Bund verzeichnet weniger Cybervorfälle als 2020
Der Bundesrat veröffentlicht den Bericht zur Informatiksicherheit innerhalb der Bundesverwaltung 2021. Die Zerschlagung von Emotet hat zu einem Einbruch der abgefangenen E-Mails geführt. Insgesamt gab es mit 434 Sicherheitsvorfällen etwa halb so viele Securityereignisse wie 2020.
Der Bundesrat hat seinen Bericht über die Informatiksicherheit innerhalb der Bundesverwaltung im Jahr 2021 veröffentlicht. Die jährliche Bekanntmachung wird gemeinsam mit dem Nationalen Zentrum für Cybersicherheit (NCSC) veröffentlicht. Insgesamt gab es im Jahr 2021 434 Sicherheitsvorfälle, die von den grössten Leistungserbringern des Bundes, dem Bundesamt für Informatik und Telekommunikation (BIT) bearbeitet wurden. Im Vorjahr waren es 834 bearbeitete Vorfälle.
Nicht jeder dieser Sicherheitsvorfälle hätte direkten Schaden für die Bundesverwaltung bedeutet. Zudem habe das Cyber Fusion Center (CFC) des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) über 400 interne Meldungen bearbeitet. Die meisten dieser Meldungen wurden jedoch als nicht kritisch eingestuft. Die weiteren Leistungserbringer meldeten keine besonderen Vorkommnisse.
Weiter heisst es, dass die Bundesverwaltung laufend angegriffen werde, beispielsweise durch breit gestreute E-Mail-Angriffe. Das Spektrum reiche dabei von Massen-Spam-Verteilern über Organisierte Kriminalität oder Hacktivisten bis hin zu vermuteten staatlichen Akteuren. Insgesamt gingen 2021 knapp 140 Millionen E-Mails in die Bundesverwaltung ein. 34,5 Prozent der E-Mails wurden gelöscht, bevor sie beim Empfänger oder der Empfängerin eingingen. Laut dem Bericht ist das ein enormer Rückgang von 160 Millionen empfangenen und 48 Prozent gelöschten E-Mails vom Vorjahr. Grund dafür sei die Zerschlagung der Emotet-Infrastruktur.
Die Grossen IT-Probleme des Bundes
Im Bericht heisst es, dass zu Beginn des zweiten Coronajahres wieder viele Arbeiten aus dem Homeoffice übernommen wurden. Dies führte teilweise zu Bandbreitenproblemen, weshalb der Bund die Bandbreiten erhöhte. Zudem seien Streamingdienste gesperrt worden, was zu einer Entlastung führte. Somit waren beispielsweise Videokonferenzen wieder möglich. Weiter heisst es, dass die Arbeit im Homeoffice grundsätzlich gut funktioniert habe, es hätte keine Sicherheitsvorfälle aufgrund des Homeoffice-Betriebs gegeben. Insgesamt geht aus dem Bericht hervor, dass Mitarbeitende aller Stufen eine wichtige Rolle im Bereich IT-Sicherheit spielen, weshalb sie regelmässig sensibilisiert und geschult werden.
Phishing
Insgesamt haben 2021 dem Bericht zufolge 11 erfolgreiche Phishing-Angriffe auf Mitarbeitende der Bundesverwaltung stattgefunden. 2020 waren es noch 34 erfolgreiche Angriffe. Die hohe Anzahl an Spam-Meldungen, die bei den Mitarbeitenden insgesamt eingeht zeige, dass Phishing immer noch hoch im Kurs stehe. Mitarbeitende der Verwaltung werden dem Bericht zufolge weiterhin auf Phishing-Angriffe sensibilisiert.
Malware
Bezüglich Malware hat es laut Bericht 2021 nur einen Vorfall gegeben, der ein Bundesgerät verseuchte. Im Vorjahr waren es 15. Die Leistungserbringer hätten durch ein umgehendes Vorgehen grösseren Schaden verhindern können.
Skype for Business
Das NCSC hat im Oktober 2021 Angriffsversuche gegen Skype for Business in einem Departement detektiert. Die Angreifer hätten mittels Ausprobieren von Kennwörtern die Konten von drei Mitarbeitenden gehackt. Nach Bekanntwerden wurde umgehend ein Passwortwechsel durchgeführt.
Sperrung von URLs und Domains
Insgesamt wurden 90 Domains im Jahr 2021 gesperrt. Im Vorjahr waren es noch 217. Das NCSC führt die deutlich tiefere Anzahl auf die Zerschlagung der Emotet-Infrastruktur gegen Ende Januar 2021 zurück. Erst nach März hätte die Malware “IcedID” diese neu entstandene Lücke gefüllt.
Externe Sicherheitsvorfälle
Durch vier kritische Sicherheitslücken in Microsoft Exchange konnten dem Bericht zufolge Angriffe aus der Ferne durchgeführt werden. Die betroffenen Exchange-Systeme habe man innerhalb weniger Tage gepatched. Wie im Bericht steht, stellt es eine grosse Gefahr dar, wenn Anwenderinnen und Anwender Software selbst installieren können. Daher wird das auf den Bundesclients unterbunden, was das Risiko stark minimiert. Generell würden Leistungserbringer Risiken verkleinern, indem sie Updates zeitnah installieren.
Veraltete Systeme und Protokolle
Die Departemente meldeten zudem, dass veraltete Systeme und Netzwerkprotokolle zum Einsatz kämen. Aufgrund fehlender finanzieller respektive personeller Ressourcen ist es nur eingeschränkt möglich, entsprechende Protokolle und Systeme zu ersetzen. Für den Grossteil dieser Infrastruktur sei jedoch eine Ablösung respektive Aktualisierung geplant. Einige dieser veralteten Systeme arbeiten laut Bericht zudem in isolierten Netzwerken und stellen keinen Netzwerkverkehr mit dem Bundesnetz her.
Massnahmen
Die Departemente, die Parlamentsdienste und die Bundeskanzlei haben Massnahmen und Aktionen durchgeführt, um die IT-Sicherheit zu stärken. Im Bericht wird beispielsweise aufgeführt, dass Mitarbeitende regelmässig sensibilisiert werden. Auch würden die Zugriffsberechtigungen regelmässig überprüft. Teil der Präventionsmassnahmen sind zudem die Überprüfung mobiler Endgeräte auf die Schadsoftware "Pegasus" und Bug-Bounty-Projekte. Mitarbeitende müssen weiter eine permanente VPN-Verbindung aufrecht erhalten. Auch werden dem Bericht zufolge Makros nun signiert.
Kurz- und mittelfristig soll die IT-Sicherheit mit weiteren Massnahmen gestärkt werden, indem eine Digitalisierungsstrategie eingeführt, die Mitarbeitenden weiter sensibilisiert und auch die personellen Ressourcen verstärkt werden.
Die Grundlage des Sicherheitsberichts sind Berichte der Departemente, der Parlamentsdienste, der Bundeskanzlei, Erfahrungen des NCSC und Sicherheitsmeldungen der Bundesinternen Leistungserbringer. Das NCSC stellt zusammenfassend fest, dass der Sicherheitsstand der Informatik in der Bundesverwaltung der aktuellen Bedrohungslage entspreche, zudem würden bei akuten Bedrohungslagen umgehend die notwendigen Schritte eingeleitet.
Was die Definition von Cybervofällen angeht, könnte sich demnächst einiges ändern. So fordert Digitalswitzerland eine konkrete Definition des Begriffs. Weshalb sich die Anzahl an Cyberattacken dadurch künftig ändern würde, können lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.