Aus dem Unterricht des CAS Digital Risk Management zum Thema Behörden / Organisationen Schweiz, Schutz kritischer Infrastrukturen mit Tobias Bolliger berichtet Dario Bernardi:

Die Schweiz kennt, wie viele entwickelte Länder, diverse Behörden und Organisationen die sich um teils ähnliche Teilaspekte in Bezug auf den Schutz sogenannter kritischer Infrastrukturen kümmert. Wer kümmert sich also um was, welche Massnahmen existieren und welchen Risiken ist die Schweiz überhaupt ausgesetzt? Dank Tobias Bolliger, Kommissariatsleiter KOBIK bringen wir etwas Übersicht in den Online-Gefahren-Dschungel.

Der Nachmittag ist in vier Teile aufgeteilt:

  1. Cyber Bedrohungen und Täterschaft
  2. Behörden / Organisationen Informationssicherung
  3. Schutz kritischer Infrastrukturen
  4. Die Bekämpfung der Cyberkriminalität

1) Cyber Bedrohungen und Täterschaft

Vorab wichtig ist es, die Schweiz als Gesamtsystem zu verstehen. Sie hängt von einer zunehmend steigenden Anzahl an Informations- und Kommunikationseinrichtungen ab. Cyberangriffe entstammen damit aus den unterschiedlichsten Motiven und finden durch völlig unterschiedliche Täterkreise statt. Von Einzeltätern über politisch motivierte Aktivisten bis hin zu kriminellen Organisationen, Spione oder Terroristen, haben die unterschiedlichsten Motive die Schweiz (oder andere Länder) zu destabilisieren.

Bedrohungen als solche werden wie folgt klassifiziert:

  • APT: Advanced Persistent Threat. Wird oftmals durch Staaten oder vom Staat unterstützten/bezahlten Organisationen ausgeführt. Das Ziel ist, potentieller Schaden zu erwirken und ist sehr langfristig angelegt. Offenbar werden diese Art von Angriffen nur noch selten ausgeführt, zumal dadurch enorme Ressourcen in Anspruch genommen werden müssen.
  • Gezielte Angriffe: Werden typischerweise von organisierten Kriminellen und / oder Cyber Aktivisten durchgeführt. Die Grenzen zu einem ATP verschwimmen hier oftmals, zumal gezielte Angriffe durchaus von Staaten in Auftrag gegeben werden können. Die Verfolgung der Urheber ist hierbei, vor allem in einem internationalen Umfeld, ausserordentlich schwierig. Der verursachte Schaden ist potentiell sehr hoch. Ein wichtiger Unterschied hierbei ist, dass es gezielte und ungezielte Angriffe gibt. Während gezielte Angriffe bewusst auf eine Organisation mit einem bestimmten Ziel durchgeführt werden, handelt es sich bei ungezielten Angriffen um eine weit gestreute Kriminalität. Im Falle ungezielter Angriffe ist es für die Täter nicht relevant, wer durch die Attacke geschädigt wird – ob das ein Unternehmen oder eine 75-jährige Grossmutter ist.
  • Massenangriffe / Einzeltäter: Wie der Name schon sagt sind das von Einzelpersonen durchgeführte Angriffe. Der ausgelöste potentielle Schaden ist hierbei allerdings oftmals gering bzw. nicht unbedingt das hauptsächliche Ziel. Obwohl es Einzeltäter sind, erlangt diese Form des Angriffs durch die grosse Masse dennoch erhebliche Bedeutung.

Unbekannt bleibt freilich oftmals die Motivation der Täterschaft und nur durch eine optimale Zusammenarbeit können Täter evtl. überführt werden.

2) Behörden / Organisationen Informationssicherung

Die Schweizer Behörden sind prinzipiell auf drei Ebenen organisiert und koordiniert. Während sich Counter Cybercrime für den Schutz von Menschen und Unternehmen einsetzt, kümmert sich Cybersecurity um den Schutz kritischer Infrastrukturen (Energie, Versorgung, Sanität usw.). Eine kleine Ausnahme stellt Cyberdefense dar. Da die Schweiz ein neutrales Land ist, werden die Verteidigungsstrukturen hier zwar aufgebaut, allerdings in Friedenszeiten nicht verwendet. Die Frage drängt sich hier auf, wie weit die Neutralität in diesem Fall reichen soll und ob die Schweiz u.U. auch präventiv vorgehen darf.

Die Teilbereiche werden von unterschiedlichen Stellen, Organisationen und Behörden betreut und sichergestellt:

  • Cyberwar: Militär – VBS, MND
  • Cybersecurity: Privatwirtschaft, Melani-GovCERT, Swiss Cyber Experts
  • Cybercrime: Polizei, Staatsanwaltschaften, Kobik, Europol / Interpol
  • Cyber Intelligence: Nachrichtendienste, Melani-OIC

Interessant an der Schweizer Organisation ist die Tatsache, dass auch hier nach dem Subsidiaritätsprinzip vorgegangen wird. Damit werden die Schweizer Strafverfolgungsbehörden erst aktiv, wenn der Selbstschutz von Unternehmen ausgeschöpft ist. Wichtig ist, dass in der Schweiz alle Teilnehmer sich vernünftig selber schützen müssen.

Das MELANI positioniert sich aus diesem Grund mit dem folgenden Statement auch ziemlich klar: „MELANI unterstützt subsidiär den Informationssicherungsprozess der kritischen Infrastrukturen durch Informationen über Vorfälle und Bedrohungen (Lageeinschätzungen, Analysen zur Früherkennung von Angriffen und deren Auswirkungen, Schadsoftwareanalysen usw.).“

Zu den Kunden von Melani zählen dabei ein geschlossener Kundenkreis die zu den kritischen Infrastrukturen zählen. Dazu gehören Chemie / Pharma, Energie, Finanz, Gesundheitswesen, Industrie, Telekommunikation, Transport / Logistik, Versicherungen und Verwaltung. In einer Krise in einer dieser Sektoren, würde der Sonderstab Informationssicherung (SONIA) aktiviert werden. Der offene / übrige Kundenkreis wird von Melani über ihre Website erreicht und mittels Checklisten, Anleitungen, Berichten und Lernprogrammen abgedeckt. Erreicht werden kann die Website auf www.melani.admin.ch oder über das GovCERT www.antiphising.ch, die auch Meldeformulare für Incidents zur Verfügung stellt.

Melani ist dabei ausserordentlich interdisziplinär organisiert und entsprechend komplex:

Während sich das Melani eher im nachrichtendienstlichen Bereich positioniert, ist Kobik für die Strafverfolgung bzw. die eigentliche Bekämpfung von Internetkriminalität zuständig. Überschneidend dabei ist der Informationsaustausch mit ISP’s, dem Staatsschutz und die Präventionsarbeit und Sensibilisierung von Bevölkerung und sonstigen Teilnehmern.

3) Schutz kritischer Infrastrukturen

Übergeordnetes Ziel ist es, die Leistungsfähigkeit der kritischen Infrastrukturen (vgl. oben aufgeführte Liste) aufrecht zu erhalten respektive das Schadensausmass im Fall von Störungen zu begrenzen, da solche in der Regel schwerwiegende Auswirkungen auf Bevölkerung und Wirtschaft haben können.

Die strategischen Ziele sind dabei auf drei Pfeiler aufgeteilt:

  1. Frühzeitige Erkennung: Wird über die Erstellung von aktuellen Lagebildern und den Beziehungen zu Betreibern gewährleistet
  2. Stärkung der Widerstandsfähigkeit: Soll mögliche fatale Kettenreaktionen verhindern
  3. Reduktion von Cyber Risiken: Trifft Gegenmassnahmen zu Malware, zero-day-exploits etc.

Damit die strategischen Ziele sauber erreicht werden können, basiert diese auf 4 Grundsätzen:

  1. Dezentrale Umsetzung: Die Umsetzung soll risikobasiert stattfinden und in Eigenverantwortung umgesetzt werden
  2. Zentrale Unterstützung: Durch den Staat gewährleistete subsidiäre Unterstützung
  3. Flexibilität: Die Umsetzung basiert auf technischen (und nicht technischen) und bedarfsgerechten Umsetzungen
  4. Koordination: Es existieren Public-Private-Partnerships mit Swiss Cyber Experts Gruppen die sich gegenseitig Wissen teilen und sich damit in Krisenfällen unterstützen können

Kurzer Exkurs zum Föderalismus: An dieser Stelle ist es wichtig zu erwähnen, dass der Föderalismus – so schön und gut er für die Schweiz ist – in diesem Zusammenhang nicht förderlich ist. Aus diesem Grund wurde die Kobik vor rund 12 Jahren auch ins Leben gerufen, um den Überblick über alle Krisenorganisationen gewährleisten zu können. Ausführend bleiben dabei die lokalen Sicherheitsdispositive, aber eine erfolgreiche Cyber-Kriminalitätsbekämpfung ist ohne eine national-zentrale Stelle kaum denkbar.

Im Optimalfall sieht ein sauberes Case Management damit folgendermassen aus:

Ist ein Vorfall soweit gelöst wird nicht automatisch zum Courant Normal übergegangen. Auf nationaler Ebene soll eine möglichst vollständige Fallübersicht geführt werden und interkantonale Fallkomplexe dokumentiert werden. Die damit einhergehenden Erkenntnisse sollen jeweils in eine gesamtheitliche Lagedarstellung einfliessen. Allerdings stellt dieses Vorgehen keine Strategie zur Bekämpfung von Cyberkriminalität dar. Stand heute fehlt weiterhin eine geregelte Zuständigkeit, die allerdings zur Zeit gerade in Entwicklung ist.

4) Die Bekämpfung der Cyberkriminalität

Die Strafverfolgung findet in der Schweiz gezielt statt. Sie findet also, bspw. im Unterschied zu einer NSA in den USA, nicht präventiv mittels bspw. umfangreichen Datensammlungen statt. Strafen sind zudem klar im StGB geregelt und die Polizei wird nur bei Offizialdelikten selbständig aktiv. Gemäss dem Schweizer StGB sind allerdings die meisten (Cyber-)Straftaten noch Antragsdelikte, womit viele Delikte ungeahndet bleiben.

Soweit klar ist damit, wer für was zuständig ist. Aber was genau ist denn ein Cybercrime? Die Interpol definiert ein Cybercrime damit, dass der Schaden sehr reell ist und nicht virtuell bleibt. Tatsächlich ist der kumulierte Schaden von Cybercrime höher als der weltweit verursachte Schaden durch Drogenhandel. Definiert ist Cybercrime auch als Straftat, die mit Hilfe von Informations- und Kommunikationstechnologien verübt wird oder sich Schwachstellen der IKT-Technologien zunutze machen. Allerdings ist, wie meistens, die grösste Schwachstelle der Mensch selber. Im weiteren Sinne nutzen Cyberkriminelle damit das Internet zwar als Kommunikationsmittel, wobei das Ziel aber nicht die Maschine ist, sondern der Mensch der dahinter sitzt. Damit verbunden sind zumeist Erpressungsversuche in der einen oder anderen Form oder der Handel mit illegalen Dokumenten, Substanzen, Produkten oder anderen Gütern. Die begangenen Straftaten sind somit nicht neu, sondern existieren seit langer Zeit. Das Internet hat damit lediglich nur eine Katalysatorrolle übernommen. Tatsächlich existieren auch Juristen, die behaupten, dass gar keine Cyberkriminalität existiert, zumal es sich sowieso nur um „alte, bereits existierende“ Delikte handelt die lediglich in neuer Form mit neuer Technologie verübt werden.

Dennoch existiert zwischenzeitlich eine Schweizweit gültige Cyber-Definitionsliste:

Das Kobik koordiniert dabei Kantons- und Bundesstellen wobei auch die Zuständigkeiten klar geregelt sind:

Organisation der KOBIK: Das Kobik hat den Grundauftrag, nach strafbaren Inhalten im Internet zu suchen, Verdachtsmeldungen entgegenzunehmen und auszuwerten, Fakten sicherzustellen, Urheberschaft zu orten und Situationsanalysen zu erstellen

Ein Team von 16 Personen kümmert sich um:

  • Monitoring 1: Umsetzung technischer Projekte, Blacklisting, Zusammenarbeit mir ISP’s
  • Monitoring 2: Verdachtsfälle, Undercover Arbeit, klassische Polizeiarbeit
  • Analyse: Beantwortung Bürgermeldungen, Kriminalanalyse, Beweisssicherung, strategische Analyse
  • Clearing: Rechtliche Expertise, politische Geschäfte, PR, Medieninformationen
  • Zu den Einsatzgebieten gehören u.A. P2P Scans, verdeckte Ermittlungen in Chats, Foren und Darknet. Alle Ermittlungen sind gestützt auf die StPO oder kantonales Polizeirecht
  • In einem Jahr führte das zu rund 748 Anzeigen die sich aus Vorermittlungen, P2P Scans und verdeckten Ermittlungen zusammenstellen

Das KOBIK übernimmt mit seinen Tätigkeiten eine ausserordentlich wichtige Aufgabe die, mit mehr personellen Ressourcen, noch besser erledigt werden könnte. Es ist eine Frage des politischen Willens, wie stark sich der Bund in der Bekämpfung von Cyberkriminalität engagieren will. Auf jeden Fall ist es eine immanent wichtige Aufgabe die der Bund finanziert und die Mitarbeiter des KOBIK’s und weiteren Sicherheitsorgane mit dem gegebenen Mitteln und grossem Engagement übernehmen und ausführen.