann die Teilnehmer vor bestimmten Attacken wie DDoS, BGP-Hacking oder Re-Routing schützen.
Zusammen mit dem Finanzdienstleister SIX, welcher die Infrastruktur für den Schweizer Finanzplatz zur Verfügung stellt, entwickelte die SNB das Projekt des Secure Swiss Finance Network (SSFN), über welches in Zukunft der Schweizer Finanzplatz grossmehrheitlich kommunizieren wird. Aktuell findet die Ablösung vom bestehenden Netzwerk bis Ende September 2024 statt.
Für das Projekt haben sich die Betreiber Swisscom, Sunrise und Switch mit ihren Netzwerken zusammengeschlossen, um einen neuen Sicherheitsstandard zu erstellen, eine wesentlich erhöhte Resilienz und Ausfallsicherheit. So ist beim Ausfall eines Providers die laufende Kommunikation nicht tangiert und der Kunde – beispielsweise eine Bank – bemerkt die Störung nicht.
Ein weiterer Vorteil der neuen Technologie gegenüber dem allseits zugänglichen Internet liegt laut SNB-Vertreter Sébastien Kraenzlin, Leiter operatives Bankgeschäft, auch darin, dass nur jene Finanzmarktteilnehmer und -dienstleister, die den strengen Zulassungsvorschriften zum SSFN entsprechen, daran teilnehmen können. Damit sei das Risiko für Angriffe von aussen auf das Netzwerk quasi eliminiert. «Jedoch müssen die Finanzmarktteilnehmer ihre eigenen Infrastrukturen weiterhin selbst schützen.» Das sichere Netzwerk schützt die Kommunikation und nicht den gesamten Betrieb.
Konkret zeigen Messungen von Anapaya, dem ETH-Spinoff von Perrig und dem Vertreiber der SCION-Router Technologie, eindrücklich, wie Netzwerke durch Einsatz der neuen Technologie geschützt sind. Die Firma hat die Angriffe auf eine grössere Schweizer Bank im letzten Quartal 2022 gemessen und zählte 80'000 Versuche jeden Tag, über das Netzwerk ins System der Bank einzudringen. Davon sind 1000 Angriffe gezielt, also bösartig, sogenannte Code Injection Attempts.
«Mit der Umstellung auf die SCION-Technologie rechneten wir schon mit einer massiven Reduktion der messbaren Attacken», sagt Anapaya-CEO Martin Bosshardt zu den Tests. Das Resultat verblüffte gar die Entwickler:
Einzig Fehlermeldungen, etwa falsch eingegebene Passwörter, erscheinen noch in der Statistik. Doch Angriffe, die einen Schaden hätten anrichten können, wenn der Zugang zum System nicht gut gewartet und gesichert ist, gab es keine mehr.
Der Grund für die erhöhte Sicherheit ist eine direkte Folge der Technologie, welche die Daten nur über vertrauenswürdige Router leitet: Für Aussenstehende, also Angreifer oder deren Bots (Programme, die nach Schlupflöchern suchen), ist das Netzwerk, sowie dessen Teilnehmer gar nicht mehr erkennbar, gar nicht mehr sichtbar, wie Martin Bosshardt erklärt.
Entscheidet also ein Netzwerkteilnehmer, dass er nur andere Teilnehmer aus der Schweiz als vertrauenswürdig erachtet, erscheint sein Anschluss und seine im Netzwerk angebotenen Dienste für Anwender im Ausland nicht.
Und daraus leitet sich der grösste Sicherheitsvorteil ab: In der Regel verschaffen sich Kriminelle über gestohlene Passwörter und Logins Zugang zu Geschäftsnetzwerken oder auch zu privaten Computern. Wenn nun ein System gar nicht auffindbar ist, dann bringen dem Hacker auch die Logins, Passwörter, Zertifikate nichts, weil er das System nicht mehr erreichen kann.
Martin Bosshart spricht von einem «Riesenschritt in der Sicherheit», weil der einzelne Teilnehmer nun definieren kann, wer ihn selbst theoretisch überhaupt noch angreifen kann.
Der Vorteil bei der Anwendung der SCION-Technologie in der Schweiz: Indem Attacken aus dem Ausland verhindert werden können, bleiben den Cyberkriminellen nur noch Angriffsmöglichkeiten aus der Schweiz. Doch hier kontrollieren die Internetprovider Swisscom, Sunrise, Switch und Co. den Datenverkehr. Das heisst, die Adressen der Nutzerinnen und Nutzer sind alle rückverfolgbar und identifizierbar. Das wiederum bedeutet eine grosse Hilfe für die Strafverfolgung, welche die Kriminellen besser auffinden kann.
Eine weitere Statistik von Anapaya zeigt, woher die Angreifer kommen. Die Firma hat die Herkunftsländer der insgesamt fast sieben Millionen Angriffe in nur drei Monaten auf die erwähnte Schweizer Bank ausgewertet: Der Grossteil der Angriffe stammte aus China. Die zweitmeisten Angriffe kommen aus den USA – aus den grossen Cloud-Providern, die Anonymität bieten.
Wieso ist diese Technologie also (noch) nicht weiter verbreitet? Einerseits ist die Gefahr wenig sichtbar: Weil Cyberangriffe in der Schweiz nicht generell meldepflichtig sind, lässt sich das Ausmass der Schäden nur schwer beziffern. So gelangen grosse Angriffe wie bei der SBB nur an die Öffentlichkeit, wenn sich Störungen bemerkbar machen – oder gestohlene Daten veröffentlicht werden.
Weiter ist die Technologie noch wenig bekannt und trifft auf eine grosse Portion Skepsis, wie Martin Bosshardt feststellt. Doch die Cyber-Angriffe nehmen zu – auch auf die Homeoffice-Konten der Unternehmen.
Dank dem Verbund Schweizer Internetprovider zur Umsetzung der neuen Technologie könnten globale Angriffe auf wichtige Systeme unterbunden werden. Die SNB hat beispielsweise ihre Homeoffice-Zugänge für die Mitarbeitenden mittlerweile auch grösstenteils über SCION abgesichert.
Unbekannt ist die Technologie aber nicht: Florian Schütz, Delegierter des Bundes für Cybersicherheit, bestätigt mehrere Testversuche. So band das Eidgenössische Departement für auswärtige Angelegenheiten (EDA) 2019 als Pilotversuch die Schweizer Botschaft in Deutschland über SCION-Technologie an. Einen zweiten Pilotversuch startete das EDA 2021 mit der Anbindung der Botschaft in Südkorea und der Verbindung mit der demilitarisierten Zone an der Grenze zu Nordkorea.
Auch die Armee und das Nationale Zentrum für Cybersicherheit (NCSC) testeten die Technologie. Der Cyber-Defence-Campus von Armasuisse betreibt seit 2022 eine permanente SCION-Netzwerktest-Infrastruktur zur Verbindung seiner Standorte in Zürich, Lausanne und Thun. Diese Testinfrastruktur dient zur Forschung und Innovation und wird aktuell mit einem zusätzlichen SCION-Knoten in Estland am Exzellenzzentrum der NATO für Cyber-Abwehr erweitert, um 5G-Netze über SCION zu testen.
Ob, und wann diese auch in anderen Bereichen angewandt werden kann, sei noch offen, sagt Florian Schütz. «Die Technologie ist interessant, bedeutet jedoch nicht die ultimative Sicherheit.» So seien die schützenswerten Systeme nie ganz isoliert. «Es gibt immer einen Eingang», erklärt Schütz. Die Technologie verkleinere aber die Angriffsfläche.
Gewisse Cyberattacken seien auch über andere Massnahmen in den Griff zu bekommen. Beispielsweise könnten DDoS-Attacken über mehr Leistung, also breitere Volumen bei der Verbindung verhindert werden. Das sei letztlich aber eine Kostenfrage. «So ist der Risiko-Appetit für jedes Unternehmen steuerbar», sagt Schütz.
Dass die SCION-Technologie alle Probleme der Cyberkriminalität lösen kann, wird nicht postuliert. «Die granulare Kontrolle über die eigene Angriffsoberfläche ist ein fundamentaler Unterschied was die Sicherheit angeht.
Genügend Druck für eine DDoS-Attacke aufzubauen ist mit SCION schlicht nicht möglich. Damit sind dann auch keine kostspieligen, laufend wachsende Abwehrbandbreiten mehr notwendig», sagt Martin Bosshardt und präzisiert: «Zudem sind anonyme Angriffe über juristische Grenzen hinweg nicht mehr einfach technisch gegeben. Solche Risiken können ausgeschaltet oder dann gezielt eingegangen werden.»
Der Anapaya-CEO spricht von einer «sicheren Kommunikation», im Unterschied zu «sicheren Zugängen». Das bedeutet, gängige Sicherheitsanwendungen wie Firewalls, Virenschutz und Verschlüsselung von Informationen braucht es nach wie vor.
Martin Bosshardt ist sich denn auch bewusst: «Es braucht noch viel Energie und einen langen Atem, um die SCION-Technologie weiter zur Anwendung zu bringen.» Auch für die Zusammenarbeit mit der SNB musste sich der Anapaya-CEO gedulden.
«Die SNB agiert bei Sicherheitsfragen höchst konservativ», erklärt Sébastien Kraenzlin die lange Testphase. Dass die neue Technologie dereinst angewandt würde, war keineswegs klar. «Wir haben sie zwei Jahre lang auf Herz und Nieren geprüft.»
Der Entscheid der SNB, die Technologie für den Bankenplatz Schweiz anzuwenden, gleicht darum einem Ritterschlag: Sie muss die höchsten Sicherheitsanforderungen erfüllen. Gleichzeitig ermöglichte die SNB die Ausbreitung von SCION-Verbindungen in der ganzen Schweiz, indem sie die ansässigen Internetprovider vom Projekt überzeugen konnte, wie Sébastien Kraenzlin sagt.
Swisscom, Sunrise und Co. haben Millionen in die Technologie investiert. Der SNB-Vertreter sieht für das Land darum ein grosses Momentum:
Der Grundstein ist gelegt, bereits heute können Interessierte einen SCION-Zugang bei den Telecom-Providern bestellen und mit dem Einsatz der notwendigen Soft- und Hardware über ein sichereres Netzwerk (Swiss ISD) verbinden.
Daraus erwächst dem Land ein gigantischer Vorteil, weil wichtige Systeme im «White Net» der SCION-Technologie sicherer sind: Dazu gehören nicht nur die Dienste des Finanzplatzes, sondern auch die Spitalversorgung, die öffentlichen Infrastrukturen wie der Schienenverkehr oder die Energieversorgung.
(aargauerzeitung.ch)
