Warum der Staat das Problem Cybercrime nicht lösen soll

Im zürcherischen Rüschlikon fand am 5. Oktober der Anlass "Digital Security 2017 – Das Sichere Unternehmen?" statt. Hinter dem Event steht die Wirtschaftszeitung Finanz und Wirtschaft (FUW). Der Anlass soll Fachexperten und Praktiker zusammenbringen, damit sie gemeinsam über Sicherheitsfragen diskutieren.

Der Anlass findet bereits zum zweiten Mal statt, wie FUW-Redaktor Eflamm Mordrelle bei der Begrüssung sagte. Mordrelle führte das Publikum als Moderator durch den Tag. Unterstützt wurde er dabei von Hannes Lubich, Professor an der Fachhochschule Nordwestschweiz und der zweite Moderator des Anlasses.

Eflamm Mordrelle, Redaktor bei Finanz und Wirtschaft. (Source: Netzmedien)

2,2 Milliarden Franken würden Schweizer Unternehmen jährlich für IT-Sicherheit ausgeben, sagte Mordrelle. Der jährliche globale Schaden durch Cybercrime betrage hingegen 500 Milliarden US-Dollar, fügte Lubich hinzu. Ein Anzeichen dafür, dass Cybercrime ein grosser Markt geworden ist.

"Ob wir in dem Bereich noch in die Lage kommen werden, zu gewinnen, ist fragwürdig", sagte Lubich. Denn es herrsche eine starke Asymmetrie zwischen Täter und Opfer. "Der Gegner muss nur eine Schwachstelle finden, wir aber müssen sämtliche absichern."

Staatliche Akteure im Cyberraum

Die erste Gastrednerin des Tages hatte eine leicht andere Sicht. In ihrem Referat sollte Myriam Dunn Cavelty vom Center for Security Studies der ETH ein differenziertes Bild der Bedrohungslandschaft bieten.

"Dabei geht es nicht darum, hysterisch zu werden", sagte Dunn Cavelty. Sondern um eine intelligente Risikoanalyse. Denn "die falsche macht den Schaden oft noch viel grösser als der eigentliche Vorfall war", sagte sie.

Myriam Dunn Cavelty vom Center for Security Studies der ETH. (Source: Netzmedien)

In ihrem Referat befasste sie sich vor allem mit der Rolle von Staaten und der Idee des Cyberkriegs. So würden etwa Nachrichtendienste zunehmend als Akteure im Cyberraum auftreten. Zudem würden Staaten zunehmend mit dem Finger zeigen.

So etwa beim Sony-Hack oder bei den jüngsten Präsidentschaftswahlen in den USA. In beiden Fällen beschuldigten die Vereinigten Staaten von Amerika öffentlich andere Nationen – Nordkorea beziehungsweise Russland – dahinter zu stecken und leitete anschliessend entsprechende Sanktionen ein.

Die grossen Staaten würden derzeit aber noch Zurückhaltung üben. "Denn Krieg ist nicht im Sinne eines Staates". Aktuell würden die Akteure noch ausloten, wie weit sie gehen können und "treten sich dabei ein bisschen gegen das Schienbein", sagte Cavelty.

Staaten halten sich noch zurück

Für Unternehmen macht es dies jedoch nicht ungefährlicher. Nationen würden sich zwar zurückhalten, wenn es darum geht, andere Nationen digital zu attackieren. Sollten die Daten einer privaten Firma interessant erscheinen, könnte sie aber sehr wohl ins Fadenkreuz geraten.

Wird der Staat das Problem Cybercrime auch lösen? Nein, meint die Expertin. Aber das könne er auch nicht. Die meisten betroffenen Systeme gehören privaten Unternehmen und die Kosten wären unglaublich hoch. Zudem hätte der Staat dann die Kontrolle über alle Eingangspunkte zum Netzwerk und den gesamten Schweizer Cyberraum. "Bei der Vorstellung sträubt es mir die Haare", sagte sie.

Aber zu diskutieren sei die Frage auf jeden Fall, sagte Cavelty als Antwort auf eine Publikumsfrage. "Denn wenn der Staat gar nichts tut, wäre dies auch der falsche Weg." Privatfirmen müssten sich am besten selbst schützen. "Aber eventuell mit staatlicher Unterstützung", sagte sie. Der Staat solle dort eingreifen, wo der Privatsektor es sich nicht leisten kann.

Bug-Bounty-Programme als Alternative zu Lizenzierungen

Ein weiterer Publikumsgast brachte das Thema Selbstregulation in die Diskussion ein. Die IT-Branche wehre sich hartnäckig dagegen. So sehr, dass sie heute die wohl einzige Branche sei, in welcher der Nutzer die Konsequenzen auszubaden habe, wenn ein Hersteller ein unfertiges und unsicheres Produkt lanciere.

Hannes Lubich, Dozent an der Hochschule für Technik der Fachhochschule Nordwestschweiz. (Source: Netzmedien)

Statt Zertifizierungen schlug der Podiumsteilnehmer vor, der Staat solle Bug-Bounty-Programme fördern oder derartige Programme obligatorisch machen. Hannes Lubich stimmte ihm zu. Zusammen mit seinen akademischen Kollegen habe er ausgerechnet, wie viel es wohl kosten würde, alle Sicherheitslücken, die auf dem Schwarzmarkt angeboten werden, aufzukaufen.

Wenn es um IT geht, scheint der gesunde Menschenverstand irgendwie auszusetzen.

Das Ergebnis: 22 Milliarden Dollar. Oder anders ausgedrückt: 10 Prozent des weltweiten Schadens, der jährlich durch Cybercrime verursacht wird. "Volkswirtschaftlich macht das also absolut Sinn", sagte Lubich. "Aber wer soll diese Aufgabe übernehmen?"

Auch Marc Henaur, Chef der Melde- und Analysestelle Informationssicherung (Melani) hält ein Umdenken für sinnvoll. "Wenn es um IT geht, scheint der gesunde Menschenverstand irgendwie auszusetzen", sagte er.

"Wenn eine Anti-Virus-Lösung nur noch 50 Prozent der Viren erkennt, dann gilt sie als kaputt und man wirft sie weg". Dieses binäre Denken hätte man etwa beim Sicherheitsgurt im Auto nicht. Auch wenn dieser nur in jedem zweiten Fall ein Leben retten könne, würde man ihn trotzdem nutzen.

Spannungsfeld zwischen Benutzerfreundlichkeit und Sicherheit

Der nächste Redner brachte das Thema wieder von der Makro- auf die Mikroebene zurück. Marc Bütikofer, CTO und Director Innovation für Airlock bei Ergon Informatik, sprach in seiner Rede über das Spannungsfeld zwischen Benutzerfreundlichkeit und Sicherheit.

Eine Zwei-Faktor-Authentifizierung etwa erhöhe zwar die Sicherheit. Zugleich senkt sie aber auch die Benutzerfreundlichkeit. Wenn man aber das Benutzerverhalten mit einbeziehe, könne man dies umgehen.

Marc Bütikofer, CTO und Director Innovation für Airlock bei Ergon Informatik. (Source: Netzmedien)

Die Sicherheitslösung solle etwa analysieren, wie der Benutzer tippt oder wie er sich im UI verhält. Je nach dem, wie sicher die Lösung ist, ob der Benutzer wirklich der Benutzer ist, könne es auf den zweiten Faktor verzichten. So müsse das System nur auf den zweiten Faktor bestehen, wenn es aus irgendeinem Grund an der Wahrhaftigkeit des Nutzers zweifeln müsse.

So ein System würde die Benutzerfreundlichkeit stark steigern. Die Sicherheit bleibe, sofern man es korrekt implementiere, auf dem gleichen Stand. Ein weiterer Punkt waren starke Passwörter. Systeme verarbeiten jedoch nur die Hash-Werte von Passwörtern. "Wenn man diese gut schützt, dann müssen die Passwörter auch nicht stark sein".

Idealerweise binde man die Sicherheit auch nicht in die einzelnen Applikationen ein. Stattdessen solle man sie als vorgelagerte Infrastruktur-Komponente ansehen. An diese knüpfe man dann die einzelnen Applikationen an.

Was UPC gegen DDoS-Attacken macht

An diesen Punkt knüpfte später Stevan Dronjak, Teamleiter Web Application Security bei Raiffeisen Schweiz, an. Die Bank ist Kunde von Ergon Informatik und in seinem Referat erklärte Dronjak, wie sie das Prinzip der vorgelagerten Security mit ihrer zentralen Webinfrastruktur Web-IAM umgesetzt hat.

Im Rahmen des Events zeigte auch UPC, wie der Telko mit dem Thema Security umgeht. UPCs Grösse sei da ein "Riesenvorteil", sagte Marco Quinter, Managing Director B2B Switzerland & Austria bei UPC. Ein grosses Netzwerk lasse sich viel leichter absichern.

Marco Quinter, Managing Director B2B Switzerland & Austria bei UPC. (Source: Netzmedien)

Die Liberty-Global-Gruppe, zu der auch UPC gehört, habe zu diesem Zweck einen starken Perimeter um das Netzwerk mit sogenannten Threat Management Systems aufgebaut. Quinter bezeichnete diese liebevoll als "grosse Waschmaschinen". "Sie analysieren den gesamten Netzwerkverkehr und lassen nur den sauberen hinein", sagte er.

Auf diese Weise sollen etwa DDoS-Attacken verhindert werden. Die Waschmaschinen verarbeiten den Netzwerkverkehr gemäss Quinter mit 240 Gigabit pro Sekunde. Der Endkunde kriege davon also nichts mit, weil das System quasi in Echtzeit arbeite.

UPC sichert so sein Netzwerk am Rande ab. Wenn ein Nutzer aber innerhalb des Netzwerks im Web irgendwelche Malware herunterlädt, liege das nicht in UPCs Verantwortung.