Unsere Abhängigkeit von Computern für den Datenaustausch und die -speicherung nimmt zu, und dadurch entstehen neue Verwundbarkeiten für Staat, Wirtschaft und Gesellschaft», sagt Myriam Dunn Cavelty. Die Wissenschafterin hat sich bereits in ihrem Studium mit der politischen Dimension von Cybersicherheit beschäftigt. Sie hat 2001 ihre Master-Arbeit zu diesem Thema geschrieben.
In der Folge avancierte sie zu einer der international führenden Expertinnen auf dem Gebiet. An der Schnittstelle von Forschung und Beratung ist ihre Stimme heute in der Wissenschaft, bei den Bundesbehörden, Militärs und den Unternehmen gleichermassen gefragt.
Die 44-jährige Digitalpionierin treibt die Frage an, wie die an sich technischen Störaktionen im Internet ihre politische und gesellschaftliche Wirkung entfalten. Sie versucht, Hackerattacken im möglichen politischen und gesellschaftlichen Zusammenhang zu deuten und richtig einzuordnen.
Geleitet wird Dunn Cavelty von der zentralen Frage, wem die Gefährdung beziehungsweise der angerichtete Schaden überhaupt nützt. Derweil es beim eigentlichen Cybercrime fast immer um Erpressung, Geld und Profit geht, sind die Motive bei der Cyberspionage und beim Cyberwar wesentlich schwieriger auszumachen. Dunn Cavelty entwirft zum besseren Verständnis der Vorgänge im Internet mögliche Bedrohungsszenarien und zeigt die gesellschaftspolitischen Perspektiven auf.
Wie weit das Internet heute für strategisch-politische Zwecke genutzt und missbraucht werde, lasse sich mangels Daten nicht definitiv beantworten, meint sie. «Es fehlen globale Übersichten und Messungen, die über mehrere Jahre hinweg einen Vergleich zulassen», so Dunn Cavelty. Vom in den Medien viel beschworenen Cyberwar möchte sie jedenfalls nicht sprechen. Der richtige Terminus für das, was auf politischer Ebene passiere, sei Influence Operations, also Störaktionen. Ein berühmtes Beispiel dafür ist die Schadsoftware Stuxnet, die vor zehn Jahren grosse Teile des iranischen Atomprogramms temporär lahmlegte.
Für grossen Wirbel sorgte auch der russische Versuch, die US-Wahlen von 2016 zugunsten von Donald Trump zu manipulieren. Was damals wirklich geschah, ist allerdings nie ganz aufgeklärt worden. Viele Beispiele deuten an, dass es weniger die Armeen als vielmehr die Nachrichtendienste sind, die den Cyberraum für Spionage und politische Angriffe nutzen. Die meisten staatlichen Cyberattacken finden aber unter der offiziellen Kriegsschwelle statt. «Man macht möglichst wenig kaputt, aber man tritt dem anderen durchaus auch mal heftig ans Bein», sagt Dunn Cavelty.
Sehr aktiv auf diesem Gebiet sind vor allem die Grossmächte USA, Russland und China sowie Nordkorea und Iran. Die Schweiz ist, glaubt man den offiziellen Quellen, defensiv unterwegs, also primär mit der Abwehr von Cyberattacken beschäftigt.
Brüske militärische Eskalationen via Internet gelten als heikel. Die Staaten müssen sich schliesslich auch im Cyberraum an ihre offiziellen Abmachungen und ans internationale Völkerrecht halten. Ausserdem ist das Wirkungspotenzial von digitalen Angriffen umstritten. «Je länger, desto mehr stellt sich heraus, dass Cyberoperationen wohl nicht einen derart grossen Effekt haben, wie man sich das früher vorgestellt hat – zudem lassen sich die Effekte nur schwer planen und steuern», gibt die Cyberexpertin zu bedenken.
Das Internet ist zwar das Tor, um auf verbotenes Gelände einzudringen. Das heisst aber noch lange nicht, dass sich auf der anderen Seite automatisch grosser Schaden anrichten lässt. «Sie können durchaus Dinge in der realen Welt über Cyberangriffe beschädigen, es ist aber nicht billig und nicht einfach und vor allem muss es für die Akteure auch Sinn machen», betont Dunn Cavelty. Nicht wegdiskutieren lässt sich jedoch, dass sich die Grenzen zwischen Krieg und Frieden verwischen, wenn Geheimdienste und Militärs das gleiche Netz für ihre Cyberattacken missbrauchen, auf dem wir auch unsere ganz privaten Mails und Botschaften auf Instagram, Facebook, Twitter und so weiter posten.
Unbestritten hat sich der Markt der Cyberkriminalität in den letzten Jahren weiter professionalisiert. Um die aufwendig geschützten feindlichen Systeme zu hacken, greifen auch Geheimdienste gerne auf die Unterstützung der Nerds zurück. Diese bieten auf dem Schwarzmarkt sogenannte Exploits oder Sicherheitslücken an. Bis dann der vom Geheimdienst lancierte Angriff sein Ziel trifft, kann es allerdings dauern. Um ein gut geschütztes System auszutricksen und sich Zugang zu verschaffen, müssen viele Schritte unternommen werden. «Es ist ressourcenintensiv und zeitaufwendig, gute Cyberspionage zu betreiben», erklärt Dunn Cavelty. Zudem stellt sie klar, dass Spionage im Auftrag von Staaten durch nicht staatliche oder semistaatliche Gruppen eigentlich nicht zum Cybercrime gezählt wird.
Einfacher und häufiger als die staatliche Cyberspionage ist das profitorientierte Cybercrime. Die Hacker haben dabei vor allem Unternehmen im Visier. Sie schleusen Ransomware ein, die ganze Systeme blockieren, und fordern Lösegeld. «Für Firmen kann es sehr teuer werden. Auch droht ein Reputationsschaden, wenn sie einen grösseren Cybervorfall schlecht managen und falsch kommunizieren», warnt die Expertin. Kommt hinzu, dass die betroffenen Unternehmen es allenfalls mit der Sicherheit nicht sehr genau genommen haben und nun einräumen müssen, dass sie es den Kriminellen viel zu einfach gemacht haben.
Gefährdet sind natürlich vor allem Daten mit viel Wert wie etwa die Informationen im Gesundheitssystem (Spitäler). Je wertvoller die Daten für die gehackte Firma oder Institution sind, desto erpressbarer ist sie und den Hackern winkt ein umso höherer Profit. Laut Dunn Cavelty gibt es immer noch zu viele Unternehmen, die den Aspekt der IT-Security ungenügend gewichten.
Fast schon Entwarnung gibt die Expertin all jenen, die das Internet lediglich für private Zwecke nutzen. «Mit einem gewöhnlichen Antivirenschutz und der notwendigen Vorsicht sind Privatpersonen gegen kriminelle Angriffe in der Regel ganz gut geschützt. Viele der gängigen Attacken können so verhindert oder zumindest erschwert werden», so Dunn Cavelty.
Interview mit Florian Schütz, Delegierter des Bundes für Cybersicherheit
Das NCSC ist seit dem 1. Januar 2020 in Betrieb. Was ist dessen genaue Aufgabe?
Florian Schütz: Das NCSC ist das Kompetenzzentrum des Bundes für Cybersicherheit und damit erste Anlaufstelle für Wirtschaft, Verwaltung, Bildungseinrichtungen und die Bevölkerung
bei Cyberfragen. Es ist zudem verantwortlich für die koordinierte Umsetzung der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) 2018–2022.
Welches Ziel haben Sie sich als Cyberdelegierter gesteckt?
Ich möchte vorausschicken, dass die Massnahmen zum Schutz der Schweiz vor Cyberrisiken innerhalb der Bundesverwaltung in drei Bereiche unterteilt sind: Die Cybersicherheit wird dabei durch das NCSC im EFD, die Cyberabwehr durch das VBS organisiert, und Massnahmen der Strafverfolgungsbehörden wegen Cyberkriminalität werden vom EJPD verantwortet. Zwischen den verschiedenen Bereichen bestehen inhaltliche Überschneidungen und gegenseitige Abhängigkeiten. Deshalb ist eine enge Zusammenarbeit besonders wichtig. Als Delegierter des Bundes für Cybersicherheit ist es mein Auftrag, sicherzustellen, dass die Arbeiten eng koordiniert und Synergien optimal genutzt werden.
Wem hilft das NCSC?
Mit ihm wollen wir Rahmenbedingungen schaffen, um die Cybersicherheit in der Schweiz so zu gestalten, dass die Chancen der Digitalisierung möglichst gut genutzt werden können. Konkret bedeutet dies, dass das NCSC nicht nur die Betreiber kritischer Infrastrukturen unterstützt, sondern auch die Wirtschaft, insbesondere kleine und mittlere Unternehmen (KMU). Zudem stehen wir als nationale Anlaufstelle Wirtschaft, Bevölkerung, Behörden und Bildungsinstitutionen für die verschiedensten Cyberthemen zur Verfügung.
Ersetzt das NCSC die Meldestelle Melani?
Die Melde- und Analysestelle Informationssicherung (Melani) wurde als operative Fachstelle in das NCSC integriert und wird zukünftig weiter ausgebaut.
Ist die Schweiz in den 15 Monaten, die Sie nun im Amt sind, bereits sicherer geworden?
Konkret gehen bei uns derzeit wöchentlich zwischen 200 und 300 Meldungen ein, die bearbeitet und weiterverfolgt werden. Ob die Schweiz sicherer geworden ist, lässt sich mangels Messbarkeit nicht sagen. Die gemeldeten Zahlen geben lediglich einen Eindruck über die aktuell häufigsten Bedrohungen wieder. Repräsentativ sind sie aber nicht, da es in der Schweiz für Cybervorfälle keine Meldepflicht gibt. Die wöchentlichen Statistiken publizieren wir übrigens auf unserer Website.
Genügt die nationale Strategie zum Schutz der Schweiz vor Cybersicherheit, um die gesteckten Ziele zu erreichen?
Im Rahmen der Umsetzung der NCS 2018–2020 konnten bereits einige Fortschritte erzielt werden. Bei der Förderung von Forschung und Ausbildung wurde mit der Eröffnung des Cyber-Defence Campus (CYD Campus) an den beiden Eidgenössisch Technischen Hochschulen ETH und EPFL sowie in Thun ein wichtiger Meilenstein erreicht. Auch wurde die bereits erwähnte Nationale Anlaufstelle geschaffen. Zudem konnte in der Strafverfolgung die Koordination bei der Bekämpfung von Cyberkriminalität verbessert und die internationale Zusammenarbeit gestärkt werden. Doch selbst wenn die NCS 2018–2022 komplett umgesetzt sein wird, werden wir nicht die endgültige Sicherheit erlangt haben. Denn wir befinden uns in einem sehr dynamischen Umfeld. Laufend kommen neue Herausforderungen dazu. Für die nächste Version der NCS ist es mir ein Anliegen, neben den Risiken noch mehr auf die Chancen zu fokussieren.
Wie lautet Ihr persönlicher IT-Security-Tipp an die Adresse der Unternehmen?
Kein Unternehmen ist vor Angriffen sicher. Man sollte sich jedoch nicht zu sehr auf das versteifen, was man im Ernstfall zu tun gedenkt, sondern seine Systeme von Anfang an sicher planen und betreiben. Dieser präventive Schutz wird noch zu oft vernachlässigt. Die Geschäftsleitung ist gefordert, die Geschäftsrisiken im Zusammenhang mit der IT-Sicherheit genau zu evaluieren und beim Schutz die richtigen Prioritäten zu setzen.
Aus aktuellem Anlass: Gibt es einen speziellen IT-Security-Tipp für das Homeoffice?
Trennen Sie Geschäftliches und Privates. Arbeit im Homeoffice kann dazu verleiten, für die Arbeit auch den privaten Computer zu nutzen. Die strikte Trennung erhöht die Sicherheit, sowohl für Firmendaten wie auch für private Daten.
Was empfehlen Sie bezüglich IT-Security Herrn und Frau Schweizer?
Gehen Sie sorgfältig mit Ihren Daten um. Schützen Sie deshalb Ihre Geräte bestmöglich, indem Sie Zugriffs- und Virenschutz einrichten und regelmässige Updates durchführen. Ausserdem: Wenn ein Angebot zu schön ist, um wahr zu sein, dann ist es das fast immer auch.
Interview: Pirmin Schilliger