In der heute veröffentlichten «Deep Technology Podcast»-Folge spricht Manuel Stagars mit Max Klaus, dem stellvertretenden Leiter für operative Cybersicherheit (OCS) beim Nationalen Zentrum für Cybersicherheit (NCSC). Max Klaus spricht über verschiedene Angriffe, das Internet der Dinge und was zur Erhöhung der IT-Sicherheit zu tun wäre. Dabei setzt er auf Information und Selbstverantwortung: Werden die empfohlenen Gegenmassnahmen – wie etwa das Einspielen kritischer Sicherheitsupdates oder das Ändern von Standardpasswörter – ignoriert, sei dies gewissermassen «Privatsache». Dabei erfährt die Zuhörerschaft leider nicht, dass von solch schlecht abgesicherten bzw. gewarteten Systemen auch erhebliche Gefahr für Dritte ausgehen kann.
Cyberangriffe
Im Jahr 2020 gab es in der Schweiz rund 10’000 Meldungen zu IT-Sicherheitsvorfällen aka «Cyberangriffe». Diese beinhalten aber auch Meldungen darüber, dass das Internet nicht mehr gehen würde. Auf der anderen Seite besteht aber auch noch keine Meldepflicht. Wie viele Vorfälle es tatsächlich sind, ist daher schwierig zu sagen. Meistens gehe es gemäss Max Klaus um Betrug, also Phishing, indem beispielsweise zur Eingabe von Bankdaten aufgefordert wird.
Viele dieser Angriffe kommen von professionellen, kriminellen Organisationen, die wie normale Firmen aufgestellt sind, inklusive Ferienplanung. Die ausgenutzten Sicherheitslücken können im Darknet ge- und verkauft werden. Alles sei extrem professionell. Der schlimmste Fall wäre ein flächendeckender Stromausfall durch einen Hackerangriff. Es brauche aber extrem gutes Know-how, um diese Systeme lahmzulegen. Die Kontrollsysteme sind normalerweise von anderen Computern und dem Internet getrennt. Jedoch gebe es auch kein zu 100 Prozent sicheres IT-System.
Oft seien die Mitarbeiter:innen, sprich der Faktor Mensch, das grösste Risiko. Sei es durch das unabsichtliche Öffnen von verseuchten E-Mail-Anhängen. Oder auch in böswilliger Art und Weise, indem Daten gestohlen (und verkauft) oder Systeme sabotiert werden. Bei grossen Angriffen seien meistens Insider mit speziellem Wissen im Spiel.
Deep Technology Podcast
Der technologische Fortschritt wirft Fragen auf: Wie steht es um die Zukunft der Arbeit, Datensicherheit oder das Recht auf Privatsphäre? Diktieren Technologien eine neue Realität oder haben wir die Zukunft noch in der Hand? Im Deep Technology Podcast (RSS) diskutieren Menschen in der Schweiz neue Technologien, ihre Hoffnungen, Sorgen und Ängste. Ab dem September 2021 erscheint die zweite Staffel, produziert von Filmregisseur, Autor und Podcaster Manuel Stagars.
Internet der Dinge
Das Internet der Dinge werde kommen und jedes Gerät werde einen Chip drin haben. Fernseher mit Sprachsteuerung würden oft pausenlos mithören, wobei man nicht wisse, wer am anderen Ende der Leitung sitze. Max Klaus findet, dass es niemanden etwas angeht, was in den eigenen vier Wänden gesprochen wird. Man könne sich dagegen schützen, indem man die Standardpasswörter ändere. Die wenigsten Leute machten dies jedoch.
Auch Häuser würden immer mehr automatisiert. Und wer denke schon daran, für seinen Lichtschalter regelmässig Sicherheitsupdates einzuspielen. Doch sei jede Person letztendlich selbst für die Sicherheit ihrer eigenen IT verantwortlich. Entsprechend müsse man seine Hausaufgaben machen, sich weiterbilden und zumindest oberflächlich einlesen. Aber am wichtigsten sei nach wie vor der gesunde Menschenverstand.
Dos and Don’ts
Max Klaus würde sich nie ein selbstfahrendes Auto kaufen. Zu anderen technologischen Entwicklungen, die er lieber nicht mitmachte, wenn er denn eine Wahl hätte, gehört die «Cloud». Vertrauliche Daten sollte man auf keinen Fall in eine Cloud hochladen.
Als Firma müsse man unbedingt eine Krisenplanung haben. Technische Massnahmen alleine würden nicht ausreichen. Die Unternehmen müssten Vorbereitungen treffen, um auch bei einem IT-Ausfall weiterarbeiten zu können. Zudem brauche es ein Krisenkommunikationskonzept.
Max Klaus› Wunsch ist es, dass die Menschen sich den Risiken ihrer IT-Systeme bewusst werden, aber sich mit den richtigen Massnahmen auch risikolos im Internet bewegen können.
Würdigung
Max Klaus bedient im Gespräch weitgehend Allgemeinplätze. Manche Aussagen sind ungenau, falsch oder kratzen bloss an der Oberfläche der Thematik.
Den Begriff «Cloud» pauschal auf den alten Ausspruch «is just someone else’s computer» zu reduzieren, ist schon lange überholt. Auf die Selbstverantwortung zu appellieren und darauf zu hoffen, dass sich Menschen in der Schweiz von sich aus ins Thema Quantencomputer einlesen, um sich damit verbundener Risiken bewusst zu werden, wird der Problematik nicht im Ansatz gerecht. Allenfalls auch die Hersteller in die Pflicht zu nehmen – beispielsweise im Rahmen einer Produkthaftung – fällt mit keinem Wort.
Alles in allem wirkt Max Klaus eher hilflos, wenn er beispielsweise dazu rät, Geräte aufzuschrauben und nachzusehen, ob da ein unerwünschter Chip drin ist, um deren Risikopotenzial abzuschätzen.