Blöd geklickt ist halb gehackt
Die Infosocietydays 2020 sind mit dem ersten Tag des Swiss E-Government Forum gestartet. Zum Auftakt stand das Thema Sicherheit im Zentrum: von Systemen, von Identitäten und von Demokratien. Ob manipulierte Bundes-Files, E-ID-Referendum oder Fake-News - es gab viel zu besprechen.
Es gibt Sätze, die kann man nicht oft genug wiederholen. Zum Beispiel: Begegnen Sie unerwarteten Mails und ihren Anhängen mit einer gesunden Portion Misstrauen. Oder: Wenn ein Brief von Melani ins Haus flattert, sollte man mit dem Öffnen nicht zu lange warten. Beide Ratschläge werden offenbar auch im Jahr 2020 noch nicht überall beherzigt. Das zeigte der erste Tag des Swiss E-Government Forum 2020 in Bern. Er drehte sich um das Thema Sicherheit.
Es gibt immer einen, der auf Blödsinn klickt
Hard- und Software können noch so sicher sein. Die Cybersecurity jeder Organisation steht und fällt mit dem Faktor Mensch, wie Christian Huber und Rico Zemp vom Beratungsunternehmen Auditron zeigten. Huber und Zemp führten das Publikum zunächst durch den IKT-Minimalstandard-Leitfaden des Bundes. Doch nur zum Schein, denn als die beiden das Assessment-Excel des Minimalstandards ausfüllen wollten, schlug das Unglück zu. Die Website, von der die Datei stammte, war fingiert. Die Datei war mit Schadsoftware verseucht, die per Makro den PC übernahm.
Nicht immer laufe ein Angriff so offen und nachvollziehbar ab, wie in der Demonstration, sagte Zemp. Gehackt werde man früher oder später sowieso. Die Frage laute deshalb nicht ob, sondern wann - und ob man es merke. Dabei helfe es, zwei Security-Axiome im Gedächtnis zu behalten. Erstens: Jede Software hat mindestens eine Schwachstelle in ihrer Programmierung. Und zweitens: Es gibt immer einen Benutzer, der auf irgendeinen Blödsinn klickt. Deshalb seien Phishing-Mails und manipulierte Office-Dokumente immer noch der häufigste Angriffsvektor.
Christian Huber und Rico Zemp: Mit falscher Admin.ch-Seite zum Excel-Hack. (v.l., Source: Netzmedien)
Eine der wichtigsten Massnahmen für mehr Cybersicherheit sei deshalb die Schulung der Mitarbeiter. Sei das nun mit Kampagnen zur Sensibilisierung, sei das mit erzieherischen Massnahmen. Am Ende müsse die Geschäftsleitung allen bewusst machen, dass das Schicksal des Unternehmens und damit auch der eigene Arbeitsplatz von der Sicherheit der IT abhingen. "Der Mensch ist das grösste Risiko", bestätigte Pascal Lamia. "Er ist aber auch die grösste Chance", fügte der Leiter der Melde- und Analysestelle Informationssicherung (Melani) an.
Lamia zeigte, wo in der Cybersecurity heute die Risiken liegen und was Melani dagegen tut. Schweizer KMUs seien häufig Ziel von Ransomware-Attacken. "Es vergeht praktisch kein Tag, an dem wir keine Ransomware-Meldung bekommen", sagte er. Richtig Sorgen machen ihm allerdings jene Fälle, die gar nie bekannt werden, weil die betroffenen Firmen das Lösegeld zahlen. Dabei sei dies die schlechteste Option. Der Trojaner bleibe dabei im System. Viele Erpresser verkauften die Zugangsdaten weiter - und kurze Zeit später sei eine neue Erpressung da. Man könne davon ausgehen: Lösegeld ist wie ein Jahresabonnement.
Der Melani-Leiter hat deshalb auch wenig Verständnis für Organisationen, die auf Warnungen nicht reagieren. Wenn seine Behörde einen Hack vermute, informiere sie den Betroffenen zunächst per Mail. Wenn darauf keine Antwort komme, folge ein Einschreiben. Trotzdem habe es Fälle gegeben, in denen alle Warnungen in den Wind geschlagen wurden, bis es zu spät war. Man solle sich nicht in falscher Sicherheit wähnen. Angegriffen werde alles, was zu Geld gemacht werden könne, sagte Lamia.
E-ID: Jetzt wird's politisch
Wenn es um die Sicherheit von Schweizer IT-Systemen geht, ist ein Thema meist nicht weit: die elektronische Identität (E-ID). Im Prinzip sind sich alle einig, dass es einen offiziell beglaubigten Identifikator im Internet braucht. Doch wie und von wem die E-ID herausgegeben werden soll, darüber gehen die Meinungen auseinander. Nicht weniger als fünf Anbieter tummeln sich aktuell in der Schweiz, sagte Urs Paul Holenstein, Leiter des Fachbereichs Rechtsinformatik im Eidgenössischen Justiz- und Polizeidepartement. Gegen das E-ID-Gesetz des Bundes wurde das Referendum ergriffen, wie Sie hier lesen können.
Vier Köpfe - vier Meinungen zur E-ID: Daniel Muster (IT-Riskmanagement), Urs Paul Holenstein (Eidgenössisches Justiz- und Polizeidepartement), Gerrit Goudsmit (KSD) und Urs Jermann (Schweizerische Informatikkonferenz). (v.l., Source: Netzmedien)
Ob die Schweizer E-ID wie geplant als Public-Private-Partnership weiterbestehen kann, darüber stimmen wir voraussichtlich am 27. September ab. In einem Podium am Swiss E-Government Forum kamen noch einmal alle Argumente auf den Tisch. Die E-ID "SwissID" von Swisssign sei zu unsicher, die Sache gehöre ganz in staatliche Hände, sagte Daniel Muster, Eigentümer der Beratungsfirma IT-Riskmanagement. Das heutige System sei auf dem aktuellen Stand und werde bei Bedarf weiterentwickelt, hielt Holenstein dagegen. Jeder macht, was er am besten kann - dieses Prinzip funktioniere bei der SwissID gut.
Mit der Schaffhauser "eID+" stellte Gerrit Goudsmit eine Alternative zur SwissID vor. Diese E-ID hätten Kanton und Stadt selbst entwickelt, da es keine bundesweite Lösung gab. Mittlerweile gebe es immer mehr Einsatzgebiete für die eID+. Dabei habe es sich bewährt, nicht nur auf die technische Umsetzung, sondern vor allem auf die Services zu schauen, die sich damit nutzen lassen. Muss jetzt also jeder Kanton seine eigene E-ID machen? "Lassen Sie das, warten Sie lieber", sagte Holenstein. Sollte das Referendum im Herbst aber erfolgreich sein, "dann haben wir nichts". Ein neuer Anlauf zu einem E-ID-Gesetz könne noch einmal 5 bis 7 Jahre in Anspruch nehmen. Ob es so ein Gesetz überhaupt braucht, darüber gingen die Meinungen auseinander.
Fake-News und Twitter-Faule
Der Nachmittag des ersten Tages stand im Zeichen der Lösungen. Vorgestellt wurden etwa die Integration der SwissID in E-Gov-Dienste, der Fahrplan des Onlineschalters Easygov.swiss oder die Swissdec-Standards. Bevor die Teilnehmer das Gehörte beim Apéro diskutieren konnten, ging es dann noch einmal um das Thema Sicherheit. Allerdings stand im Abschlussreferat nicht die Sicherheit von Systemen und Daten im Zentrum, sondern die Sicherheit der Demokratie.
Fabrizio Gilardi erforscht den Schweizer Wahlkampf auf digitalen Kanälen. (Source: Netzmedien)
Fabrizio Gilardi, Professor für Politikwissenschaft an der Universität Zürich, ging der Frage nach, ob Digitalisierung und Demokratie zusammenpassen. Dass beides eng zusammenhängt, zeige sich immer deutlicher, sagte er. Das sehe man in der Zunahme von E-Gov-Diensten, neuen Formen der Partizipation und der politischen Meinungsbildung auf digitalen Kanälen. Die Erforschung der Meinungsbildung hat sich Gilardi zur Aufgabe gemacht.
Zunächst die Entwarnung: "Die meisten Leute sehen keine Fake-News, und noch weniger teilen solche", sagte Gilardi. Zwar werde durchaus versucht, mit Desinformationskampagnen auf Social Media Wahlen zu gewinnen, politische Werbung habe dort aber keine grosse Reichweite. Für die Schweiz gelte das noch mehr, als für die USA. Die Kandidaten der Parlamentswahlen im vergangenen Herbst etwa waren - mit Ausnahme von Roger Köppel - auf Social Media vergleichsweise wenig aktiv. Und wenn sie dann mal etwas posteten ging es oft um die Wahlen an sich, nicht um Inhalte.
Sind soziale Netzwerke also Quantité Négligeable im Schweizer Politbetrieb? Nicht unbedingt, sagte Gilardi. Twitter beispielsweise sei für die Medien eine wichtige Informations- und Rechercheplattform. Indem sich Journalisten durch Twitter beeinflussen liessen, wirke die Website also indirekt auf die Schweizer Öffentlichkeit. Und das, obwohl nur wenige den Kurznachrichtendienst nutzen. Trotzdem war Fabrizio Gilardi überzeugt: Digitalisierung und Demokratie stehen nicht im Widerspruch.
Was sagen die Schweizer Parteien zu 5G, E-ID und Bitcoin? Wie wollen sie die IT-Welt in den kommenden vier Jahren gestalten? Und wo liegen die Unterschiede zwischen Jung und Alt? Hier erfahren Sie es.