Gemeinsam sind wir stärker: Dieser Slogan passt bestens zur Cyberdefence. Wenn private und öffentliche Organisationen in der Cybersecurity zusammenarbeiten, profitieren davon alle. Eine solche Zusammenarbeit kann dabei auf unterschiedlichen Ebenen und mit verschiedenen Beteiligten erfolgen.
Text: Andreas Heer, Bilder: Swisscom
12. Oktober 2023
«Der Schutz der Schweiz vor Cyberbedrohungen ist eine gemeinschaftliche Aufgabe von Gesellschaft, Wirtschaft und Staat.» So steht es in den Grundsätzen der Nationalen Cyberstrategie(öffnet ein neues Fenster) (NCS) vom April 2023. Obwohl die Aussage auf den Schutz öffentlicher Institutionen gemünzt ist, lässt sie sich problemlos verallgemeinern: Eine wirksame Cyberdefence ist auf Zusammenarbeit angewiesen. Ein wichtiges Ziel dieser Zusammenarbeit ist, eine Gesamtsicht über die aktuelle Bedrohungslage zu erhalten. Das hilft, die Schutzmassnahmen entsprechend auszurichten. Aber auch, um Angriffe frühzeitig zu erkennen und zu blockieren.
Um diese Ziele zu erreichen, braucht es die Zusammenarbeit verschiedener Organisationen, betont Vincent Lenders, Direktor des Cyber-Defence Campus(öffnet ein neues Fenster) von armasuisse: «Private und öffentliche Organisation ergänzen sich hervorragend in der Cyberdefence. Öffentliche Organisationen haben einen guten Überblick über potenzielle Bedrohungen. Private Organisationen verfügen dagegen über Informationen zu den Risiken, die für ihr Unternehmen oder ihre Branche typisch sind.»
Der Cyber-Defence Campus pflegt aktiv die Zusammenarbeit zwischen Wirtschaft und öffentlichen Institutionen in Form einer Public Private Partnership (PPP). Diese Zusammenarbeit berücksichtigt dabei verschiedene Themen: «Der Austausch von Informationen über neue Sicherheitsschwachstellen und Technologien ist ein essentieller Aspekt. Aber auch in den Bereichen Ausbildung, Training, Forschung oder Innovation gibt es viel Austauschpotential», sagt dazu Vincent Lenders.
Um die Cyberdefence zu verstärken, vernetzen sich auch die Security-Fachleute, die selbst in der Cyberabwehr tätig sind, beispielsweise zwischen verschiedenen CERTs (Computer Emergency Response Team). «Wir tauschen uns mit anderen Betreibern kritischer Infrastrukturen aus, aber auch mit anderen Managed Security Services Providern», sagt Marco Bruno, der bei Swisscom für die Incident Response bei Kunden verantwortlich ist.
In diesem fachlichen Austausch geht es darum, gegenseitig Wissen auszutauschen, um für künftige Cyberattacken besser gerüstet zu sein. «Wir diskutieren beispielsweise über Ransomware-Fälle und Schwachstellen in Software», sagt dazu Marco Bruno. «Dabei interessieren die Vorgehensweise, aber auch die Spuren der Angreifer.» Entsprechend fallen in solchen Gesprächen häufig Begriffe wie «Indicators of Compromise» (IoC) und «TTP» (Taktiken, Techniken und Prozeduren). Während IoC aufzeigen, welche Spuren auf Angriffe bestimmter Akteure hinweisen, zeigen TTP die Vorgehensweisen der Angreifer auf. Dieses Wissen hilft wiederum der Incident Response bei der Bewältigung von Cyberattacken.
Bei Vorfällen selbst verlagert sich die Zusammenarbeit auf eine andere Ebene, diejenige der Strafverfolgungsbehörden oder des Nationalen Zentrums für Cybersicherheit (NCSC). Oftmals agieren die Cyberkriminellen aus dem Ausland, was die Strafverfolgung erschwert, so die Erfahrung von Marco Bruno: «Bis ein kompromittierter Server im Ausland beschlagnahmt werden kann, sind die Angreifer meistens schon wieder weg.»
Erfolgreicher gestaltet sich die strategische internationale Zusammenarbeit des Cyber-Defence Campus, wie Vincent Lenders ausführt: «Im Rahmen einer Public Private Partnership arbeiten wir zum Beispiel eng mit dem Swisscom Outpost im Silicon Valley zusammen, um uns über Cyber-Start-ups und technologische Entwicklungen auszutauschen.»
Cybersecurity-Fachleute, die sich über aktuelle Vorfälle austauschen: Da geht es häufig um vertrauliche Informationen. Ist das nicht heikel? Marco Bruno und Vincent Lenders winken beide ab. Welche Informationen ausgetauscht werden, ist geregelt. Und Daten wie beispielsweise IP-Adressen, die Rückschlüsse auf eine betroffene Organisation zulassen würden, werden anonymisiert.
Die Herausforderung sieht Vincent Lenders vielmehr in einem anderen Bereich: «Die Hauptherausforderung ist es, Partnerschaftsmodelle zu finden, bei denen beide Parteien gleich viel investieren und gleich viel voneinander profitieren können.» Hier müssen die beteiligten Organisationen ein Modell entwickeln, dass dieses gegenseitige Geben und Nehmen sicherstellt.
Dass sich der Aufwand für den Austausch lohnt, darüber sind sich beide Fachleute einig. «Beide Seiten sollten ihre Ressourcen für eine besser abgestimmte Verteidigung bündeln. Das ermöglicht eine effizientere Cyberdefence», bilanziert Vincent Lenders.