Eine Soforthilfefür Unternehmen, die vonCyberattacken betroffen sind
Eine von der IT-Forensik der SUPSI koordinierte Initiative. Start frei für ein Forschungsprojekt für einen fortschrittlichen Simulator, der in der Lage ist, Hackerangriffe zu reproduzieren, die erheblich zugenommen habenvon Paolo Rossi Castelli
Eine Soforthilfe für Institutionen und Privatunternehmen, die von Cyberattacken betroffen sind: Die SOS Cyber genannte Initiative ist am 14. Februar um 14:00 Uhr im Tessin gestartet (eine nicht zufällige Anspielung auf den Valentinstag), mit der gebührenfreien Nummer –0800 800 188– die versuchen wird, vor allem kleine und mittlere Unternehmen zu unterstützen, denen es oft an internen Computerfachleuten mangelt. Der Service ist von Montag bis Freitag von 9 bis 18 Uhr aktiv. Das Verfahren sieht vor, dass der Mitarbeiter des Callcenters eine erste Triage, wie es im Fachjargon heisst, also eine Bewertung der Merkmale der Cyberattacke durchführt. Danach gibt derselbe Mitarbeiter die zur Lösung des Problems erforderlichen Fähigkeiten an und gibt eine Schätzung der Kosten des Eingriffs unter Einbeziehung der Partner der Initiative SOS Cyber ab: Momentan sind es drei (InTheCyber Group, Assidu und Talleri Law Tech Services), die in den Bereichen Technik, Recht und Versicherung tätig sind, unter der Koordination der IT-Forensik des Departements für innovative Technologien der SUPSI (aber in Zukunft können auch andere auf Cybersecurity spezialisierte Unternehmen dieser „Allianz“, wie sie definiert wurde, beitreten). All dies in Zusammenarbeit mit der Handels-, Industrie-, Handwerks- und Dienstleistungskammer des Kantons Tessin und unter der Schirmherrschaft von Cyber sicuro, der 2019 vom Staatsrat eingerichteten strategischen Arbeitsgruppe und kantonalen Anlaufstelle für Fragen zum Thema IT-Sicherheit.
«In den letzten 4 Jahren – erklärte Milena Properzi, Direktorin des Departements für innovative Technologien der SUPSI, während der Pressekonferenz zur Präsentation – hat die Zahl der Cyberattacken um 50 % zugenommen und zwangsläufig ist auch die Bitte um Unterstützung von Unternehmen gewachsen, um zu versuchen, den Schaden zu minimieren und, wenn möglich, zu verhindern. Um schwerwiegende Folgen zu verhindern ist jedoch Teamarbeit erforderlich, bei der eine Art komplexes Ökosystem geschaffen werden soll. SOS Cyber zielt genau darauf ab, den Unternehmen eine schnelle und effiziente Antwort zu liefern».
Aber wie viele Cyberattacken gibt es im Tessin? Es ist schwer, genaue Zahlen zu ermitteln, da die Meldepflicht noch nicht in Kraft ist und viele Episoden vertraulich behandelt werden. «In der Schweiz – sagte der Staatsrat Norman Gobbi – gehen im Durchschnitt 700 Meldungen pro Woche beim Nationalen Zentrum für Cybersicherheit ein».
Es gibt noch viele Unternehmen, die sich der Risiken, denen sie ausgesetzt sind, wenn sie sich nicht optimal schützen, nicht voll bewusst sind. Aber ein „Stoss“ kommt vom neuen Bundesdatenschutzgesetz, das ab dem 1. September dieses Jahres von Unternehmen und Institutionen verlangt, „sich darauf vorzubereiten“, die Schäden zu begrenzen. Andernfalls kann der Versicherungsschutz verloren gehen. «Jedes Unternehmen muss in der Lage sein, eventuelle Schwachstellen seiner IT-Systeme zu erkennen und zu beseitigen – erklärte Alessandro Trivillini, Leiter der IT-Forensik der SUPSI. – Diese mit wissenschaftlichen Methoden durchgeführte „Validierung“ wird für die von einem IT-Vorfall betroffenen Unternehmen entscheidend sein».
Um den Unternehmen zu helfen, nimmt SUPSI zusammen mit anderen Schweizer Partnern auch an einem vom Nationalen Zentrum für Cybersicherheit koordinierten Forschungsprojekt zur Entwicklung eines Simulators für Cyberattacken teil. Aber wie kommen diese Attacken zustande? «Es gibt eine riesige Vielfalt – erklärt Ticino Scienza Andrea Borsetti, Sachverständiger der Branche und Mitgründer von Red Carbon, einem innovativen Startup mit Sitz in Lugano. – Am häufigsten wird versucht, die Daten auf Firmencomputern (Laptops, Netzwerke und andere Geräte) zu beschädigen, um sie unbrauchbar zu machen und dann Lösegeld zu verlangen. Die Sabotage, wenn wir sie so definieren wollen, erfolgt über eine Ransomware genannte Software, die Cyberkriminellen auf verschiedene Weise (direkt oder durch E-Mail-Anhänge, irreführende Werbung und mehr) in die zu infizierenden Computer einschleusen. Der Nutzer ist sich dessen nicht bewusst und wenn er beispielsweise einen Postanhang öffnet, der, gut versteckt, ein spezielles „ausführbares“ Programm enthält, startet er unwissentlich die Ransomware. Diese Software ist in der Lage, die Daten zu verschlüsseln und die Originaldaten zu löschen, wodurch es ohne einen speziellen Entschlüsselungscode nicht möglich ist, sie wieder freizugeben».
Die Lösegeldforderung erfolgt fast immer in Kryptowährung, wobei weniger rückverfolgbare Währungen wie Monero gewählt werden. Wenn sie von Ransomware betroffen sind, versuchen viele Unternehmen, sich zu verteidigen, indem sie infizierte Festplatten löschen, neu initialisieren und Daten aus Backups wiederherstellen. «Aber die ausgeklügeltsten Cyberattack-Systeme – so Borsetti – schaffen es, selbst diese Strategie zunichte zu machen. Auf welche Weise? Die Attacke wird einige Wochen oder sogar einige Monate vor der Aktivierung der Ransomware gestartet. Wenn der Angriff offensichtlich wird und das Unternehmen versucht, die Backupdaten zu benutzen, stellt es auf diese Weise fest, dass auch diese „Reserve“ unbrauchbar gemacht wurde, und eine Wiederherstellung an diesem Punkt fast unmöglich wird. Hacker nennen das Cash Cowing, leichtes Geld: Die Opfer werden zu „Geldkühen“». Es gibt Möglichkeiten, Malware zu erkennen, aber sie sind teuer.
Das Repertoire der Cyberattacken umfasst auch andere Verbrechen, die noch furchterregender sind: «Manchmal – schliesst Borsetti ab – werden die Daten vor der Verschlüsselung gestohlen (ausgeleitet, wie es im Fachjargon heisst) und danach auf dem internationalen Schwarzmarkt weiterverkauft, ohne dass die betroffenen Unternehmen dies in vielen Fällen bemerken. Alles hängt davon ab, wie ihre Systeme konfiguriert sind».
Die Welt des „Hackings“ hat sich im Laufe der Jahre stark verändert. Früher war es eine Art handwerkliche Tätigkeit. Heute ist sie leider zu einer Industrie geworden, die von kriminellen Organisationen (so wie der Drogenhandel), oder sogar – laut einigen Analysten – von Staatsapparaten in Ländern ausserhalb der demokratischen Regeln verwaltet wird. Wie kann man sich verteidigen? Es wird geschätzt, dass die Unternehmen 3 bis 8 % ihres Umsatzes (je nach der Branche, in der sie tätig sind) für Cybersicherheit aufwenden sollten. Aber nur wenige tun das, zumindest in der Welt der kleinen Unternehmen.