Schweiz

Details

  • Datum: 26.08.2014

«Die grösste Gefahr ist, die Gefahr nicht zu kennen» 

Interview mit Marc Henauer, Chef OIC MELANI

Können Sie uns MELANI kurz vorstellen?

Die Melde- und Analysestelle Informationssicherung (MELANI) ist eine Kooperation zwischen dem Informatiksteuerungsorgan des Bundes im Eidgenössischen Finanzdepartement und dem Nachrichtendienst des Bundes im VBS. Sie wurde 2004 vom Bundesrat ins Leben gerufen, mit der Absicht technische und nicht-technische Informationen zu Vorfällen und Bedrohungen für die kritischen Infrastrukturen zu sammeln, auszuwerten und die Erkenntnisse den Betreibern solcher kritischer Infrastrukturen zur Verfügung zu stellen. So gesehen unterstützt MELANI den Informationssicherungsprozess der kritischen Infrastrukturen in der Schweiz.

Wo sehen Sie die grössten Gefahren für die Schweiz im Bereich der digitalen Sicherheit?

Die „Schweiz“ als solches setzt sich aus verschiedensten Akteuren und Dienstleistern zusammen. Diese setzen Informations- und Kommunikationstechnologien (IKT) für die unterschiedlichsten Prozesse ein. Entsprechend heterogen gestaltet sich auch die Gefahrenlage für die einzelnen Bereiche. Die konstante globale Entwicklung bei Angriffen auf Kunden von E-Banking beeinflusst die Gefahrenlage mal entschärfend und mal verschärfend für die Finanzbranche in der Schweiz. Sie hat aber keinen oder nur geringen Einfluss auf beispielsweise Wasserwerkbetreiber.

 

Die grösste Gefahr besteht somit wohl in erster Linie darin, sich nicht im Klaren über die tatsächliche Bedrohungslage für seinen Bereich, respektive die tatsächlich kritischen und daher besonders schützenswerten Prozesse und Informationen zu sein. Ist dem nicht so, kann das schnell zum Ansatz der technischen Hochrüstung für alle Systeme führen, welche unter Umständen zwar teuer ist, aber für gewisse Prozesse schlicht nichts bringt. Nicht jeder neue Trojaner bedeutet auch eine Verschärfung der Bedrohungslage für bestimmte Bereiche. 

Haben die Angriffe aus dem Ausland tatsächlich zugenommen oder nur die mediale Berichterstattung?

Eine rein qualitative Einschätzung abzugeben ist in diesem Bereich wahrscheinlich unmöglich. Fakt ist, dass Prozesse vermehrt IKT gestützt sind und sich somit auch Angriffe über IKT vermehrt anbieten. Ein weiterer Grund für die Zunahme von gezielten Angriffen ist wohl auch schlicht die Tatsache, dass es heute bessere Mittel gibt, solche Angriffe zu erkennen, als das noch vor ein paar Jahren der Fall war.

Ist die Schweiz aufgrund der wirtschaftlichen und politischen Situation besonders gefährdet – Stichworte: Steuern, Finanzplatz, Neutralität?

Die in der Schweiz ansässigen Unternehmen, Organisationen und die Bevölkerung ganz allgemein sind sicherlich je nach dem lukrative Ziele. Im Bereich der Wirtschaftsspionage hat die Schweiz einiges an Knowhow zu bieten, welches mit Angriffen auf IKT-Systeme unter Umständen relativ kostengünstig abgeräumt werden kann. Dabei gilt bei kriminellen Akteuren grundsätzlich, dass Informationen dann in den Fokus geraten, wenn ein Preisschild daran hängt. Vor ein paar Jahren waren Gruppen, mit Ziel E-Banking kaum an der Nationalität der Bankkonten-Inhaber interessiert. Seit dies unter Umständen Geld bringt, begannen einzelne Gruppen diese Information – sofern verfügbar – ebenfalls zu sammeln.

 

Mit Blick auf staatliche Akteure kommt ein politisches Element dazu. Je nach den vorhandenen Möglichkeiten eines Staates, wird er diese Fähigkeiten wohl bei genügendem politischem Interesse auch einsetzen. Ganz egal, ob die Ziele und gewonnenen Informationen noch dem ursprünglichen Grund für den Aufbau solcher Kapazitäten entspricht. Hier spielt denn auch wieder die konkrete Einschätzung der Bedrohungslage eine gewichtige Rolle. Ursprünglich uninteressante Informationen, können plötzlich in den Fokus rücken und somit zum Ziel werden.

Wie kann man sich als Unternehmen vor Angriffen schützen?

Der wohl erste und wichtigste Schritt ist, zu akzeptieren, dass sich nicht alles schützen lässt. Wie in der Offline-Welt, bestehen auch online Risiken, die sich mit noch so viel Technik und gesundem Menschenverstand nicht auf null senken lassen. Ein Ansatz wäre, in erster Linie von der Kritikalität und dem tatsächlichen Schutzbedarf von Informationen und Prozessen auszugehen. Nicht alles ist gleichermassen schützenswert. Ein Virenscanner und Cloud-Lösungen mögen für die meisten Dinge ausreichen. Die Kronjuwelen eines jeden Akteurs aber bedürfen wohl weitergehender Schutzmassnahmen. Dabei ist es entscheidend, dass diese Sicherungsmassnahmen nicht nur technischer Natur sind. Personelle, physische und organisatorische Massnahmen im Verbund mit technischen müssen auf die entsprechenden Prozesse angewandt werden. Gerade auch bei der Due Diligence im Rahmen von Drittanbietern dürfte im IKT-Bereich noch vermehrt auf mehr als nur die Verfügbarkeit von Diensten fokussiert werden.

Was können Privatpersonen tun?

Hier gilt prinzipiell der gleiche Ansatz wie bei Unternehmen. Am Ende ist es einer Person überlassen, welche Informationen sie wie wertvoll einschätzt. Die Wahl der Speicherung oder der Verbreitung dieser Informationen soll in erster Linie von dieser Überlegung gesteuert werden.

Ist die Generation der Digital Natives besser sensibilisiert auf mögliche Gefahren oder ist eher das Gegenteil der Fall?

Dies wird sich wohl erst in Jahren zeigen. Grundsätzlich darf schon vermutet werden, dass der natürlich gelernte Umgang mit neuen Technologien auch zu einem höheren und konstanten Risikobewusstsein und -verständnis führen. Ich denke unsere Grosseltern hatten einen sehr viel intuitiveren und natürlicheren Zugang zum Autofahren als noch unsere Urgrosseltern.

Inwiefern bietet MELANI Unterstützung zum Schutz vor Cybercrime?

MELANI ist nicht für die Verfolgung von Cybercrime zuständig. Dies ist in der Schweiz in erster Linie Aufgabe der kantonalen Strafverfolgungsbehörden und der Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK). MELANI unterstützt diese Behörden mit Einschätzungen oder Informationen zur Kontextualisierung, sofern dies gewünscht wird. Ansonsten tauscht sich MELANI mit ihrem Kundenkreis, den Betreibern kritischer Infrastrukturen aus.

Findet diesbezüglich ein internationaler Austausch zwischen den Staaten statt?

Ohne internationalen Austausch im technischen und nicht-technischen Bereich wäre MELANI nicht in der Lage, ihren Auftrag zu erfüllen. Phänomene zeigen sich meist nicht zuerst in der Schweiz, sondern irgendwo im World Wide Web. Entsprechend sind gute Kontakte zu Akteuren im Cyber-Bereich das A und O, um möglichst schnell Entwicklungen und Vorfälle mit Blick auf deren Auswirkungen auf die kritischen Infrastrukturen einschätzen zu können.

  

Wo sehen Sie die Schwerpunkte und Herausforderungen in den kommenden Jahren?

 

Eine der grössten Herausforderungen wird wohl die zunehmend nötige Integration der IT-Sicherheit in die übrigen Sicherheitsbereiche sein. Je länger, je weniger können IKT-gestützte Prozesse und Daten in erster Linie über IKT-Massnahmen geschützt werden.

 

Eine weitere Herausforderung wird es sein, den Umgang mit Daten im internationalen Austausch klarer zu regeln. Im Moment liegt hier noch viel Konfliktpotenzial im zwischenstaatlichen Bereich, wie auch eine Menge rechtlicher Unklarheiten und zum Teil Widersprüche für international tätige Betriebe.

 

Und zu guter Letzt wird wohl auch auf internationaler Ebene eine stärkere Konsolidierung und das Einbringen der Schweizer Positionen im Cyberbereich der Unternehmen und Verwaltungen mit Blick auf sicherheitspolitische und wirtschaftliche Initiativen und Standardisierungen eine Herausforderung darstellen. Gerade für ein Land, in dem IKT-Mittel stark eingesetzt werden, ist es wichtig auf internationaler Ebene in diesem Gebiet aktiv zu sein.

 

Ganz allgemein: Ist die Schweiz bereit für die digitale Zukunft?

 

Inwiefern die Schweiz als Gesamtsystem bereit ist, wird sich noch zeigen müssen. In den letzten zwei, drei Jahren haben viele Länder eine Cyber-Security-Strategie veröffentlicht. Interessant dabei ist, dass in den meisten dieser Strategien der Aufbau von so genannten National Cyber Security Centres (NCSC) gefordert wird. Diese NCSC verfolgen in erster Linie den Ansatz, technische Fähigkeiten mit vorhandenen nicht technischen und strategischen Elementen zu verknüpfen. Ziel ist es dabei, so gewonnene und relevante Informationen zu Vorfällen und Bedrohungen den jeweiligen Unternehmen und Bereichen verfügbar zu machen. So hat beispielsweise Deutschland Anfangs 2012 das Cyber-Abwehrzentrum nach diesem Muster aus der Taufe gehoben. Die Schweiz hat sich auf diesen Ansatz bereits 2004 mit der Schaffung von MELANI festgelegt.

 

 

Marc Henauer

Marc Henauer

Chef OIC MELANI

 

© Mark Schröder / Computerworld