asut-Bulletin
Widerstandsfähigkeit
Ausgabe
02/2017
Angriffe auf .ch-Domains sollen sich nicht lohnen

Vor dreissig Jahren hat SWITCH das Internet in die Schweiz gebracht. Was damals noch ein futuristisches Arbeitsinstrument für Hochschulforscher war, ist inzwischen längst zum unverzichtbaren Allgemeingut geworden, zum Rückgrat von Wirtschaft und Gesellschaft. Und damit zur kritischen Infrastruktur. Was SWITCH für die Cybersicherheit in der Schweiz tut, erklärt Martin Leuthold.

Fangen wir ganz vorne an: SWITCH ist so etwas wie das Internet-Telefonbuch für Adressen mit den Endungen .ch und .li. Was steckt eigentlich dahinter?

SWITCH verwaltet, betreibt und schützt die Infrastruktur der länderspezifischen Top-Level-Domains .ch und .il. Hinter jedem Domain-Namen versteckt sich eine einmalige, aus einer Zahlenreihe bestehende Adresse, die sogenannte IP-Adresse. Vereinfacht gesagt sorgt das Domain-Name-System (DNS) dafür, dass Mail- und Webadressen von überall auf der Welt erreichbar sind, indem es den Anfragen die Nummern zuordnet unter denen die gewünschten Inhalte zu finden sind.

Die Schweizer Internet-Endung .ch feiert 2017 ihr 30-jähriges Jubiläum. Wie sah die Geburtsstunde aus?

Der Impuls ist von den Hochschulen ausgegangen: Es war Bernhard Plattner von der ETH Zürich, der das Länderkürzel 1987 bei der Internet Assigned Numbers Authority (IANA) registrierte. Die Rechte an der .ch-Domain übertrug er der gemeinnützigen Stiftung SWITCH, die kurz zuvor vom Bund und acht Schweizer Universitätskantonen gegründet worden war, um die Informatisierung und Vernetzung von Lehre und Forschung zu fördern – zu einer Zeit also, als die Internettechnologie noch in den Kinderschuhen steckte.

Welche Rolle spielt SWITCH heute für die Hochschulen?

Das Bereitstellen des Internetzugangs und von Dienstleistungen wie beispielsweise Identitäts- oder Sicherheitsdiensten für Hochschulen sowie das Betreiben des Schweizer Hochschulnetzwerkes SWITCHlan bleiben ein wichtiges Standbein von SWITCH. Solche National Research and Education Networks (NREN) gibt es in fast jedem Land, weil Forschung auf Vernetzung angewiesen ist und Hochschulen in Bezug auf Konnektivität spezielle Anforderungen haben. Die verschiedenen NREN in Europa sind ihrerseits im europäischen Netzwerk GÉANT zusammengeschlossen und dieses wiederum hängt mit internationalen Hochschul-Netzwerken in den USA, Asien oder Australien zusammen. SWITCH wirkt in diesen internationalen Netzwerken mit und beteiligt sich an zahlreichen technologischen Initiativen und Projekten.

Und daneben verwalten Sie noch immer die .ch-Domain?

Ja, und das ist nicht selbstverständlich. Am Anfang ging es ja nur um ein paar wenige Domainnamen und darum, die Schweizer Universitäten zuerst untereinander und später auch mit der weltweiten Forschungscommunity zu verbinden. Inzwischen hat das Internet eine solche Bedeutung erlangt, dass die .ch-Top-Level-Domain vom Bund als kritische Infrastruktur eingestuft worden ist. Aufgrund der Regulierung durch das Bundesamt für Kommunikation (BAKOM) kann SWITCH seit 2015 ihren Endkundinnen und Endkunden die Registrierung von .ch-Domainnamen nicht mehr direkt anbieten und konzentriert sich ganz auf die technische Verwaltung der .ch-Domainnamen. Letztes Jahr hat das BAKOM dieses Mandat erstmals öffentlich ausgeschrieben. SWITCH hat sich an dieser Ausschreibung beteiligt und unter anderem aufgrund ihres Know-hows und ihrer Kompetenzen im Bereich Cybersecurity den Zuschlag für die Verwaltung der Domain-Namen-Datenbank für mindestens weitere fünf Jahre erhalten.

Das Domain-Name-System zählt heute zu den «kritischen Infrastrukturen», also zu den Systemen, deren Störung schwerwiegende Auswirkungen auf Bevölkerung und Wirtschaft haben. Wie schützt man so ein System?

Das BAKOM stellt bezüglich der Verfügbarkeit des Systems und Integrität der Daten hohe Anforderungen an uns. Das verpflichtet uns dazu, unsere Infrastrukturen entsprechend aufzubauen. Konkret heisst das, dass wir aus Sicherheitsgründen in der Schweiz mehr als ein Datacenter betreiben. Zudem werden die aktuellen Daten stündlich mit einer digitalen Signatur versehen und auf zwei Hidden Primary Nameserver exportiert. Dazu kommen über 60 auf der ganzen Welt verteilte Rechner, die dafür sorgen, dass Webseiten auch von den entlegensten Orten in kürzester Zeit aufgerufen werden können. Es müsste also schon ein sehr schwerwiegender Vorfall eintreten, damit .ch- und .li-Domainnamen nicht mehr erreichbar sind.

.ch- und .li-Domainnamen gehören zu den sichersten der Welt. Wie erklären Sie das?

Ein wichtiger Punkt ist sicher, dass die Schweiz in der Verordnung über die Internet-Domains (VID) frühzeitig die gesetzliche Grundlage dafür geschaffen hat, dass SWITCH in Zusammenarbeit mit dem BAKOM, der Melde- und Analysestelle Informationssicherung MELANI und den Strafverfolgungsbehörden – d.h. KOBIK, der Koordinationsstelle zur Bekämpfung der Internetkriminalität –  für Phishing und Malware-Verteilung missbrauchte Domains innert kurzer Frist deaktivieren kann. Das führt dazu, dass sich Angriffe auf die .ch- und .li-Domains für Kriminelle nicht lohnen, weil sie ihnen schlicht zu teuer zu stehen kommen. Internationale Statistiken zeigen, dass dieses Vorgehen von Erfolg gekrönt ist.

Cyberattacken mit Lösegeldforderungen, Malware, Pishing, bösartige Trolls... Angriffe kommen auch in der Schweiz trotzdem vor – gibt es Zahlen und Trends dazu?

Die Verbreitung von Schadsoftware über «Drive-By» ist für Cyberkriminelle weiterhin sehr attraktiv. Letztes Jahr wurden 1429 .ch- und .li-Webseiten für die Verteilung von Malware missbraucht. Fast alle waren kompromittierte Webseiten, die ein veraltetes Content Management System (CMS) installiert hatten. Im letzten Jahr zeigte sich hier der Trend, dass von den Exploit Kits vermehrt Ransomware installiert wurde. Auch Phishing ist mit 743 Fällen für.ch- und .li-Webseiten weiterhin ein Problem. Hier wurden neben kompromittierten Webseiten vermehrt auch Domainnamen gezielt für Phishing registriert. Wir arbeiten eng mit MELANI zusammen, um solche Domainnamen zu erkennen und so schnell wie möglich zu deaktivieren. Neu ist auch das Phänomen, dass uns kompromittierte Webshops in der Schweiz gemeldet wurden, die Plugins installiert hatten, welche Kreditkartendaten der Kunden an die Täter weitermeldeten.  

   
Aktion und Reaktion: Statistik der Angriffe und der Antwort darauf im Zeitraum von Ende 2010 bis Ende 2016.

 

Immer mehr Dinge und Systeme werden vernetzt – begeben wir uns da nicht sehenden Auges in eine immer fatalere Abhängigkeit?

Im Security-Bereich leben wir tatsächlich in einer sehr interessanten Zeit. Es gibt zwei Megatrends, die sich überlagern und multiplizieren. Auf der einen Seite steht die zunehmende Professionalisierung der organisierten Internetkriminalität, die heute zu einem weltweiten, voll dynamischen und absolut freien Markt geworden ist, sich weder an räumliche Grenzen noch Rechtsräume hält und entsprechend unberechenbar ist. Die Bedrohungslage ist also nicht zu unterschätzen und verändert sich markant. Die Anzahl angreifbarer Geräte und das Schadenspotential pro erfolgreichem Angriff steigen schnell an. Den Teufel an die Wand malen, sollten wir trotzdem nicht: Nicht jede Organisation ist der Bedrohung gleichermassen ausgesetzt. Sie muss die Entwicklung in ihrem Kontext betrachten, ihre spezifische Risikolandschaft evaluieren und dann die notwendigen Massnahmen definieren. Es macht für meine Risikosituation einen grossen Unterschied, ob ich eine lokale Papeterie, das Schweizerische Hochspannungsnetz oder eine weltweit agierende Grossbank betreibe.

Der zweite Megatrend ist die Digitalisierung mit dem Internet of Things und der immer umfassenderen Vernetzung von Systemen, die früher getrennt und gar nie für eine Vernetzung mit dem Internet vorgesehen waren. Dazu kommen auf Anwenderseite Millionen von Gadgets – ohne genügende Sicherheit, weil heute niemand daran interessiert ist, die nötigen Sicherheitsfeatures einzubauen. Für Cyberkriminelle ein Schlaraffenland, weil sie auf einen Schlag Millionen von Devices erreichen können. Es ist dieser Multiplikationsfaktor, der Cyberverbrechen so lukrativ macht. Gleichzeitig stellt die Digitalisierung für den Schweizer Wirtschaftsstandort auch eine riesige Chance dar.

Können Sie das ausführen?

Der verstärkte Einsatz digitaler Technologien und Mittel ermöglicht in vielen Branchen spannende und zum Teil disruptive neue Business Cases – zum Beispiel in der Industrie mit neuen Dienstleistungskonzepten und der Rationalisierung in Logistik und Supply Chain, in der Energieversorgung mit Smart-Energy-Konzepten oder im Gesundheitswesen mit neuen Möglichkeiten im ambulanten Bereich – etwa mit Betreuung zuhause. Wollen wir hier in einer wirtschaftlichen Spitzenposition bleiben, werden wir diese Veränderungen mitprägen müssen. Dass mit steigender Abhängigkeit von IT und Telekommunikation auch die potenziellen Schäden bei erfolgreichen Angriffen wachsen, gefährdet am Ende die Digitalisierung selber – denn ihre Basis ist das Vertrauen: Fehlt beispielsweise das Vertrauen der Bankkunden in das E-Banking, dann werden sie es nicht mehr nutzen wollen. Und wenn ein Unternehmen seinen Partnern misstraut, wird es keine Daten mehr teilen und seine Prozesse nicht mehr in firmenübergreifende Abläufe integrieren wollen. Vertrauen ist eng verknüpft mit Sicherheit. In diesem Sinn kann ein gutes Sicherheitsmanagement ein entscheidender Standortfaktor sein. Darum muss dieses Thema auch den Staat interessieren, der im Cyberraum ebenfalls einen Beitrag zur Sicherheit leisten muss. Gute Zusammenarbeit in Public-Private Partnerships ist hier der Schlüssel.

Wo sehen Sie Handlungsbedarf?

Die organisierte Cyberkriminalität ist weltweit tätig, sehr agil und sie wird immer professioneller. Im Gegensatz dazu sind wir mit unserem föderalistischen System und der direkten Demokratie eher langsam unterwegs. Auch die internationale Zusammenarbeit gestaltet sich durch Staatsgrenzen und unterschiedliche Rechtsräume umständlich. Die ICT-Branche – und damit auch asut – könnten hier einen wesentlichen Beitrag dazu leisten, in der Politik und in der Wirtschaft, und zwar insbesondere in der Unternehmensführung, das nötige Bewusstsein für diese Problematik zu schaffen und fördern.

Eine unserer wichtigen Erkenntnisse ist sicher, dass wir in der Cybersecurity gezielt dasselbe machen müssen, was die Angreifer schon längst tun: Wir müssen Kompetenzzentren bilden, die eng zusammenarbeiten. Gerade in der kleinen Schweiz müssen wir das begrenzte Potential an Spezialisten gemeinsam nutzen, Fachwissen und Informationen teilen sowie Investitionen und Betriebskosten für neue Tätigkeitsbereiche, wie z. B. lokale Threat Intelligence, Detektions- und Reaktionsfähigkeiten, gemeinsam tragen. Was in der Vergangenheit genügte, um die eigenen kritischen Daten zu schützen – beispielsweise durch den Schutz des eigenen Perimeters und die Segmentierung des Firmensetzwerkes –, wird in Zukunft mit Sicherheit nicht mehr ausreichen. Selbst grosse Unternehmen verfügen heute nicht mehr über die nötigen Ressourcen, um den neuen Gefahren allein begegnen zu können. Unser Computer Emergency and Response Team SWITCH-CERT unterstützt die Schweizer Wirtschaft hier bereits: Wir stellen beispielsweise den Hochschulen und einer Gruppe von Banken unser Sicherheits-Know-how und spezifisch aufbereitete Informationen aus unserem langjährig aufgebauten und systematisch gepflegten internationalen Beziehungsnetz zur Verfügung und bieten auch anderen Branchen neutrale Plattformen für die Zusammenarbeit.

Ist denn ein per Definition offenes Netz wie das Internet überhaupt schützbar?

Das Internet vor sich selber zu schützen zu wollen, ist ein eher schwieriges Unterfangen. Da kommen dann so tolle Sachen dabei heraus, wie die Netzsperren, die der Nationalrat Anfang März gesetzlich verankert hat. Bei solchen Schutzbestrebungen besteht immer die Gefahr, dass man an Ende das kaputt macht, was eigentlich gerade die Stärke des Internets ausmacht: Dass es nämlich nicht zentral gesteuert wird und selbst grosse staatliche Organisationen es nicht fertig bringen können, die Meinungsfreiheit völlig zu unterdrücken und ein Land abzuriegeln. Umgekehrt bedeutet das aber tatsächlich, dass Netzwerke nur bis zu einem gewissen Grad vor Angriffen geschützt werden können. Damit müssen wir umgehen.

 

 

Martin Leuthold

Martin Leuthold leitet den Bereich Security & Netzwerk bei SWITCH.

Artikel teilen: Angriffe auf .ch-Domains sollen sich nicht lohnen