Aus dem Unterricht des CAS Digital Risk Management zu den Themen Cyberbedrohung, Übersicht Behörden / Organisationen Schweiz und Schutz kritischer Infrastrukturen mit Tobias Bolliger berichtet Nadine Traber-Burkhardt:

Heute erhalten wir die Informationen zu Prävention und Bekämpfung von Cyberrisiken und Cyberangriffen von vorderster Front, nämlich von Tobias A. Bolliger, Kommissariatsleiter der Koordinationsstelle zur Bekämpfung der Internetkriminalität KOBIK beim Bundesamt für Polizei fedpol.

Die steigende Zahl vernetzter Informations- und Kommunikationseinrichtungen macht das Funktionieren der Schweiz als Gesamtsystem immer abhängiger von Sicherheitsvorkehrungen. Die Cyberangriffe haben sehr unterschiedliche Täterkreise und Motive, vom Einzeltäter über die politisch motivierte Aktivistin bis zu gefährlichen Spionage-, Betrugs- und Erpressungsabsichten.

Täter sind nicht auf reine Informationsbeschaffung aus, sondern wollen Staaten, Dienste und Unternehmen empfindlich treffen. Tobias Bolliger empfiehlt uns, die auf Europol einsehbare Studie von Project 2020 Scenarios for the Future of Cybercrime zu lesen. Quintessenz: Wir sind total abhängig von diesen Systemen. Sollten die Prognosen 2020 eintreffen, würden sie sich verheerend auswirken.

Cyberbedrohung

160213_Bolliger_Übersicht Behörden Org.Schweiz_Seite_08_Bild_0002Massenangriffe/Einzeltäter bilden die unterste Ebene der Pyramide. Diese Bedrohung muss vor allem wegen der hohen Menge an Vorkommnissen ernst genommen werden. Auf dieser Stufe wird an den Verstand der Endbenutzerin und an interne Schulungen in Unternehmen appelliert.

Gezielte Angriffe von Cyberkriminellen und Cyberaktivisten sind auf mittlerer Ebene der Pyramide eingestuft. Hier werden wir gebeten, möglichst viele präventive Massnahmen und unser Wissen in den Unternehmen einzusetzen. Die richtigen Cyberaktivisten sehen das Internet als schützenswertes Gut. Anonymous ist grundsätzlich gut, aber diejenigen, die kein Statement mehr machen und sich als Vandalen im Netz bewegen, sind nur darauf bedacht, Anarchie zu verbreiten.

Ein echter Krimi erzählt uns Tobias bezüglich eines CEO-Fraud: Eine normale Täuschung hat letzte Woche bei einem Unternehmen in Nordeuropa eine Schadensumme von über 65 Mio. Euro verursacht. Mittlerweile sind solche Vorfälle nicht mehr aussergewöhnlich. Das KOBIK kooperiert  auf dieser mittleren Ebene der Pyramide mit Europol und Interpol und verschiedenen Organisationen.

Oftmals ergibt sich ein fliessender Übergang zu der obersten Ebene, den APT, den sogenannten „Advanced Persistent Threats“, bei denen Angreifer mit viel Ressourcen, Wissen und Geld hohen Schaden in Organisationen oder Staaten anrichten. Sie sind beharrlich und nisten sich möglichst lange im Netz ihrer Opfer ein – so, wie es die Benennung „persistent“ aussagt. Der Bund kann APT nicht angreifen und Staaten strafbarer Handlungen beschuldigen. Die APT zeigen der Welt: „Ich bin die Macht, ich beherrsche die Welt“.

Das Bundesnetz wird täglich angegriffen. Es ist ersichtlich, wo es infiziert wurde, und gewisse APT wird man nicht mehr los. Faktisch muss man damit umgehen, als interessantes Ziel dem Risiko ausgesetzt zu sein.
Stuxnet-Malware ist ein Beispiel dafür, dass solche Angriffe nicht in der Garage gebastelt werden. Hochversierte Täterschaften greifen an und Staaten stehen dahinter. Auch den Chinesen, die im Bundesnetz surfen, rausgekickt werden und immer wieder angreifen, ist der Bund ausgeliefert. Sich so gut wie möglich dagegen zu schützen ist die einzige Option.

Der Adrenalinspiegel steigt und wir erhalten detaillierte Beschreibungen über Motive und Eigenheiten zu der Klassifizierung von Angreifern:

  • Staaten/Geheimdienste (Advanced Persistent Threats, APT)
  • Cyberaktivisten
  • Organisierte Cyberkriminelle – gezielte Angriffe
  • Organisierte Cyberkriminelle – ungezielte Angriffe

Was kann man gegen solche Angriffe tun? Wissen, was zu schützen ist! Oft redet man lediglich vom technischen Schutz. Tobias Bolliger erwähnt immer wieder und explizit die menschliche Komponente als grösste Schwachstelle und nennt die Wichtigkeit, sich ständig für einfache Benutzerregeln stark zu machen und unbedingt Sicherheitsprozesse zu gewährleisten.

Switch als wichtiger KOBIK-Partner

Dank der Zusammenarbeit mit Switch kann ohne weiteres in solche Prozesse eingegriffen werden und man kann im Sinne des Kundendienstes wirken. Als Beispiel wird ein fehlerhaftes Skript einer Gemeinde erwähnt, wovon man selbstverständlich nicht polizeilich einfährt, wo man jedoch Einfallslücken schliesst und Infektionsgefahren beseitigt. In zahlreichen anderen Fällen und mit dem Einwand von KOBIK kann Switch mit dem Domainhalter Kontakt aufnehmen und Fristen setzen, folglich erlässt KOBIK die Verfügung und kann die Strafverfolgung aufnehmen. Bei akuter Gefahr wird es allerdings notwendig, eine Domain sofort vom Netz zu nehmen.

Fazit:

  • Motivation und Täterschaft sind oft unbekannt
  • Diverse staatliche Akteure mit unterschiedlichen Aufgaben und Befugnissen
  • Nur zusammen können (PPP) Behörden, Privatwirtschaft, Forschung und Lehre gegen Cyberrisiken erfolgreich  vorgehen
  • Wichtig: Ein kompletter Schutz ist nicht möglich!

Tobias Bolliger erklärt, dass die Schweiz im positiven Sinne ein schlechtes Ziel ist, weil es für Angreifer enorm schwierig geworden ist, einzudringen. Grundsätzlich will KOBIK nicht wissen, wie Informationen in Erfahrung gebracht werden, sondern es benötigt die Informationen.

Behörden und ihre Aufgabenbereiche

160213_Bolliger_Übersicht Behörden Org.Schweiz_Seite_19_Bild_0002

  • Counter-Cybercrime: Privatpersonen schützen, es wird reine Polizeiarbeit verrichtet
  • Cyberdefence: Sobald Cyberdefence zum Zug kommt, sind wir im „Krieg“
  • Cybersecurity: Ist  in die Kategorie Cyberwar einzuordnen und es tritt VBS/Nachrichtendienst in Aktion (Luft, Wasser, Land, Space, Cyber-Space, was die fünfte Dimension beim Nachrichtendienst ist)

MELANI – Melde-und Analysestelle Informationssicherung

MELANI ist die Anlaufstelle für die breite Bevölkerung und unsere Wirtschaft und ist dem Informatiksteuerungsorgan ISB beim EFD und VBS (NDB) angegliedert. MELANI hat die Verpflichtung, den geschlossenen Kundenkreis (Schutz der zehn kritischen Infrastruktur- mit insgesamt 28 Teilsektoren) zu bedienen und steht dem offenen Kundenkreis mit Anleitungen, Meldeformularen und Lernprogrammen zur Verfügung, die aktive Benutzung wird erwünscht.

Der Bund kann nur subsidiär zuständig sein. Die Verantwortung haben die Betriebe. Es ist Sache der Unternehmen, die Risiko- und Bedrohungsanalysen zum Schutz des Kerngeschäfts zu erstellen. MELANI ist die Informationsstelle aus nationalen und internationalen Quellen. KOBIK kommt bei verdeckten Ermittlungen und Monitoring mit IP-Adressen nicht mehr weiter, sie müssen sich zunehmend im Darknet bewegen.

Abgrenzung MELANI – KOBIK

160213_Bolliger_Übersicht Behörden Org.Schweiz_Seite_27_Bild_0002

Weiter geht es mit Erläuterungen zur Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken NCS, die 16 Massnahmen enthält.

Seit kurzem ist Swiss Cyber Experts als Verein operativ, als eine PPP (Public Private Partnership) aus Wirtschaft und Forschung konstituiert, die dank gebündeltem Wissen im Falle schwerer Cyberübergriffe eine Diagnose liefern kann.
Das Know-how und die Ressourcen der Firmen werden genutzt, wenn MELANI nicht mehr weiterkommt.

Die Klasse braucht nun einen Security-Break…. 160213_Bolliger_Übersicht Behörden Org.Schweiz_Seite_21_Bild_0003

Mit grosser Begeisterung informiert uns Tobias über seine Kernaufgabe, die Phänomenanalyse und Strafverfolgung.

Um was geht es konkret und wie funktioniert es? Wenn eine Straftat verübt wird oder wurde, ist es Aufgabe der Polizei/KOBIK und der Staatsanwaltschaft, das Verbrechen aufzuklären.

  • Straftaten sind im Strafgesetzbuch StGB geregelt
  • Die Strafverfolgungsbehörde stützt sich auf die Strafprozessordnung StPO und die kantonalen Polizeigesetze

Straftaten, die mit IKT/ICT verübt werden oder Schwachstellen ausnutzen:

  • Cyberkriminelle wählen den einfachsten, günstigsten und sichersten Weg zum Erfolg
  • Technologie bietet hohe Sicherheit, aber der Mensch bleibt emotional, beeinflussbar, fahrlässig und somit ein einfaches Ziel
  • WLAN-Schnittstellen wie beispielsweise in Implantaten sind Ziele von Kriminellen, was bis zu Mord führen kann
  • Gesamthaft sind lediglich 10 % der Meldungen, die die KOBIK erhält, Cyberkriminalität im engeren Sinn

Wenn bei Prozessen keine Verhaltensregeln bestehen, können auch noch so sichere Systeme die Risiken nicht verhindern.

Kantonale und bundesweite Zuständigkeiten

Die Mittel der Polizei sind eingeschränkt, darum muss die Zusammenarbeit mit der Staatsanwaltschaft gut funktionieren. Auf Bundesebene kooperieren Bundeskriminalpolizei (mit KOBIK) und die Bundesanwaltschaft. Das Interpol-Europol-Netzwerk ist von hoher Bedeutung, weil anlässlich einer Zwangsmassnahme hunderte von Servern gleichzeitig abgestellt werden, damit sich diese nicht wieder „Peer to Peer“ aufbauen.

KOBIK-Grundauftrag

Im Jahr 2015 sind 11‘000 Meldungen eingegangen, davon wurden zirka 300 Fälle den Kantonen zugewiesen.

  • Suche nach strafbaren Inhalten im Internet
  • Verdachtsmeldungen aus dem In- und Ausland entgegennehmen
  • Aussortierung der offensichtlichen, nicht strafrechtlich relevanten Verdachtsmeldungen
  • Sicherstellung der festgestellten Fakten
  • Ortung Urheberschaft für die Bestimmung der örtlichen Zuständigkeit
  • Überweisung der Dossiers an die örtlich und sachlich zuständigen Behörden im In-und Ausland
  • Protokollführung über alle Strafverfahren in der Schweiz
  • Situationsanalyse der Internetkriminalität in der Schweiz

Wir erhalten auch einige Insights über aktive Recherchen (Monitoring), P2P-Scan (Überwachung diverser P2P-Netzwerke, die zu 95 % mit Hausdurchsuchung einhergehen) und verdeckte Ermittlungen in Chats, Foren und Darknet.

Zu guter Letzt kommen wir in den Genuss von einigen Schilderungen zu Modus Operandi 1 bis 3:

  • Zulieferer (Betrugsmethode, die auf menschlicher Mitwirkung beruht; oft beginnt es mit einem Telefonat/E-Mail für ein Geschäft, wofür folglich Zahlungsaufträge ausgelöst werden)
  • CEO-Fraud (Betrüger, die sich als Chef ausgeben, Social Engineering)
  • BIC-Fraud (operiert mit Man-in-the-Middle-Angriff)

Internationale Beweiserhebung

Die Rechtshilfe ist in der Schweiz seit 1. Januar 2012 in Kraft.

Die Cybercrime-Konvention strebt folgende Ziele an:

  • Internationale Rechtsharmonisierung
  • Beschleunigung der internationalen Rechtshilfe in Strafsachen
  • 24/7-Netzwerk mit nationalen SPoC (Single Point of Contact)

Die wichtigsten Neuerungen betreffen die Rechtshilfe:

  • Sofortige Sicherung von Daten im Ausland und Herausgabe von Verkehrsdaten

So kann das KOBIK eine IP-Adresse direkt über den Polizeiweg erhalten, die Ermittlungen können demnach aufgenommen werden, vorausgesetzt, es wird für den Beweis das Vehikel der Rechtshilfe benutzt.

Wir schliessen den informativen und spannenden Tag ab mit dem Grundsatz: NUR DIE GEMEINSCHAFTLICHE BEKÄMPFUNG KANN VON NUTZEN SEIN!