Durch eine Meldepflicht für Cyber-Angriffe bei kritischen Infrastrukturen sollen künftig alle Betreiberinnen und Betreiber kritischer Infrastrukturen am Informationsaustausch teilnehmen und so zur Frühwarnung beitragen. Welche Cyber-Angriffe das Nationale Zentrum für Cyber-Sicherheit (NCSC) aktuell besonders auf dem Radar hat und welche Konsequenzen das neue Bundesgesetz über die Informationssicherheit beim Bund nach sich zieht, verrät Max Klaus, stv. Leiter Operative Cyber-Sicherheit des Nationalen Zentrums für Cyber-Sicherheit NCSC.
Herr Klaus, im letzten Jahr ist die Zahl der gemeldeten Cyber-Angriffe beim NCSC wiederum gestiegen (von 22’000) auf rund 34’000 Meldungen. Welche Entwicklung steht dahinter? Beobachtet das NCSC einen besonderen Trend organisierter Gruppen wie staatlicher Akteure und Script Kiddies?
Je nach Angriffsform können die Angriffe ohne grosses Know-how durchgeführt werden. Das gilt insbesondere für die beiden am häufigsten gemeldeten Kategorien «Phishing» und «Betrug». Dennoch ist es so, dass die meisten Angriffe heute durch gut organisierte Gruppierungen durchgeführt werden. Angriffe von Einzeltätern sind klar die Minderheit. Dass immer mehr Cyber-Vorfälle gemeldet werden, führen wir unter anderem auf die immer bessere Sensibilisierung von Bevölkerung und Unternehmen zurück.
Was sind aus Sicht des NCSC die gegenwärtig häufigsten Angriffsvektoren (wie etwa Konfigurationsschwachstellen, Insider-Angriffe und kompromittierte Credentials)?
Es gibt zahlreiche mögliche Angriffsvektoren. Nach wie vor werden viele Angriffe nach dem «Giesskannnenprinzip» eingeleitet: Es werden Mails mit schadhaften Anhängen an hunderttausende potenzielle Opfer geschickt. Schliesslich ist auch das «Social Engineering» zu erwähnen. Denn oft gelten Cyber-Angriffe in einer ersten Phase nicht der technischen Infrastruktur, sondern es wird versucht, mittels psychologischer Tricks z. B. Mitarbeitende einer Firma so zu beeinflussen, dass sie etwas tun, was den Angreifern hilft, beispielsweise das Öffnen eines verseuchten E-Mail-Anhangs.
Hochspezialisierte Managed Security Services (SOCs) sind in den letzten Jahren auf dem Cyber-Security-Markt vermehrt im Trend im Kampf gegen dynamische Bedrohungslagen. Wie gut machen aus Ihrer Sicht die IT-Security-Anbieter in dieser Hinsicht ihren Job?
Wie in jeder Branche gibt es wohl auch bei den Managed Security Providern bessere und weniger gute Unternehmen. Die Qualität der Security-Dienstleister können wir nicht abschliessend beurteilen. Wichtig ist in diesem Zusammenhang, dass vor einem allfälligen Vertragsabschluss genau geklärt werden sollte, welche Dienstleitungen tatsächlich erbracht werden müssen.
Je nach Angriffsform können die Angriffe ohne grosses Know-how durchgeführt werden.
Max Klaus, stv. Leiter Operative Cyber-Sicherheit des NCSC
Der Zeitpunkt der geplanten Rede des ukrainischen Präsidenten war im Zuge kürzlicher Angriffe auf zahlreiche Bundes-Websites kein Zufall. Wer war alles betroffen und welche Learnings hinsichtlich der NCSC-Beobachtungslage konnte man aus diesen Incidents herleiten?
Ereignisse mit einer gewissen politischen Brisanz können durchaus zu Aktivitäten im Cyber Space führen. Von den erwähnten DDoS-Angriffen waren zahlreiche Websites der Bundesverwaltung, darunter auch jene des NCSC, betroffen. Die eingeleiteten Gegenmassnahmen zeigten jedoch Wirkung. Neben dem temporären Ausfall zahlreicher Bundes-Websites hatte dieser Angriff keine Folgen für die Bundesverwaltung. Die Analysen und allfälligen Learnings sind in Erarbeitung und werden in einen Bericht einfliessen.
Nach wie vor werden viele Angriffe nach dem «Giesskannnenprinzip» eingeleitet: Es werden Mails mit schadhaften Anhängen an hunderttausende potenzielle Opfer geschickt.
Max Klaus, stv. Leiter Operative Cyber-Sicherheit des NCSC
Betreiber kritischer Infrastrukturen, die bei Cyber-Angriffen mit grossem Schadenspotenzial der neuen Meldepflicht nicht nachkommen, können mit bis zu 100’000 Franken gebüsst werden. Können Sie etwas zum Stand der Dinge sagen?
Der Bundesrat hat 2022 die Einführung einer Meldepflicht für kritische Infrastrukturen beschlossen. Die anschliessende Vernehmlassung zeigte, dass die Wirtschaft einer solchen Meldepflicht positiv gegenübersteht. Allerdings wurde u. a. darauf hingewiesen, dass Meldungen so unbürokratisch wie möglich eingereicht werden sollen. Das Parlament hat vor Kurzem in seiner Schlussabstimmung die Meldepflicht von Cyber-Angriffen für Betreiber kritischer Infrastrukturen gutgeheissen.
Die Gesetzesvorlage zur Meldepflicht verpflichtet nicht nur die Unternehmen zur Mitwirkung beim Schutz vor Cyber-Angriffen, sondern auch das NCSC, den Meldenden beratende Unterstützung bei der Reaktion auf Cyber-Angriffe anzubieten. Von welchen Hauptdienstleistungen profitieren Security Professionals beim NCSC konkret?
Das NCSC stellt den Betreibern kritischer Infrastrukturen ein Portal zu Verfügung. Über dieses Portal werden Informationen über Cyber-Angriffe, Cyber-Bedrohungen, Schwachstellen usw. ausgetauscht. Diese Informationen stammen häufig aus öffentlich nicht zugänglichen Quellen und bieten schon deshalb einen grossen Mehrwert. Ausserdem kann das NCSC auf Wunsch eines betroffenen Unternehmens, wenn möglich auch vor Ort, Empfehlungen über das weitere Vorgehen abgeben. Ein physischer Eingriff in die IT-Infrastruktur des betroffenen Unternehmens ist aber aus verschiedenen Gründen nicht möglich. Die empfohlenen Massnahmen müssen durch die hauseigene IT oder durch ein darauf spezialisiertes Drittunternehmen vorgenommen werden.
Das Nationale Zentrum für Cyber-Sicherheit wird per 1.1.2024 in das Bundesamt für Cyber-Sicherheit überführt. Die NCSC-Kompetenzen, die in den vergangenen Jahren beim Eidgenössischen Finanzdepartement (EDF) untergebracht waren, sind ab dem neuen Jahr dem Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) angesiedelt.
Weiterführende Links
