Cyber-Angriffe «Die grössten Gefahren in der Schweiz sehe ich im Medizinbereich»

Von Tobias Bühlmann

15.5.2021

«Ausser Betrieb» – ein Ransomware-Angriff auf die wichtigste US-Pipeline hat dafür gesorgt, dass an Tankstellen im Südosten der USA der Treibstoff ausging.
«Ausser Betrieb» – ein Ransomware-Angriff auf die wichtigste US-Pipeline hat dafür gesorgt, dass an Tankstellen im Südosten der USA der Treibstoff ausging.
Bild: Keystone/EPA/Erik S. Lesser

Tankstellen ohne Benzin, hamsternde Autofahrer: Der Cyber-Angriff auf eine US-Pipeline zeigt die Verletzlichkeit unserer Infrastruktur. Ein Problem, das man in der Schweiz besser im Griff hat, sagt der Sicherheitsexperte. Aber auch wir sind nicht sicher – und ein Bereich ist besonders gefährdet.

Von Tobias Bühlmann

15.5.2021

In den USA haben Cyber-Kriminelle vor einigen Tagen die wichtigste Pipeline lahmgelegt. Ihre Schadsoftware hat die Systeme von Betreiber Colonial verschlüsselt; für den Code zur Entschlüsselung müssen die Betroffenen tief in die Tasche greifen, darum spricht man hier von Ransomware, zu Deutsch Erpresser-Software.

In der Folge wurde in einigen Staaten der Treibstoff an den Tankstellen knapp, weil die Leute zu hamstern begonnen hatten. Colonial hat laut US-Medien 5 Millionen Dollar an die Erpresser bezahlt, und inzwischen fliesst der Treibstoff wieder. Bis zu einer Normalisierung der Lage wird es aber noch etliche Tage dauern. «blue News» hat bei IT-Sicherheitsexperte Raphael Reischuk nachgefragt, wie gross die Gefahr solcher Angriffe ist – auch in der Schweiz.

Wie kann es passieren, dass eine so wichtige US-Pipeline einer Malware-Attacke zum Opfer fällt?

Wir wissen schon lange, dass Teile der Infrastruktur der USA in den letzten Jahren vernachlässigt wurden. Das sieht man auch bei Strassen. Und wie Strassen brauchen auch Server und IT regelmässige Investitionen, damit sie sicher bleiben. Wo kein Geld reinfliesst, findet keine Wartung statt, und wenn die IT nicht mehr auf dem Stand der Zeit ist, wird sie unmittelbar angreifbar. Bei IT-Infrastruktur geht das sogar noch schneller als bei Strassen und Brücken: Sind die neu gebaut, dann kann ich die erst mal ein paar Jahre so lassen. Ein IT-System hingegen muss man von Tag eins an pflegen – das macht sie viel fragiler als die traditionelle Infrastruktur.

Zur Person
zVg

Der Sicherheitsexperte Raphael Reischuk ist Head of Cyber Security Services beim Schweizer IT-Dienstleister Zühlke und Vizepräsident Cyber Security beim Branchenverband digitalswitzerland.

Aber sind solche Systeme denn nicht physisch vom Internet getrennt, um sie abzusichern?

Es muss irgendeine Trennung geben. Aber oft werden die Systeme dann doch angebunden – und das hat meist klare Gründe, etwa weil man sie fernwarten will. Macht ein Betreiber das, muss er die Gründe für die Konnektivität in ein gutes Verhältnis zum Risiko setzen. Und viele Systemkomponenten sind heute herstellerseitig ans Internet angebunden.

Könnte so ein Fall, wie er sich nun in den USA zugetragen hat, auch in der Schweiz geschehen?

Die Antwort auf diese Frage ist immer Ja – aber es fragt sich, wie gross die Gefahr ist. In der Schweiz stehen wir nicht ganz so sehr im geopolitischen Spannungsfeld wie die USA, darum ist die tatsächliche Gefahr hier per se kleiner. Aber anderseits gehen viele Angreifer oft dahin, wo das Geld ist, und da ist die Schweiz ein lohnendes Ziel. Das macht es schwierig, die Gefahren in der Schweiz genau abzuschätzen. Es gibt aber viele Grundvoraussetzungen, die in der Schweiz besser geregelt sind als in den USA.

Was wären hier denkbare Ziele? Die SBB? Oder die Stromversorgung?

Die grössten Gefahren sehe ich im Medizinbereich. In letzter Zeit wurden beispielsweise viele Spitäler gehackt. Gerade die Covid-Krise hat klargemacht, wie wichtig und verletzlich diese Institutionen sind, insbesondere in Bezug auf ihre Verfügbarkeit. Schon nur wegen der Zahl der Angriffspunkte: Im Spitalumfeld haben wir deutlich mehr Mitarbeitende, die auf die Systeme zugreifen müssen – Pflegepersonal und Ärzt*innen. Zudem ist der Sektor finanziell nicht so gut gestellt. Das macht es einfacher, etwa per Social Engineering Zugangsdaten zu ergaunern und damit in Systeme einzudringen. Da ist die Sensibilität beispielsweise bei Stromanbietern höher, zudem ist die Zahl der Mitarbeitenden mit Zugang zu den Systemen kleiner.

Wie kann man sich vor solchen Angriffen schützen?

Da ist die Liste lang, da gibt es schon viele Empfehlungen und Minimalstandards. Der Punkt ist: Die Angreifer werden raffinierter. Wichtig ist es, dass nur ans Netz angeschlossen wird, was unbedingt nötig ist. Dann sollte man das Undenkbare annehmen. Ein wichtiges Stichwort heute ist Zero Trust: Grundsätzlich kann jede*r Mitarbeitende ins System eindringen. Darum überwacht man am besten alle Vorgänge in einem IT-System, und das geht bei grosser Datenmenge nur mit künstlicher Intelligenz. Die Sache ist extrem komplex, aber meistens suchen die Angreifer den einfachst möglichen Angriffspunkt. Das bedeutet für ein KMU: Ich muss meine Systeme nicht vollkommen wasserdicht absichern, was ohnehin nicht gelingt. Sie müssen oft nur besser gesichert sein als jene der Konkurrenz.

Ist es überhaupt möglich, sich vollständig vor solchen Angriffen zu schützen?

Nein. Wenn ein Angreifer genug Ressourcen einsetzt, ist jedes System angreifbar. Das Ziel muss darum sein, auf der Prioritätenliste der Angreifer nicht ganz oben zu stehen. Wie genau man das erreicht, ist von Fall zu Fall verschieden – und die Lösung ist nicht nur eine technische, sondern oft auch eine politische.

Ist das Problem durch die Pandemie-Krise und die Verlagerung der Arbeit ins Homeoffice grösser geworden?

Ja, ganz klar – aber ich hoffe, dass wir aus der Covid-Krise stärker rauskommen und etwa beim Thema Homeoffice neue Fähigkeiten beim Thema Sicherheit entwickeln.