This content is not available in English.

Rückblick 3. Dataspace Switzerland – Den Kopf nicht in den Sand stecken!

Monday 27.06.2022 Christian Walter
Christian Walter

Christian Walter ist Geschäftsführer und Redaktionsleiter von swiss made software. Bis Ende 2010 arbeitete er als Fachjournalist für das ICT-Magazin Netzwoche, publizierte zuletzt aber auch im Swiss IT Magazin, der Computerworld sowie inside-it.

Am 3. Dataspace Switzerland gingen wir im Beisein von etwa 50 Besuchern (live und online) der Frage nach wie sicher der Schweizer Datenraum ist. Für den Bundesrat scheint jedenfalls genug Sorge zu bestehen, dass ein neues Bundesamt gegründet wird – das NCSC. Max Klaus der stellvertretende Leiter wertet die Entwicklung allerdings etwas positiver: Für ihn zeigt die Entwicklung, dass die Politik die Lage erkannt habe und jetzt bereit sei, das Thema mit dem richtigen Effort zu verfolgen.

Ein weiteres Indiz für den Ernst der Lage sowie der Behörden ist, dass es wohl bald eine Meldepflicht für Cybervorfälle bei kritischen Infrastrukturen geben soll. Und es ist nötig – allein im letzten Jahr gingen über 22000 Meldungen von Opfern von Cyberangriffen gegeben beim NCSC ein.

Vor allem für KMU hat sich die Lage zugespitzt. Gerade Ransomware-Attacken kommen immer öfter vor. Ein Problem, das jede Firma zu jeder Zeit treffen kann. Oder wie Mischa Diehm von Narrowin sagte: «Es gibt zwei Kategorien Firmen, die die gehackt wurden und die, die es noch werden». Denn Cyberkriminelle gehen häufig nach dem Gieskannenprinzip vor. Es geht also nicht darum die vielversprechendsten Opfer zu finden, sondern einfach die, an die man am einfachsten herankommt. Am Ende lässt sich eine 10-köpfge Arztpraxis genauso erpressen wie eine Schreinerei mit drei Angestellten. Ein wichtiger Tipp für die KMU von allen Vortragenden war deshalb, mit ihren Cloud-Dienstleister zu klären, wer die Verantwortung für Backups trägt. Schliesslich muss niemand Lösegeld für Daten zahlen von denen er eine (Offline-)Kopie hat.

Datentypen und deren Anforderungen

Dorothée Troyanov, Security Consultant bei USP, empfahl ausserdem die eigenen Daten nach Typen zu unterteilen, da jeweils unterschiedliche gesetzliche Anforderungen gelten. Gerade Personen- und Gesundheitsdaten seien hochsensibel. Ausserdem müsse man sich darüber im Klaren sein, dass bei US-Unternehmen immer der Cloud Act greife. Das heisst, der US-Staat kann jegliche bei amerikansichen Firmen abgelegten Daten jederzeit abrufen unabhängig vom Server-Standort. Auch Troyanov bestätigte, dass KMU in der Schweiz mittlerweile dauernd von Angriffen betroffen sind: Als Beispiel führte sie die Gemeinden Bad Zurzach, Bubendorf, Rolle, Yverdon-Les-Bains die Apotheke zur Rose oder auch das Rote Kreuz an.

Mischa Diehm, Mitgründer von Narrowin, ging sogar noch weiter. So meinte er die Netzwerke seien inhärent unsicher, und ein Eindringen nur eine Frage der Zeit. Deshalb legte er den Fokus auf Schadensbegrenzung für solche Vorfälle. Dies auch weil immer mehr Geräte ans Netz kommen, die inhärent unsicher seien (easy to hack, hard to patch), Stichwort IoT. Um also den Schaden zu begrenzen, empfiehlt er die Segmentierung der Netzwerke, damit sich ein Angreifer nicht von einem Gerät zum nächsten über das ganze Netz bewegen kann - die Haustechnick muss nicht auf die Server der Finanzdirektion zugreifen. So zitierte er einen Microsoft-Bericht, der einen über 300-prozentigen Anstieg der Cyberangriffe auswiess. Rund 60 der betroffenen Unternehmen gingen in Folge Offline und erlitten jeweils Schaden von mehr als 100000 Dollar.

Keine Lust auf Security

Beim Thema Sicherheit kommt man natürlich nicht um den Umgang mit den Nutzern herum. Ein Weg, diese einzubeziehen seien Awareness Trainings so Daniel Baumann von simplyconnect. Er stellte in Folge den unerfahrenen Nutzer ins Zentrum seines Vortrags. Man müsse sich einfach bewusst darüber sein, dass viele Menschen keine Lust hätten, auf «das ganze Online-Zeugs». Sie werden einfach gezwungen, während die Verantwortlichen keine Kontrolle über die Endgeräte der User hätten. Deshalb empfahl Baumann sich auf die kontrollierbaren Faktoren zu beschränken (SSH Keys, SSL everywhere, Password Rules, Firewalls, Encryption at rest, etc.). Dabei dürfe man einfach nicht vergessen, dass viele dieser Dinge auch heute noch gern als Standard bezeichnet werden, ohne dass die Realität dieser Klassifizierung genüge täte. Insofern könne man bei konsequenter Anwendung immer noch viel aus den Basics herausholen

Trotz der aktuellen Lage waren sich alle Vortragenden einig, dass es nichts bringe, den Kopf in den Sand zu stecken. Denn es sei leicht Security als einen Berg wahrzunehmen, der vor einem aufragt und dann verzweifelt aufzugeben. Zumal der Hack irgendwann sicher käme. Das sei aber ein Denkfehler, denn schon erste Schritte und kleinere Aktionen können die Sicherheit stark verbessern. Es sei also wichtiger einfach einmal anzufangen und die Teile zu bearbeiten, die in Reichweite sind, als ein umfassendes Konzept zu suchen und dann an der Aufgabe zu scheitern.

Präsentationen

Präsentiert durch

More articles on Security Consulting