Bug-Jagden, Mail-Security und Verstösse gegen das Heilmittelgesetz

Wenn es um die Nutzung des Internets geht, gehört die Schweiz zu den sichersten Ländern der Welt. Nun soll es noch zum sichersten werden, wie Katja Dörlemann bei der Eröffnung des diesjährigen Web Security Days in der Welle 7 in Bern sagte. Dörlemann ist Security Awareness Expert bei Switch und Präsidentin der Swiss Internet Security Alliance (SISA). 

Veranstaltungen wie diese sollen dazu beitragen, diese Ambition zu realisieren. Denn Security sei ein gemeinschaftlicher Effort und der Web Security Day dient dazu, zu informieren und Spezialisten zu vernetzen. Hinter dem Event stehen der Wirtschaftsverband Swico, die Stiftung Switch sowie die SISA. 

Events sind nicht das einzige Mittel, mit dem die SISA die Sicherheit im Internet erhöhen will. Zu diesem Zweck schuf sie auch die Informationsplattform iBarry. Die aktuellen Beiträge von iBarry finden Sie im Rahmen einer Medienpartnerschaft auch auf SwissCybersecurity.net.

Richtlinien für sichere Mail-Kommunikation

Das Vortragsprogramm des diesjährigen Web Security Days eröffnete Patrick Koetter, Berater und Vorstand von Sys4 sowie Leiter der Kompetenzgruppen "E-Mail" und "Anti-Abuse" beim deutschen Branchenverband Eco. 

Koetters Präsentation hatte den Titel "E-Mail Authentication mit BSI TR-03182". "It doesn't get any sexier than that", kommentierte er scherzhaft seinen eigenen Titel. TR-03182 ist eine technische Richtlinie, die Koetter selbst für das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) verfasst hat. Er stellte in Bern jedoch deutlich klar, dass er für das BSI präsentiere, aber dass er das BSI nicht repräsentiere.

Die Richtlinie soll E-Mail-Kommunikation sicherer machen, indem es konkrete Anforderungen an E-Mail-Diensteanbieter definiert. Dabei geht es vor allem um die Authentizität der Nachrichten und der Absender. Die Richtlinie schreibt unter anderem vor, dass man zusätzlich zum IP-basierten Sender Policy Framework (SPF) auch das DKIM-Protokoll (Domain Keys Identified Mail) anwenden soll. 

Patrick Koetter (links), Berater und Vorstand von Sys4 sowie Leiter der Kompetenzgruppen "E-Mail" und "Anti-Abuse" beim deutschen Branchenverband Eco, und Robert Kummer, Enforcement Officer bei Swissmedic. (Source: Netzmedien)

Onlinehandel mit gefälschten Heilmitteln

Nach der E-Mail-Security ging es weiter mit Verstössen gegen das Heilmittelgesetz. Der zweite Referent des Tages war Robert Kummer, Enforcement Officer bei Swissmedic - die Zulassungs- und Kontrollbehörde für Heilmittel in der Schweiz. 

Was haben Verstösse gegen das Heilmittelgesetz mit Web Security zu tun? Sehr viel sogar: Der Onlinehandel mit gefälschten Heilmitteln ist laut Kummer ein Milliardengeschäft. Die Zunahme an Webshops, die sich im Internet als Apotheke ausgeben und gefälschte Medikamente rezeptfrei anbieten, bezeichnete er als frappant. 

Viele dieser Shops richten sich spezifisch an den Schweizer Markt. Gewisse andere versuchen im Ausland mit "Swissness" zu punkten. Nicht immer verkaufen diese Plattformen tatsächlich Produkte. Manchmal stecke dahinter eine reine Betrugsmasche; diese Sites seien nur darauf aus, Kreditkartendaten und Identitäten zu stehlen oder Phishing zu verbreiten. Auch die Verbreitung von Malware sei möglich, allerdings hat Kummer nach eigenen Angaben noch keine Hinweise darauf, dass dies tatsächlich passiere. 

Bug-Jagd beim NCSC

Im Anschluss daran erfuhren die Teilnehmenden etwas über Schwachstellen-Management vom Head Vulnerability Management beim NCSC, Roger Knoepfel. Das NCSC stellt einerseits Guidelines zur Verfügung, falls Unternehmen selbst ein Coordinated Vulnerability Disclosure (CVD) implementieren wollen. 

Roger Knoepfel, Head Vulnerability Management beim NCSC. (Source: Netzmedien)

Andererseits setzt sich das NCSC auch für die andere Seite ein: für die ethischen Hacker, die nach Schwachstellen in IT-Systemen suchen. Das NCSC sei etwa auch ein Koordinator, wenn Bug-Jäger keinen Zugang zum betroffenen Anbieter finden, dieser nicht reagiert oder die Bug-Jäger rechtliche Konsequenzen fürchten. Um das Melden von Schwachstellen plädiert das NCSC dafür, dass Firmen auf ihren Websites ihre Kontaktdaten als Textdatei “Security.txt” abspeichern (lesen Sie hier mehr dazu).

Das NCSC selbst betreibt übrigens auch ein Bug Bounty Programm, das regelt, wer in welchen Systemen was für Bugs suchen darf und wie man dafür belohnt wird. Dieses Programm beschaffte es vom Luzerner Anbieter Bug Bounty Switzerland. Was dies für die Digitalisierung in der Schweiz bedeutet, erklärt Mitgründer und CEO des Anbieters Sandro Nafzger an dieser Stelle.

Attacken auf Wordpress-Sites

Emilia Cebrat-Maslowski, Director of Threat Intelligence bei Quad9, informierte anschliessend über aktuelle Cyberbedrohungen für Schweizer Internet-Nutzerinnen und Nutzer. Als DNS-Anbieter ist Quad9 quasi an der Quelle und weiss, welche Domains schädlich sind. Dabei arbeitet das Unternehmen eng mit Switch zusammen. 

Emilia Cebrat-Maslowski, Director of Threat Intelligence bei Quad9. (Source: Netzmedien)

Insbesondere Wordpress-Seiten sind gemäss Cebrat-Maslowski anfällig für Missbrauch. Als Beispiel erwähnte sie unter anderem die Socgholish Wordpress Injection. Eine sehr weit verbreitete Malware, die schon seit ein paar Jahren aktiv ist, wie sie erklärte. Der Schädling verleitet User dazu, ein vermeintliches Update für ihre Browser herunterzuladen. Diese Fake-Updates laden jedoch weitere Schadprogramme herunter, die noch mehr Schaden anrichten.

Eine Variante des Schädlings, NDSW/NDSXm, hatte in nur 6 Monaten 92 .ch-Domains infiziert. "Deshalb sollten Sie ihre Wordpress-Sites immer up to date halten", beendete Cebrat-Maslowski ihre Präsentation.

Registrare gegen Cybercrime

Den letzten Vortrag, bevor das Programm zum Mittagessen und den anschliessenden aktivieren Programmpunkten des Nachmittags überging, hielt Yael Erlich, Juristin beim Bakom. Das Bakom ist unter anderem auch für die Vergabe der .swiss-Domains zuständig und im Januar treten neue Regulierungen in Kraft, wer eine solche Internetadresse beantragen kann. Neu können auch Privatpersonen - unter gewissen Bedingungen - sich eine solche Domain schnappen. 

Die Öffnung für natürliche Personen ist in der Verordnung über Internet-Domains (VID) geregelt. Diese enthält aber noch viel mehr: So ging Erlich in ihrer Präsentation etwa auch auf die Artikel im VID ein, die "den Kampf gegen Cybercrime regeln". Die Artikel betreffen allerdings nur Phishing und Malware.

Yael Erlich, Juristin beim Bakom. (Source: Netzmedien)

Das VID befähigt etwa die für die Verwaltung dieser Adressierungselemente zuständigen Registerbetreiber, einen Domain-Namen unter .ch und .swiss vorübergehend zu blockieren, wenn der begründete Verdacht besteht, dass dieser benutzt wird, um mit unrechtmässigen Methoden an sensible Daten zu gelangen oder um Malware zu verbreiten.

Nach einem Networking-Spaziergang am Nachmittag konnten sich die Teilnehmenden anschliessend noch in Workshops austauschen und danach beim Apero vernetzen.