Blick: Xplain, Concevis, Baden AG, Zollikofen BE, Saxon VS, Montreux, Rolle VD – die Liste von gehackten Daten von IT-Dienstleistern des Bunds und von verschiedenen Gemeinden wird immer länger – wieso?
Marc Ruef: Hier spielen drei Effekte zusammen. Einerseits haben viele Organisationen das Thema Cybersecurity lange Zeit nicht ernst genommen. Hinzu kommt, dass mit zunehmender Digitalisierung die Komplexität und mit ihr die Angriffsfläche wächst. Und dies wird zunehmend durch Cyberkriminelle, die sehr professionell ihr Geschäftsmodell verfolgen, ausgenutzt.
Marc Ruef ist seit Ende der 1990er-Jahre im Cybersecurity-Bereich aktiv. Er ist IT-Sicherheitsexperte und Mitgründer der Zürcher Firma Scip AG.
Marc Ruef ist seit Ende der 1990er-Jahre im Cybersecurity-Bereich aktiv. Er ist IT-Sicherheitsexperte und Mitgründer der Zürcher Firma Scip AG.
Was können Angreifer mit den geleakten Daten tun – wo liegen da genau die Gefahren?
Angreifer wollen heutzutage Geld verdienen. In einem ersten Schritt wird in der Regel eine Erpressung der kompromittierten Organisation angestrebt. Alternativ können auch die betroffenen Mitarbeiter und Kunden erpresst werden. Gerade, wenn es sich um sensitive Daten wie Lohnabrechnungen oder Patientendaten handelt. Ein Weiterverkauf der Daten ist ebenso denkbar, wie der Missbrauch ebendieser. Gestohlene Passwörter können für weitere Angriffe genutzt werden und personenbezogene Daten begünstigen Betrugsversuche.
Offenbar gibt es grössere Schwachstellen in der Cybersicherheit des öffentlichen Sektors. Wie können diese behoben werden?
Cybersecurity muss ein integraler Bestandteil der digitalen Transformation sein. Auf Funktionen, die nicht benötigt werden, gilt es zu verzichten. Und wenn sie notwendig sind, ist deren Risiko zu eruieren. Danach gilt es zu entscheiden, ob man das Risiko akzeptieren oder mit Massnahmen reduzieren möchte. Das kostet Erfahrung, Zeit und Geld. Drei Dinge, die man oft nicht mitbringt. Aber wer ohne Cybersecurity digitalisiert, der handelt schlichtweg fahrlässig.
Heisst: Auch wenn ich alles richtig mache und meine Daten so gut wie möglich schütze, landen sie schliesslich über Umwege im Darknet. Was kann ich gegen diese Ohnmacht tun?
Daten sind da, um mit ihnen zu arbeiten. Und in einer vernetzten Welt werden diese halt auch herumgereicht und verteilt. Die Chancen steigen also ständig, dass diese dann irgendwo von einem Zwischenfall betroffen sind. Als Endanwender kann man nur versuchen, möglichst wenig Daten anfallen zu lassen und diese sehr restriktiv zu teilen. Komfortable Mechanismen wie elektronische Fahrtenkarten, Patientendossiers und Steuererklärungen machen es aber halt nicht einfach, sich zu wehren.
Was können Bürgerinnen und Bürger machen, wenn ihre Daten ungewollt im Netz landet, wie Steuerdaten oder Sensibleres?
Als Erstes ist es wichtig, sich bewusstzuwerden, dass Daten gestohlen wurden und nun missbraucht werden können. Dies hilft einem dabei, sich selbst zum Beispiel vor zielgerichtetem Phishing zu schützen. Als Nächstes gilt es zu bestimmen, welche Daten gestohlen wurden und wie ein Missbrauch stattfinden könnte. Je nachdem muss man Passwörter ändern, Zugriffe auf Konten überwachen oder andere Personen über die anstehende Bedrohung informieren.
Gibt es Schritte, die man dann unternehmen sollte, um sich zu schützen?
Der Service haveibeenpwned.com des US-Amerikaners Troy Hunt feiert soeben sein zehnjähriges Bestehen. Dort kann man sich anmelden und wird dann über neue Breaches und Leaks, die einen betreffen, informiert. Mit relativ wenig Aufwand kann man so ein Gespür vor anstehende Bedrohungen erhalten.
Welche ethischen und moralischen Fragen werfen die jüngsten Cyberangriffe auf, besonders wenn sensible Daten von Bürgerinnen und Bürgern betroffen sind?
Cyberkriminelle sind relativ konsequent einem gewissen Kodex gefolgt, dass zum Beispiel keine Daten von Kindern und Patienten kompromittiert werden. Diese Hemmungen sind mittlerweile gefallen. Das Recht auf Privatsphäre ist ein Menschenrecht. Wer persönliche Daten kompromittiert, ist eines: ein rücksichtsloser Verbrecher. Bei kommerziell getriebenen Angriffen gibt es also gar keinen Diskussionsspielraum in Bezug auf Ethik und Moral.
Welche langfristigen Strategien sollten jetzt ergriffen werden, um die Cybersicherheit in der Schweiz zu stärken?
Die westlichen Länder haben das Problem, dass sie sich in ihrer selbstüberschätzenden Art zu sicher fühlen und zu bequem sind. Dieser kleingeistige Hochmut muss einer klugen und besonnenen Art weichen, sich systematisch mit Risiken auseinandersetzen zu wollen. Solange das nicht passiert, müssen wir gar nicht erst über Budget oder Technologien reden.