Cyberlagebild der Schweiz, Lob vom FBI und Gefahr für Kinder

Die Swiss Cyber Security Days (SCSD) haben dieses Jahr am 18. und 19. Februar in der Bernexpo stattgefunden. Die Präsentation des Cyberlagebilds der Schweiz gehört schon zur Tradition des Events. Wie jedes Jahr wurde dieses von SCSD-Programmdirektor und Dreamlab-CEO Nicolas Mayencourt zusammen mit Marc K. Peter, Leiter des Kompetenzzentrums für Digitale Transformation an der FHNW und Dreamlab-COO, präsentiert.

Mit nicht-invasiven Scans hätten sie 48'538 bestätigte Verwundbarkeiten in der Schweiz entdeckt. Zudem fanden sie fast 2,5 Millionen potenzielle Schwachstellen. Unter den Funden seien auch seit 2021 bekannte Schwachstellen. "Das bedeutet nichts anderes, als dass jemand vier Jahre lang seinen Job nicht gemacht und weder Betriebssystem- noch Applikations-Updates durchgeführt hat", sagte Mayencourt. Ferner deckte die Untersuchung 6716 exponierte SMB-Ports und über 118'000 exponierte administrative Interfaces auf.

Aargau überholt Zürich

Es sei gut, dass einige Schweizer Unternehmen auch moderne Technologien wie Docker und Kubernetes bereits adoptiert hätten. Nur abgesichert seien diese nicht überall. Gemäss dem Lagebild sind 7 Docker-Registry-Instanzen, 69 Docker-Compose-Dateien und 2137 Kubernetes Default Ingress Controllers derzeit in der Schweiz exponiert. 

Ein weiterer interessanter Befund der Untersuchung: Der Kanton Zürich ist nicht mehr die Nummer 1, wenn es um Command-and-Control-Infrastrukturen geht. Gemeint ist die Infrastruktur, über die Cyberkriminelle mit kompromittierten Systemen und Geräten kommunizieren. "Zum ersten Mal ist der Kanton Aargau stärker vertreten", sagte Marc K. Peter. Zürich liegt aber knapp dahinter auf dem zweiten Platz. Das liegt ihm zufolge auch daran, dass dort viel IT-Infrastruktur und Rechenzentren aufgebaut wurden, die nun als Command-and-Control-Server dienen.

Insgesamt nahm die Anzahl entdeckter Command-and-Control-Server in der Schweiz im Jahresvergleich stark ab. 2024 registrierten sie 13 im Aargau und 12 in Zürich; im Vorjahr waren es allein in Zürich bereits 192. 

"Sind wir noch naiv oder ist das schon Dummheit?"

Mayencourt bezeichnete die Übersicht über die gefundenen Verwundbarkeiten nach eigenen Angaben als das "Hacker-Menü" - "So sehen uns die Angreifer", sagte er. Zugleich sei dies aber auch die To-Do-Liste der Cyberabwehr. 

Ein weiterer Punkt für diese To-Do-Liste: Post-Quanten-Kryptografie. "Die Vereinigten Staaten und ihre Behörden NIST und CISA haben einen dringenden Appell an die Wirtschaft gesandt und auch eine Verpflichtung herausgegeben, dass alle Infrastrukturanbieter in den Vereinigten Staaten ihre Verschlüsselung bis spätestens 2030 quantum-ready machen müssen", sagte Mayencourt. Das sei nicht mehr viel Zeit. Er habe aber auch gute Neuigkeiten. "Die Verschlüsselungssoftware an und für sich ist open source und somit kostenlos. Sie müssen sie also nur herunterladen, installieren, konfigurieren und nutzen." 10,5 Prozent der untersuchten Websites in der Schweiz haben laut dem Cyberlagebild bereits auf eine quantensichere Verschlüsselung umgesattelt. 

Wie und weshalb man schon jetzt quantensicher verschlüsseln sollte, erfahren Sie hier im Hintergrundbericht zum Thema Post-Quanten-Kryptografie.

"Wir müssen die Angriffsfläche reduzieren", sagte Mayencourt. Unternehmen sollten sich stärker in ihren Peer-Gruppen austauschen. Auch sei es nicht verkehrt, einfach einmal bei der Polizei anzurufen - so wisse man bereits, wer die richtige Kontaktperson ist, bevor es zum Ernstfall kommt. Und mit grundlegender Cyberhygiene liessen sich bereits 80 Prozent der Verwundbarkeiten eliminieren. 

"Wir sollten aufhören, uns so naiv im Cyberraum zu bewegen." Aber nachdem er erwähnt hatte, dass er dies schon seit Jahren sage, ergänzte er: "Sind wir noch naiv oder ist das schon Dummheit? Ich bin mir nicht mehr sicher." Etwas sei jedoch klar: Wenn die Abwehr nicht aktiv wird, werden die Cyberkriminellen ganz bestimmt aktiv, wie Mayencourt mahnte. 

Warum Hacker eigentlich nur gut im Googeln sind

Eigentlich hätte ein anderer Speaker des FBI an den Swiss Cyber Security Days auftreten sollen. Dieser sei aber kurzfristig verhindert, erklärte Joel DeCapua, Supervisory Special Agent beim FBI, der für seinen Kollegen einsprang. 

Joel DeCapua, Supervisory Special Agent beim FBI. (Source: Netzmedien)

Es folgte eine zwar nicht improvisierte, aber innert kürzester Zeit vorbereitete Rede, wie DeCapua mit viel Selbstironie zugab. DeCapua skizzierte in seinem kurzweiligen Vortrag, wie sich der Cybercrime gewandelt hat in den vergangenen Jahrzehnten. Früher benötigten Hacker tiefgehende Kenntnisse über Betriebssysteme, Code-Analyse und Hardware-Architektur. "Heute finde ich mit einer einfachen Google-Suche schnell Youtube-Videos mit Anleitungen zum Hacken", sagte DeCapua. 

DeCapua erzählte, wie er selbst bei Capture the Flag Challenges immer das Gefühl hatte, er sei ein schlechter Hacker, weil er nach Anleitungen googeln musste. Er googelte einfach nach Schwachstellen in den zu hackenden Systemen. "Gefunden, kopiert, gehackt!" Später habe er herausgefunden, dass "echte Hacker" und auch Nation-State-Hacker auf dieselbe Weise vorgehen. "Hacker sind einfach sehr gut darin, etwas zu googeln, weil das alles ist, was man können muss." 

Die Dummen und die Gierigen

DeCapua betonte in seiner Rede zudem, wie wichtig die internationale Kooperation bei der Ermittlung von Cyberverbrechen ist. Die Beweismittel seien nie alle in einem einzigen Land. "Es ist zwingend erforderlich, dass die Polizeien zusammenarbeiten", sagte er. 

Hierzulande laufe die Zusammenarbeit sehr gut, sagte der seit einigen Monaten in der Schweiz stationierte FBI-Agent. "Ihr habt Grund, sehr stolz zu sein!" Die Arbeit der Cyber-Ermittlungsteams der Kantonspolizeien und deren Professionalität seien sehr beeindruckend. "Sie können etwas in Wochen erledigen, wofür das FBI Monate brauchen würde." Und von einigen Kantonspolizeien könne sogar das FBI noch sehr viel lernen.

An die SCSD kamen insgesamt etwa 2500 Personen. (Source: Netzmedien)

Aus dem Publikum kam später die Frage, ob man nur die inkompetenten Cyberkriminellen fangen könne; die vorsichtigen würden davonkommen. "Wer in diesem Bereich arbeitet, weiss, dass man zwei Arten von Kriminellen erwischt", sagte der FBI-Agent. "Die Dummen, die Fehler machen, und die Gierigen - und gierig werden sie alle irgendwann", sagte DeCapua bestimmt.

"Kein Kind kann sich allein schützen"

Im Rahmen der SCSD 2025 fand auch ein Gespräch mit Medienvertretern über die zunehmenden Gefahren für Kinder und Jugendliche im digitalen Raum statt. "Kinder und Jugendliche sind im Cyberraum besonders exponiert und vulnerabel", sagte Nicolas Mayencourt, CEO von Dreamlab und Programmdirektor der SCSD. Ausser Mayencourt nahmen an der Pressekonferenz auch Christian Brenzikofer, Kommandant der Kantonspolizei Bern, Regula Bernhard Hug, Leiterin Geschäftsstelle Kinderschutz Schweiz, und Tom Winter, CEO der Bernexpo, teil. 

Brenzikofer von der Kapo Bern zeigte sich besorgt über die wachsende Zahl an Fällen sexueller Übergriffe an Minderjährigen. "Allein im Kanton Bern bearbeitet die Kantonspolizei jährlich zwischen 200 und 250 gezielte Verdachtsfälle", sagte er. "Neben der repressiven Bekämpfung legen wir grossen Wert auf die Prävention. Der Schutz von Kindern beginnt mit Aufklärung und Sensibilisierung -  vor allem in den Schulen." 

Die europäische Polizeibehörde Europol warnt zurzeit ebenfalls vor der zunehmenden Gefahr für Minderjährige im Internet. Onlinegruppen nehmen diese ins Visier, um sie zu manipulieren und zu Gewalttaten zu verleiten, wie Sie hier nachlesen können.

Der Kanton Bern biete seit 2021 ein flächendeckendes Präventionsprogramm an. "Aber es braucht ergänzend auch ein Engagement von den Eltern, Schulen und der ganzen Gesellschaft", fügte der Polizeikommandant hinzu. Ihm war es zudem wichtig, den Anwesenden noch eine Botschaft mit auf den Weg zu geben: "Die Schuld liegt in solchen Fällen immer bei den Tätern", betonte er. 

Die Pressekonferenz an den SCSD 2025 (v.l.): Jürg Walpen, Head of Communications bei Dreamlab Technnologies, Regula Bernhard Hug, Leiterin Geschäftsstelle Kinderschutz Schweiz, Nicolas Mayencourt, Programmdirektor der SCSD und Global CEO von Dreamlab Technologies, Christian Brenzikofer, Kommandant der Kantonspolizei Bern, und Tom Winter, CEO der Bernexpo. (Source: Netzmedien)

Eine Botschaft, die auch Regula Bernhard Hug von Kinderschutz Schweiz wichtig ist. "Kein Kind kann sich allein schützen – und die Eltern auch nicht mehr", sagte sie. "Der grösste Handlungsbedarf, den wir sehen, ist der, dass man dem Individuum die ganze Verantwortung überträgt", sagte sie ferner. Wenn man nur ein bisschen mehr Medienkompetenz habe, so sei man besser geschützt und dann klappe das schon. "Das ist unserer Meinung nach nicht mehr der Fall", sagte sie. "Es ist eine gesellschaftliche Aufgabe."

Safety-by-Design und Privacy-by-Default müssen zum Standard werden

Ein weiteres Problem sieht Regula Bernhard Hug in der stark steigenden Onlinesucht. Je nach Studie würden zwischen 7 und 23 Prozent der Kinder und Jugendlichen in der Schweiz bereits ein problematisches Verhalten zeigen. 

Mayencourt thematisierte dies ebenfalls und kritisierte dabei etwa "die Algorithmen, die nur darauf abzielen, Minderjährige möglichst lange ans Gerät zu binden und diese zu passiven Konsumenten zu degradieren". Dieser konstante Dopaminsturm führe zu Veränderung in der Gehirnstruktur der Minderjährigen und mache sie deutlich anfälliger für psychische Erkrankungen wie Depressionen, Ess- und Angststörungen. "Aber auch wichtige Eigenschaften wie Frustration, Toleranz, Konzentrationsfähigkeit und die Resilienz ganz allgemein entwickeln sich in die falsche Richtung. Dies ist nicht nur eine Gefahr für das Individuum, sondern ist auch in einem gesellschaftlichen Kontext eine äusserst gefährliche Entwicklung: Wir haben schon fast eine Generation verloren."

Regula Bernhard Hug forderte auch von den Tech-Firmen, dass sie mehr Verantwortung wahrnehmen - Safety-by-Design und Privacy-by-Default müssen zum Standard werden. Ausserdem müsse überprüft werden, ob Altersgrenzen eingehalten werden - "und das gerne datenschutzkonform", sagte sie. Die Kinder der Anbieter von Social-Media-Plattformen dürften diese auch erst ab 16 Jahren nutzen, ergänzte Mayencourt. "Sie wissen warum", sagte er. "Sie haben Dopamin-Release-Maschinen gebaut, die darauf angelegt sind, uns süchtig nach Screen-Time zu machen. Und sie tun das verflucht erfolgreich."

Das Konferenzprogramm der Swiss Cyber Security Days 2025 umfasste auch Präsentationen von Bundesrat Guy Parmelin, der die ungenügende Transparenz in der Branche kritisierte, und Korpskommandant Thomas Süssli, der über die erfolgte Zeitenwende und den Beginn des hybriden Kriegs in Europa sprach. Lesen Sie hier mehr dazu.

Ausser einem ausgiebigen Konferenzprogramm bieten die SCSD jeweils auch einen Messebereich. In diesem Jahr zeigten 90 Aussteller, was sie im Bereich Cybersecurity zu bieten haben. Die Stimmen der Aussteller zur diesjährigen Ausgabe der SCSD lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.