Rückblick Jahresanlass 2023 "Always On"

Cyber Crime und Cyber Security war das Thema unseres Alumni-Jahresanlasse «Always on».  Die Teilnehmenden erlebten einen spannenden, lehrreichen und unterhaltsamen Abend und konnten beim abschliessenden Apéro weiterdiskutieren, Bekannte treffen und neue Alumni-Mitglieder kennenlernen.

 

Die Keynote hielt Fabian Ilg, Managing Director der Schweizerischen Kriminalprävention SKP. Er zeigte eindrücklich auf, wie sich die Internet-Nutzung in den letzten Jahren verändert und stetig zugenommen hat. So sind heute 11 Millionen Smartphones in der Schweiz täglich mit dem Internet verbunden, dazu noch fast ebenso viele Computer/Laptops.

 

90% der Organisationen/Unternehmen in der Schweiz nutzen Social Media, aber nur etwa 1/3 haben eine Strategie. Einerseits, wie sie sich in Social Media präsentieren wollen und andererseits, was Kriminelle daraus ableiten und gegen sie verwenden könnten. Spitzenreiter unter den benutzten Social Media Kanälen ist nach wie vor Facebook, dicht gefolgt von LinkedIn. Bei der bezahlten Werbung ist ebenfalls Facebook Ads an der Spitze, gefolgt von Google Ads. Aber da, wo sich die seriösen Unternehmen aufhalten, halten sich eben auch die Betrüger auf, die auch bezahlte Ads schalten, unter anderem für betrügerische Online-Anlagen. Die aktuelle bekannte Schadenssumme im Online-Anlage-Betrug wird in der Schweiz bis Ende Jahr auf 100 Mio geschätzt, die Dunkelziffer wird auf 200 – 300 Mio geschätzt. Diese betrügerischen Gruppen operieren im Ausland wie ein normaler Konzern. Da arbeiten in Teilbereichen wie z.B. Call-Center, Mitarbeitende, die gar nicht wissen, dass Sie Mittäter in einem Anlage-Betrug sind und davon ausgehen, dass sie einem normalen Job nachgehen. Ca. 10% des erbeuteten Gewinns setzen die kriminellen Banden für Marketing ein, um weitere «Kunden» zu ködern, die in die Betrugsfalle tappen. Wenn man nur in der Schweiz von der bekannten geschätzten Deliktsumme von 100 Mio ausgeht, haben sie in der Schweiz ein Budget von jährlich 10 Mio, das sie in Google Ads investieren.

 

Die SKP ist in der Prävention / Sensibilisierung tätig und arbeitet dabei mit spezialisierten Partnern zusammen und den Kantonen/Kantonspolizei, Fedpol, dem Nationalen Zentrum für Cybersicherheit und weiteren Akteuren.
Die zentrale Message für die Bevölkerung: Sichern – Updaten – Prüfen – Einloggen – Reduzieren. Cybersicherheit ist  s-u-p-e-r.ch

 

Im zweiten Referat zeigte Benjamin Zulliger, Chief Information Security Officer CISO bei der FHNW und Ethical Hacker, das oft gleiche Ablaufmuster eines erfolgreichen Hacks und die entsprechenden Schutzmassnahmen, um Hacks durch Wissen zu verhindern. Er ist überzeugt, dass die meisten erfolgreichen Cyber Angriffe, die man in den Medien liest, mit dem nötigen Wissen hätten verhindert werden können.

 

Der/die HackerIn versucht es mit Phishing oder mit Malware. Beide Varianten haben zum Ziel, sich Zugang zu einem internen Netzwerk zu verschaffen. Der nachfolgende Ablauf ist bei beiden Methoden der gleiche, sobald der Netzwerk-Zugang erreicht ist. Die Schwachstelle ist meistens nicht die Infrastruktur, sondern der Mensch.

 

Benjamin Zulliger zeigte anschliessend die einzelnen Hack-Schritte auf und zu jedem Hack-Schritt, wie wir uns davor schützen können, damit der nächste Schritt verhindert wird und der Angriff erfolglos bleibt. Einerseits sind es Massnahmen, die jede einzelne Person selber treffen kann, in dem sie befähigt wird, Phishing oder schädliche Malware zu erkennen, andererseits sind es Massnahmen, die die IT-Sicherheit vornimmt, in dem zum Beispiel Anomalien einen Alarm auslösen, wenn sich die gleiche Person innerhalb von 10 Minuten aus zwei unterschiedlichen Erdteilen anmeldet oder 10 x das falsche Passwort eingegeben wird. Wenn ein Gerät auffällt, das sich nicht normal verhält, muss die IT-Sicherheit auch den Mut haben, dieses Gerät vom Netz zu trennen, auch wenn die entsprechende Person danach nicht mehr arbeiten kann. Ist die IT-Abteilung für solche Fälle vorbereitet, hat sie ein Ersatzgerät parat, dass abgegeben werden kann.

 

Falls ein Hacker trotzdem erfolgreich ist, ist ein vorgängiges regelmässiges Backup unerlässlich, damit die Daten wieder hergestellt werden können. Daten regelmässig sichern ist deshalb ein Muss, aber der Backup-Träger darf nicht mit dem Strom und Netzwerk verbunden sein, sonst wird das Backup bei einem Angriff auch verschlüsselt.

 

Um bei einem erfolgreichen Hack-Angriff das totale Chaos zu verhindern, braucht es eine vorher erstellte Notfallplanung: Wie verhalten wir uns im Notfall? Wer darf was und wann entscheiden? Wie kommuniziert man ohne Computer? Wo sind die wichtigsten Telefonnummern? Wer hilft? Wer ist zu informieren? Diese Massnahmen müssen auch regelmässig geübt werden.

 

So können Risiken reduziert werden:

• Grundlege Cyberhygiene verhindert 98% der Angriffe
  • 2-Stufige Authentifizierung verhindert 99,9% der Angriffe
  • Malwareschutz
  • Software aktuell halten
  • Regelmässig Backups erstellen
  • Die Benutzer sensibilisieren und befähigen, Risiken zu erkennen
• Notfallübungen

 

Im dritten Referat zeigte uns Uwe B. Kissmann von AlixPartners eindrücklich, wie Ethical Hackers vorgehen. Er ist seit 25 Jahren im Bereich Cyber Security tätig und berät Grossunternehmen und Regierungen, wie sie sich schützen können. Um Präventionsmassnahmen vorschlagen zu können, muss man zuerst die Schwachstellen / Schlupflöcher für Hacker kennen. Dazu werden Ethical Hacks gemacht. Er hat um die 150 Firmen im Auftrag gehackt und die Gemeinsamkeit war, dass er überall ein Schlupfloch gefunden hat und reingekommen ist.

 

Bei AlixPartners leitet er ein hochspezialisiertes Team, das häufig auch eingesetzt wird, um Wirtschaftskriminalität aufzudecken. Wenn ein Hacker-Angriff mit Ransomware bei einem Grossunternehmen erfolgreich war, ist es in der Regel nicht damit getan, dass man $ 500'000 zahlt, um den Angriff zu stoppen, man muss mit den Angreifern verhandeln.
Wenn das Team direkt mit der Person verhandeln kann, die Geld will, versucht das Team, den Angreifer zu identifizieren. Es kann dann sein, dass man dem Angreifer im Verlaufe der Verhandlung sagt «… übrigens ich finde Pizza Margarita nicht so gut, ich bevorzuge Pizza Napoli». Auf die erstaunte Rückfrage des Angreifers, was das soll, ist die Antwort «… Pizza Margarita ist das, was du vor 2 Tagen online für deine Familie bestellt hast». Der Angreifer begreift dann relativ rasch, dass er entlarvt wurde und schickt den Schlüssel innerhalb von 5 Minuten.

 

Dass Cybersicherheit heute so ein grosses Thema ist, hat nicht damit zu tun, dass die Fälle massiv zugenommen haben, sondern dass die Unternehmen und Organisationen heute komplett abhängig sind von Computer und Internet. Als Uwe Kissmann vor 25 Jahren mit der Cybersicherheitsberatung angefangen hatte, standen in den Büros noch Schreibmaschinen, mit denen man die Geschäftstätigkeit im Notfall aufrechthalten konnte. Heute ist das nicht mehr möglich.
Zwischen 2017 – 2022 haben die Cyberkriminalitäts-Fälle um 600% zugenommen, die Budgets für die Cybersicherheit aber nur um 15%. Einerseits, weil die CEOs oft nicht verstehen, von was der CISO spricht, weil er technischen Fachjargon redet, andererseits besteht ein grosser Mangel an Cybersicherheitsspezialisten, weltweit fehlen um die 4 Mio. qualifizierte Fachkräfte.

 

Ein Irrglaube ist, dass man sofort merkt, wenn man angegriffen wurde, weil die Bildschirme schwarz werden. Die Realität sieht anders aus, man merkt es sehr lange nicht und die Angreifer haben viel Zeit. Ein Hacker ist sehr gut, wenn er nicht auffällt und ein Unternehmen über eine sehr lange Zeit ausspionieren kann und die Unternehmensdaten über Jahre unbemerkt weiterverkaufen kann.

 

Beim ersten vorgestellten, realen Beispiel war das IT-System des Unternehmens sehr gut geschützt und nicht zu hacken. Letztendlich war der Mensch, via sein auf LinkedIn veröffentlichtes Hobby, die Schwachstelle, der den beauftragten Ethical Hackers den Zugang zum Netzwerk verschafft hatte.
Beim zweiten realen Beispiel wurden Damen-Fake-Profile vorgestellt – die es real nicht gibt - mit denen CEOs meistens erfolgreich gehackt werden. Nicht sein Computer wird gehackt, sondern er als Mensch. Umgekehrt mit Herren-Fake-Profilen funktioniert es ebenso gut.

 

Ein professioneller Hacker hackt nicht Computer-Systeme, sondern Menschen und bringt sie dazu Sachen zu machen, mit denen sie alle technologischen Schutzmassnahmen, die eingebaut wurden, aushebeln. So funktionieren Angriffe erstaunlich gut.

 

Adrian Glatz, Partner beim Beratungsunternehmen Eraneos und Präsident von Alumni FHNW führte anschliessend durch das Podium.

 

Nebst den vorherigen Referenten nahm auch Beat Deubelbeiss, Verwaltungsleiter und Gemeindeschreiber der Gemeinde Birr am Podium teil. Er hat bei der Gemeinde Mellingen, wo er damals Gemeindeschreiber war, eine Cyberattacke erlebt und erzählte eindrücklich, wie das totale Chaos ausbrach, als sie merkten, dass sie gehackt wurden. Es wurden reale Mails, die von der Gemeindeverwaltung früher verschickt wurden, nochmals verschickt, zusätzlich versehen mit einem Link, hinter dem eine Malware steckte. Zum Glück wurde nur der Mailserver gehackt und nicht der Server mit den sensiblen Daten der Einwohnerkontrolle. Möglich war diese Attacke, weil ein Update beim Mail-Server nicht gemacht wurde. Diese Lücke war in der Hacker-Szene bekannt und offenbar war es möglich, innert etwa 20 Minuten alle Websites der Welt auf diese Lücke zu scannen.
Als Massnahmen nach der Attacke wurde bei der Gemeinde Mellingen das Upgrade-Management professionalisiert und die Mehrphasen-Authentifizierung eingeführt. Zudem wurde ein Schutz eingebaut, dass niemand ausserhalb der Schweiz auf die Daten der Gemeinde zugreifen kann. Die Gemeinde Mellingen hatte zudem vor der Attacke eine Cyber-Versicherung abgeschlossen. Die Versicherung übernahm die Kosten des entstandenen Schadens und die Gemeinde wurde dadurch vor der Ausgabe von 2 Steuerzehnteln bewahrt.

 

Fabian Ilg, der selber Mitglied einer Verhandlungsgruppe ist, allerdings bisher eher bei Geiselnahmen als bei Cyber-Attacken, empfiehlt, auf keinen Fall zu versuchen, die Verhandlungen selber zu führen, sondern bei einer erfolgreichen Attacke sofort Strafanzeige einzureichen und die Strafverfolgung miteinzubeziehen. Die Verhandlungsspezialisten haben Möglichkeiten, die Täter zu identifizieren und allenfalls unter Druck zu setzen, wie im Fall der obenerwähnten Pizzabestellung.

 

Die Technologie-Entwicklung schreitet immer schneller voran und gemäss Benjamin Zulliger wissen sie vor der Einführung einer neuen oder weiterentwickelten Software genau, was sie machen müssen, damit sie sicher ist. Gegenüber früher brauchen sie heute aber viel mehr Zeit für die Vorbereitung. Waren es früher um die zwei Wochen, sind es heute ca. vier Monate, bis alle Arbeiten und Penetration-Tests durchgeführt sind und die Software sicher eingeführt werden kann.

 

Auf die Frage, welche Länder weltweit führend sind in der Cybersicherheit, nennt Uwe Kissmann allen voran Israel, gefolgt von Finnland und Grossbritannien. Grossbritannien ist nicht nur führend bei der Cybersicherheit für das Land/die Regierung, sondern sieht seine Aufgabe auch darin, dass die Bevölkerung und Unternehmen sich gut schützen. Dazu wurde eine toll gemachte und leicht verständliche Broschüre für KMU herausgegeben. Uwe Kissmann hatte einer Schweizer Sicherheits-Politikerin eine ähnliche Broschüre für Schweizer KMU vorgeschlagen und die Antwort war, dass die Schweiz kein Budget dafür habe. Die Schweiz steht in Sachen Cybersicherheit leider noch nicht sehr gut da. Sie ist zwar mittlerweile auf dem richtigen Weg, aber die Fachgremien sind zu klein und haben aktuell mehr Marketing- statt Cybersicherheits-Experten. Das Thema wird von der Politik noch zu wenig ernst genommen und entsprechend auch mit zu wenig Budget ausgestattet. Es braucht eine nationale Strategie und die Zusammenarbeit von verschiedenen Expertengruppen mit der Politik.

 

Letztendlich ist aber die Schwachstelle, der verletzliche Teil, immer der Mensch und dort braucht es eine viel grössere Sensibilisierung. Alle müssen für sich selber die Verantwortung übernehmen und aufmerksam sein. Diese Verantwortung für das eigene Handeln kann nicht abgetreten werden.

 

Anschliessend wurde die Teilnehmenden zum Apéro riche eingeladen, wo sie sich austauschen, sich mit den Referenten unterhalten und neue Kontakte knüpfen konnten.