Aus dem Unterricht des CAS Digital Risk Management mit Tobias A. Bolliger berichtet Adriano Brenca.

Beim heutigen Thema befassten wir uns mit den Behörden & Organisationen der Schweiz und den Schutz kritischer Infrastrukturen.

Agenda:

  • Cyber Bedrohungen und Täterschaft
  • Behörden / Organisationen Informationssicherung
  • Schutz kritischer Infrastrukturen
  • Die Bekämpfung der Cyberkriminalität

Cyber Bedrohungen und Täterschaft

Cyber-Riskien

Cyber-Risiken bestehen zum einen durch die Möglichkeit vorsätzlicher, zielgerichteter IT-gestützter Angriffe auf Daten und IT-Systeme. Diese Angriffe sind geeignet, die folgenden Konsequenzen hervorzurufen: Verletzung der Vertraulichkeit von Daten (z.B. Datenverluste, Ausspähen von Daten), Verletzung der Integrität des Systems oder der Daten (z.B. Datenverfälschung, u.U. mittels Schadsoftware,), Verletzung der Verfügbarkeit des IT-Systems oder der Daten (z.B. interne Betriebsunterbrechungen, Ausfall der Kommunikationswege mit Dritten). Zum anderen bestehen Cyber-Risiken durch die missbräuchliche Nutzung der Eigenschaften des Cyber-Raums, Informationen sehr schnell, in großer Menge, kostengünstig und weitreichend zu verbreiten (z.B. E-Mail-Kampagnen gegen Unternehmen, Boykottaufrufe über soziale Medien) sowie durch „Social Hacking “.

Cyberattacken

Eine Cyberattacke oder ein Cyberangriff ist der gezielte Angriff auf größere, für eine spezifische Infrastruktur wichtige Rechnernetze von außen.

APT

Der APT führt zu einem sehr hohen Schaden, der auf eine einzelne Organisation oder auf ein Land wirkt. Der Angreifer ist bereit, sehr viel Zeit, Geld und Wissen in den Angriff zu investieren und verfügt in der Regel über grosse Ressourcen.

Das Ziel des Angreifers ist es dabei meistens, möglichst lange unentdeckt zu bleiben und sich im Netz des Opfers festzusetzen und die für ihn interessanten Informationen zu stehlen.

Gezielte Angriffe

In der Mitte der Pyramide liegt die Kategorie der Cyber-Kriminellen sowie der Cyber-Aktivisten/Terroristen. Auch wenn diese über signifikant geringere Ressourcen verfügen, darf die Gefährdung nicht unterschätzt werden. In der Regel ist die Ausdauer dieser Angreifer etwas geringer als bei den APT.

Es muss an dieser Stelle festgehalten werden, dass die Grenzen zwischen Cyber-Kriminalität und APT fliessend ist.

Massenangriff / Einzeltäter

Die unterste Stufe der Pyramide wird durch Massenangriffe sowie durch Einzeltäter gebildet. Alleine durch die enorme Menge an solchen Angriffen muss diese Bedrohung ernst genommen werden, trotz der limitierten Ressourcen, die dafür eingesetzt werden.

Auch hier ist die Grenze zur oberen Stufe durchlässig, da insbesondere Massenangriffe häufig durch Cyberkriminelle Organisationen durchgeführt oder zumindest beauftragt werden.

Klassifizierung von Angreifern

  • Staaten / Geheimdienste
  • Cyber Aktivisten
  • Organisierte Cyberkriminelle

Fazit

  • Motivation der Täterschaft oft unbekannt
  • Diverse staatliche Akteure mit unterschiedlichen Aufgaben und Befugnissen
  • Nur zusammen (PPP) – Behörden, Privatwirtschaft und Forschung & Lehre kann gegen Cyber Risiken erfolgreich vorgegangen werden

Behörden / Organisationen Informationssicherung

KOBIK Erklärung:

Die im Bundesamt für Polizei (fedpol) bei der BKP angesiedelte Schweizerische Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) ist eine von Bund und Kantonen gemeinsam betriebene Einrichtung. Sie dient u.a. als nationale Anlaufstelle für Personen, die verdächtige Internetinhalte melden möchten. Diese Meldungen werden nach Überprüfung durch KOBIK an die zuständigen Strafverfolgungsbehörden im In- und Ausland weitergeleitet. KOBIK sucht aber auch aktiv im Internet nach strafrechtlich relevanten Inhalten. Weiter ist KOBIK für eine vertiefte Analyse im Bereich der Internetkriminalität besorgt und steht der Öffentlichkeit, Behörden und Internetservice-Providern als Kompetenzzentrum zur Verfügung. Es arbeiten gegenwärtig neun Mitarbeitende bei KOBIK.

Aufgabe der KOBIK:

  • Suche nach strafbaren Inhalten im Internet
  • Entgegennahme von Verdachtsmeldungen aus dem In- und Ausland
  • Aussortierung von offensichtlichen nicht strafrechtlich relevanten Verdachtsmeldungen
  • Sicherstellung der festgestellten Fakten
  • Ortung der Urheberschaft (Server, Provider etc.) zur Bestimmung der örtlichen Zuständigkeit
  • Überweisung der Unterlagen an die örtlich und sachlich zuständigen Behörden im In- und Ausland
  • Führung einer Übersicht aller Strafverfahren in der Schweiz
  • Situationsanalyse der Internetkriminalität in der Schweiz

MELANI Erklärung:

MELANI unterstützt subsidiär den Informationssicherungsprozess der kritischen Infrastrukturen durch Informationen über Vorfälle und Bedrohungen (Lageeinschätzungen, Analysen zur Früherkennung von Angriffen und deren Auswirkungen, Schadsoftwareanalysen usw.).

Für die übrige Wirtschaft und die breite Bevölkerung bietet MELANI Unterstützung in Form von Checklisten, Anleitungen, Berichten und Lernprogrammen an. Zudem bieten sowohl das MELANI-OIC (www.melani.admin.ch) wie auch das GovCERT (www.antiphishing.ch) Meldeformulare für die Meldung von Incidents resp. Phishing an.

Aufgaben von Melani:

  • Eidgenössisches Lagezentrum zum Schutz kritischer Infrastrukturen (7×24)
  • Subsidiäre Unterstützung von Betreibern kritischer Infrastrukturen
  • Informationen aus exklusiven Quellen (national und international):
    • Nachrichtendienste
    • Ermittlungsbehörden (Bundeskriminalpolizei, Kantonspolizei usw.).
    • Computer Emergency Response Teams (CERT)
  • Überwachung und Präsentation der nationalen Lage:
    • Prävention / Alarmierung
    • Koordination im Krisenfall (SONIA)
  • Aufbau und Betrieb eines Netzwerks mit Betreibern kritischer Infrastrukturen
  • Präventionsmassnahmen zu Gunsten von KMU und der Bevölkerung

Abgrenzung von Melani – Kobik

Schutz kritischer Infrastrukturen

Die Schweiz ist in hohem Masse angewiesen auf ein möglichst kontinuierliches Funktionieren von kritischen Infrastrukturen. Diese stellen die Verfügbarkeit von unverzichtbaren Gütern und Dienstleistungen wie Energie, Kommunikation oder Verkehr sicher. Störungen von kritischen Infrastrukturen haben in der Regel schwerwiegende Auswirkungen auf Bevölkerung und Wirtschaft und können dominoartig auf andere kritische Infrastrukturen übergreifen: So fällt bei einem grossflächigen Stromausfall auch die Wasserversorgung, die Telekommunikation und der Schienenverkehr aus.

Das übergeordnete Ziel ist es deshalb, die Leistungsfähigkeit der kritischen Infrastrukturen möglichst permanent aufrechtzuerhalten, respektive das Schadensausmass im Fall von Störungen zu begrenzen.

Die 10 kritischen Infrastruktur Sektoren:

  • Behörden
  • Energie
  • Entsorgung
  • Finanzen
  • Gesundheit
  • Industrie
  • Information und Kommunikation
  • Nahrung
  • Öffentliche Sicherheit
  • Verkehr

Nationale Strategie zum Schutz der Schweiz von Cyber Risiken NCS

Der Bundesrat hat am 27. Juni 2012 die «Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS)» gutgeheissen. Mit der Strategie will der Bundesrat in Zusammenarbeit mit Behörden, Wirtschaft und den Betreibern kritischer Infrastrukturen die Cyber-Risiken minimieren, welchen sie täglich ausgesetzt sind.

Als wesentlich für die Reduktion von Cyber-Risiken bezeichnet die Strategie das Handeln in Eigenverantwortung und die nationale Zusammenarbeit zwischen der Wirtschaft und den Behörden sowie die Kooperation mit dem Ausland. Diesen Handlungsbedarf deckt die Strategie mit 16 Massnahmen ab, die bis 2017 umzusetzen sind.

Das ISB hat den Auftrag, die Umsetzung der NCS in Zusammenarbeit mit der Verwaltung, den Kantonen und der Wirtschaft zu koordinieren.

Grundsätze der NCS

  1. Dezentrale Umsetzung – Risikobasierte und Eigenverantwortung
  2. Zentrale Unterstützung – Subsidiäre Unterstützung durch Staat
  3. Flexibilität- Bedarfsgerechte Lösung
  4. Koordination – Public Private Partnership und Swiss Cyber Experts

Swiss Cyber Experts ( Public Privat Partnership)

Swiss Cyber Experts wurde 2014 gegründet, um dem Bund und den Kantonen im Falle gravierender Cyber-Ereignisse mit analysierendem Expertenwissen zur Seite zu stehen. Swiss Cyber Experts und das ISB / MELANI haben einen Kooperationsvertrag abgeschlossen und damit ein PPP begründet.

Die PPP hat zum Ziel, im Falle schwerer Cyber-Übergriffe den Geschädigten dank gebündeltem Expertenwissen effizient eine Diagnose zu liefern.

Übersicht  der Zusammenarbeit

Die Bekämpfung der Cyberkriminalität

Grundlage:

Wenn eine Straftat verübt wird oder wurde, ist es Aufgabe der Strafverfolgungsbehörden (Polizei / KOBIK und Staatsanwaltschaft) das Verbrechen aufzuklären und die Täter zur Rechenschaft zu ziehen.

Cyberkriminalität im engeren Sinn:

Straftaten, die mit Hilfe der Informations- und Kommunikationstechnologien verübt werden oder sich Schwachstellen dieser Technologien zu Nutzen machen.

…..im weiteren Sinn:

Das heisst nutzen das Internet als Kommunikationsmittel, wobei die sich bietenden Möglichkeiten wie zum Beispiel der E-Mail-Verkehr oder der Austausch respektive das Bereitstellen von Dateien für unlautere Zwecke missbraucht werden.

Strafverfolgungsbehörden Cybercrime Kantonale- und Bundeszuständigkeit

Bundeszuständigkeit

Die Bundeszuständigkeit muss der Bundesanwaltschaft per Gesetz ausdrücklich zugewiesen werden. Die Delikte, für welche Bundesgerichtsbarkeit vorgesehen ist, werden in der Schweizerischen Strafprozessordnung (Art. 23 und 24 StPO) sowie in verschiedenen anderen Bundesgesetzen ausdrücklich aufgeführt.

Kantonale Zuständigkeit

Alle anderen Delikte – der zahlenmässig weitaus grössere Teil – fallen in die Zuständigkeit der Kantone. Die Bundesanwaltschaft ist nicht vorgesetzte Behörde der 26 kantonalen Staatsanwaltschaften.

Phänomene und Zuständigkeit der Cyberkriminalität

Massnahmen von den Behörden gegen die Cyberkrimi:

  • DNS_Blocade / PPP Freiwillige Sperrung kinderpornografischer Seiten im Ausland
  • Aktive Recherchen sprich Monitoring
  • P2P-Scan
  • Verdeckte Ermittlungen / Fahndungen

Blick in die Zukunft – Crime as a Service

Verbrechen 4.0

„Cybercrime-as-a-Service (CaaS) is a criminal application of the ‘as-a-service’ model currently revolutionising legitimate business models. For criminals, CaaS offers access to all manner of digital resources needed to commit cybercrimes, such as malicious software (malware), botnets (networks of computers infected with malware), hacking specialists, databases of stolen personal information, penetration testing of potential targets, open-source research, and much more. As in the legitimate business world, CaaS facilitates specialisation by providers; leading to improved quality due to competition, increased market penetration through resellers, and a reduction in resources and skills barriers to entry for aspiring cybercriminals.“