“Wir wollen gemeinsam zur «Swiss Cyber Research Community» werden”. Mit dieser Ansage eröffnete Blaise Roulet als Vertreter der Eidgenossenschaft die erste Swiss Cyber Risk Research Conference (SCRRC) an der EPFL. Die aktuellen Bedrohungen und Gefahren von morgen sollen verstanden und die Forschung danach ausgerichtet werden. Das gemeinsame Ziel sei der Schutz vor Cyber-Risiken.

Tagungsbericht, Langversion

IKT: “Zwang zur Ausrichtung auf digitalisierte Wirtschaft und Gesellschaft”

Blaise Roulet, Delegierter des Staatssekretärs für die Forschung und Bildung zum Schutz vor Cyber-Risiken erwähnt in seinem Eingangsreferat die Informations- und Kommunikationstechnologien, die “ständig leistungsfähiger und omnipräsenter” würden. Sie zwängen uns dazu, “uns auf eine immer digitalisiertere Wirtschaft und Gesellschaft auszurichten”. Obschon “zwingen” nicht unbedingt positiv konnotiert ist, weist Roulet auf die “Kehrseite der Medaille dieser aussergewöhnlichen technologischen Entwicklungen” hin. Das wiederum impliziert eigentlich, dass der vorerwähnte Zwang doch auch Positves haben könnte. Zu den Cyber-Risiken gehören laut Roulet Social Engineering, Malware, Phishing, Botnet, DDoS, Defacement, Datendiebstahl, Ransomware, illegales Abhören von Telefonaten und Spionage. Das führt Roulet zur Frage: “Was können wir hier und jetzt gemeinsam gegen diese Gefahren unternehmen?”. Das im Juni 2015 lancierte Nationale Forschungsprogramm (NFP) zum teils verwandten Thema «Big Data» solle “die erforderlichen wissenschaftlichen Grundlagen für die Entwicklung von neuartigen Lösungen im Bereich des Computing liefern, mit denen grosse Datenmengen effektiv und sicher genutzt werden können”. Stich- oder Schlagworte seien Datenanalyse, Algorithmen, Kryptologie, Datenmanagement-Lösungen, Sicherheit oder Zugriffskontrollen. Im Kontext dieser Konferenz ist interessant, dass aufbauend auf die NFP-Projekte “gesellschaftliche und wirtschaftliche Anwendungsbereiche” kritisch untersucht werden sollen, “namentlich auch unter dem Gesichtspunkt der Daten- und Systemsicherheit” sowie unter Aspekten wie Datenschutz oder Schutz der Privatsphäre.

Die Konferenz solle laut Roulet alle 2 - 3 Jahre organisiert werden, sofern das Bedürfnis vorhanden sein sollte.

Threat Intelligence als Schlüssel für das Risikomanagement

Einen Überblick zum Bedrohungs- und Risikomodell der ENISA, der “EU Agentur für Netz- und Informationssicherheit”, gab Analytiker Louis Marinos, Heraklion. Die auf öffentlich verfügbaren Daten basierende “ENISA Threat Landscape” gebe einen Überblick über aktuelle und aufkommende Bedrohungen. Dazu seien über 380 Berichte aus verschiedensten Quellen analysiert worden. Die risiko-, bedrohungs- und vorbeugungsorientierte Reaktion müsse erhöht werden.

Als positive Entwicklungen nannte Marinos unter anderem die stärkere Sensibilisierung auf staatlicher Ebene, um die Cyber-Abwehr in Zusammenarbeit mit anderen Staaten aufzubauen. Das könne zu gemeinsam abgestimmten Massnahmen führen, um Vorfälle zu analysieren, zu beseitigen und um die Urheber zu finden. Der Informationsaustausch in “Threat Intelligence” sowie Forschung und Entwicklung werde verbessert.

Auf der andern Seite müsse ständig mit Angriffen unterhalb des “Radars” gerechnet werden, für welche - sofern sie denn entdeckt werden - Abwehrinstrumente und -methoden weniger ausgereift seien. Infektionen und Angriffe, welche Schwachstellen ausnützten, seien weiterhin aktuell. Ferner seien etwa Ransomare-Kampagnen profitabel.

“Threat Intelligence”, auf der Folie mit Bedrohungsintelligenz übersetzt, basierend unter anderem auf angewandte statistische Modelle, müsse in eine nationale Cyber-Abwehr fest integriert werden. Gemeldete Vorfälle müssten analysiert und das Wissen für eine bessere Abwehr möglichst allen Beteiligten zur Verfügung gestellt werden. Auch in der Geschäftswelt sei wichtig, dass Wissen rund um Cyberrisiken und -Abwehr eine grössere Verbreitung fänden. Dazu müsse in ein besseres “Vulnerability Management” investiert werden.

Spielt die NSA die Rolle des “Teufels” oder der Sicherheitsbehörde?

Dass Virgil Gligor von der Carnegie Mellon University zuerst eine Offenlegungserklärung abgibt, mag nicht erstaunen. Er stütze sich jedoch ausschliesslich auf öffentliche Informationen. Die Frage im Referatstitel beantwortet er einleitend mit “Beides … gemäss einigen (beispielsweise nicht religiösen) Definitionen von Diabolus und Demokratie”. [Teufel oder Diabolus passt wohl beides nicht ganz für Gligors “Devil”, Red.]

Gligor geht den Themenbereich aus Sicht des Forschers an, analysiert und beginnt mit drei Punkten, die es in Zusammenhang mit einer vernetzten Welt gebe.

Erstens sei der Diabolus im Bereich Cyber-Sicherheit ein Gegner, der eine dauerhafte Präsenz in einem Netzwerk eines Verteidigers anstrebe. Dabei könnten grundlegende Unsicherheiten sowohl individueller als auch von Standard-Sicherheitsystemen und -Netzwerken ausgenutzt werden. Ferner könne auf menschliche Schwächen wie Käuflichkeit, Bestechung und Erpressung (“B3”: buy, bribe, and blackmail) gesetzt werden.

Zweitens bestehe in einer Demokratie eine öffentliche Rechenschaftspflicht der Regierung. Die Rechte der Bürgerinnen und Bürger müssten geschützt werden. Diese müssen sich auf rechtsstaatliche Prinzipien verlassen können. Das Gesetz gelte für alle gleichermassen.

Drittens spiele ein (Auslands-) Nachrichtendienst in einer Demokratie die Rolle des Diabolus für diejenigen ausländischen Gegner, welche die Demokratie mit ihren Institutionen und Lebensweisen bedrohten.

Daraus ergäben sich aber auch drei Dilemmas:

Erstens stelle sich in einer Demokratie die Frage nach öffentlicher Rechenschaftspflicht für (geheime) Operationen eines (Auslands-) Nachrichtendienstes: Einerseits sollten keine nachrichtendienstlichen Informationen in die Hände von Spionen, ausländischen Gegnern oder Terroristen gelangen. Andererseits dürften Persönlichkeitsrechte nicht unter dem Deckmantel der Geheimhaltung verletzt werden.

Zweitens müsse sich ein (Auslands-) Nachrichtendienst eines demokratischen Staates die Frage stellen, wie im Cyberspace ausländische Gegner, aber keine eigenen Bürgerinnen und Bürger ins Visier genommen werden können. Können (überhaupt) nur Ausländer überwacht werden? Kann überprüft werden, dass die Überwachung nur nachrichtendienstlichen Zwecken dient? Gibt es eine zuverlässige Freund-Feind-Unterscheidung?

Drittens wollten wir uns als Bürgerinnen und Bürger fragen: Können wir darauf vertrauen, dass unser eigener Nachrichtendienst uns nicht ausspioniert? Eventuell müsste gegenüber Freunden und Alliierten die Frage aufgeworfen werden, ob wir immer noch die gleiche Vision von Demokratie teilten.

Anhand der NSA erläutert der Redner, wie die Dilemmas in den USA angegangen werden. Er erläutert die Mittel und Behörden, die vorgesehen sind, um die Rechenschaftspflicht, also das erste Dilemma, anzugehen und wie diese Pflicht erfüllt werden müsste.

Um das zweite Dilemma zu diskutieren, gehe es um die Frage, ob es sich um genehmigte und korrekte Überwachung handle, die mit den gesetzlichen Vorgaben übereinstimmten. Das anvisierte Ziel seien eigentlich Nicht-US-Personen ausserhalb der USA. Hingegen seien nicht “absichtlich” anvisiert (not targeted “intentionally” [Anführungszeichen vom Referenten]) alle US-Personen - dazu zählen in den USA lebende Ausländer - für die keine rein inländische Überwachung (no wholly-domestic targeting) und kein “reverse targeting” von ausserhalb der USA möglich sein dürfe. Ferner dürfe die Überwachung nicht gegen den vierten Verfassungszusatz (4th Amendment) der USA verstossen. Bei der gesetzlichen Grundlage sei zu unterscheiden zwischen Section 702 des FISA Amendments Act und Section 215 des Patriot Act, der alle drei Monate vom Foreign Intelligence Surveillance Court (FISC) überprüft werde. Dem FISC fehlten jedoch die üblichen Anforderungen an ein Gericht.

  • Bei der Überwachung nach “FISA Section 702” gebe es PRISM für die spezifische Kommunikationsüberwachung mit tiefer Fehlerquote. Fakt sei, dass 91 % aller überwachter Internet-Kommunikation via PRISM erfolge, nicht “upstream”. Bei der Upstream-Überwachung der Backbone-Kommunikation verstosse das Mitschneiden von MCT (Multi Communication Transactions, multiple zusammenhängende Kommunikationsstränge) gegen den 4. Zusatzartikel der US-Verfassung. Als Überwachungserfolge habe es u. a. über 100 Verhaftungen wegen Terrorismus-, Proliferations- und ähnlichen Vorwürfen gegeben.

  • Bei der Überwachung nach “Patriot Section 215” fehle die rechtliche Basis. Es habe Bedenken wegen Verstössen gegen die 1. und 4. Zusatzartikel (1st und 4th Amendment) der US-Verfassung gegeben. Die massenhafte Sammlung von Telefondaten sei beendet worden. Grundsätzlich gebe es beim FISC das Problem, dass die rechsstaatlichen Prinzipien wie Verteidigung durch spezialisierte Anwälte und überhaupt Vertretung der Gegenseite fehlten. Es gebe keine Überprüfung durch eine nächsthöhere Instanz und die technische und externe rechtliche Unterstützung fehle. Die Überwachungserfolge nach “Section 215” seien null entdeckte Terrorismusvorfälle.

Beim dritten Dilemma gehe es um das Vertrauen in den eigenen Nachrichtendienst, wie Gligor ausführt: Zuallererst brauche es Medienfreiheit und Insider-«Leaks». So sei in den USA beispielsweise bekannt oder enthüllt worden, dass die NSA die New York Times ohne richterlichen Beschluss abgehorcht habe und dass zahlreiche Telefonabhörungen durchgeführt worden seien. Andererseits seien durch Enthüllungen zwar öffentliche Debatten geführt worden, was aber auch zu falschen Mythen über die NSA geführt habe. Als Massnahmen seien starke Rechenschaftspflichten einzuführen und einzuhalten. Gesetzgeberische Anpassungen seien vorzunehmen, um das Vertrauen zu fördern und um Missbrauch zu unterbinden. Schliesslich soll die öffentliche Debatte geführt werden, bis alle Alternativen ausgeschöpft worden seien [“Finally, debate until you exhaust all alternatives”].

Als Fazit und Erkenntnisse seien zu nennen:

  • Das Fehlen von Transparenz (“Never Say Anything” [Anspielung des Vortragenden an die 3 Anfangsbuchstaben der Agency]) habe vorhersehbare Konsequenzen wie etwa Mythenbildung und letztlich würde das Vertrauen in den Staat untergraben.
  • Bei Genehmigungen müssten die Gerichte auch einen Anwalt des Überwachungs-Ziels bzw. einen Advocatus Diaboli [Gligor: Devil’s advocate] anhören und nicht nur den Nachrichtendienst als Überwachungs-Antragsteller und -Befürworter. Die Gerichte müssten so den Eindruck vermeiden, die Entscheide würden bloss durchgewunken.
  • Gesetzgeber und Behörden müssten mit der Technologie Schritt halten. Nachrichtendienstliche Regulierungen müssten öfter als bspw. nur alle 10 Jahre überprüft werden. Ferner bräuchten auch technisch bestens gebildete Richter Hilfestellungen, um neue Technologien zu verstehen.

Quantenkryptographie wird zur Cyber-Sicherheit beitragen

“Die Ära der Quantentechnologie hat begonnen!”, sagt Nicolas Gisin, Uni Genf, und zeigt schematisch die Physik eines Beam-Splitters und die Anwendung in einem Quantum Random Number Generators auf. Gisin versucht sodann dem interessierten Publikum “alle physikalische Grundlagen, die wir kennen müssen”, wenn es um Quantenmechanik gehe, beizubringen. Ein Partikel könne gleich an mehreren Stellen fühlen, was geschehe, repräsentiert durch ein Qubit (Quantum Bit) von 0 oder 1. Fakt sei, dass mit dieser Technologie künftig alle heutigen Public-Key-Kryptographiesysteme geknackt werden könnten. Somit werde jede verschlüsselte Kommunikation (bspw. bei Banküberweisungen) entziffert werden können. Public-Key-Kryptographie, wie wir sie heute kennen, würden also obsolet. Wie schnell müssten wir uns Sorgen machen? Dies sei abhängig von folgenden drei Faktoren und Fragestellungen:

  • Wie lange muss die Verschlüsselung sicher sein (x Jahre)?
  • Wie lange wird es dauern, um die bestehenden Infrastrukturen mit einer umfassenden quantenkryptografischen Lösung umzurüsten (y Jahre)?
  • Wie lange wird es dauern, bis ein grosser Quanten-Computer gebaut werden sein wird (z Jahre)?

Demnach gelte das Theorem: Wenn x + y > z, dann müsse man sich Sorgen machen. Wie lange z Jahre sind, sei mit den derzeit grossen Fortschritten und Investitionen nicht näher als mit “bald” zu bestimmen. Der Referent zeigt eine Grafik, bei der die Gefährdung von RSA-Schlüsseln mit 1024 Bit Schlüssellänge nach 2015 in den Risikobereich gerät. Schliesslich zeigt Gisin zahlreiche Forschungsprojekte und existierende kommerzielle Multiplex-Quantum-Channels auf. Er weist aber auch kritisch auf die noch fehlende Zusammenarbeit zwischen Physikern und Kryptologen hin. Es müsse jetzt herausgefunden werden, wo Post-Quantum-Algorithmen dereinst breit eingesetzt werden sollen (bspw. Mobiltelefonie, öffentliche Bereiche, E-Commerce).

Die Sicht des Praktikers zum Schutz kritischer Infrastrukturen

Ralph Langner stellt die These auf, cyber-physische Angriffe seien nicht dasselbe wie «Hacking». Sie würden von Technikern und nicht von «Hackern» durchgeführt. Als Beispiele könnten der Angriff auf das ukrainische Energieversorgungsnetz oder auch Stuxnet angeführt werden. Cyber-physische Angriffe hätten das böswillige Erlangen von Kontrolle und Manipulation zum Ziel. Diese könnten analysiert und erforscht werden. Als Forschungsannahme könne ein cyber-physischer Angriff auf kritische Infrastrukturen getroffen werden, der untragbare Auswirkungen auf die nationale Sicherheit haben könne. Als Axiom könne gelten, dass es nur eine sehr beschränkte Anzahl von verwundbaren, strukturell gefährdeten Zielen gebe. Dies habe den positiven Nebeneffekt, dass Heuristik eingesetzt werden könne, um Verwundbarkeiten zu erkennen und Infrastruktur zu schützen. Als Beispiel könne ein grosser Stromausfall dienen: Wie viele Unterwerke sind kritisch? Welche sind sie? Wie können Cyber-Angreifer einen möglichst langen Unterbruch verursachen? Lagner nimmt ein Beispiel aus der Nuklearsicherheit. Indem die Grundannahmen des Systemdesigns umgangen werden, könnte ein Unfall mit einer nuklearen Kettenreaktion verursacht werden.

Was bleibt uns zu tun?

Mit einem witzigen Schlussvotum geht Martin Vetterli, Forschungsratspräsident SNF und designierter EPFL-Präsident, zusammenfassend der Frage nach, wo die «digitale» Schweiz heute stehe und was die «digitale Strategie» sein könne. Er vergisst nicht, auch auf das Risiko hinzuweisen, dass Datenschutz und Privacy gefährdet seien und erinnert anhand seiner eigenen Fiche an die Fichenaffäre in der Schweiz.

Werden wir angesichts der internationalen Grössen zu einer «digitalen Kolonie»? Lokale Innovation, bessere Sicherheit und besserer Datenschutz als in den USA sowie unsere Stärken in Forschung und Bildung seien fortzuführen. “In der Schweiz müssen wir in den Computerwissenschaften an der Spitze bleiben, wenn wir bei Cyber-Risiken “an der Spitze” bleiben wollen”, sagt Vetterli.

Abgerundet wird die Konferenz mit einem persönlichen und eindrücklichen Beitrag von Claude Nicollier aus seiner Astronauten-Zeit. Nicollier sagt, er wolle auf eine andere Art Risiko und Belohnung aufzeigen, nämlich die der Weltraumforschung. Dort lohne sich der riesige Aufwand.

Digi-Oek.ch/mit Beiträgen/red. wue