#Security: 3 Faktoren für eine sichere digitale Schweiz

Cyberangriffe nehmen bedrohliche Ausmasse an. Dennoch gehört die Schweiz 2019 bezüglich Kommunikations­sicherheit zu den Schluss­lichtern Europas, so Experte Michael Hausding.
 
Die Schweiz hat sich mit der "Nationalen Cybersicherheits­strategie 2018-2022" (NCS) ehrgeizige Ziele gesetzt, um die Internet Sicherheit auf ein angemessenes Niveau zu bringen. Hier ein Auszug daraus: "Aus wirtschafts- und gesellschaftspolitischer Sicht muss sich die Schweiz vor Cyber-Risiken schützen, um die Chancen der Digitalisierung konsequent nutzen zu können und den Standortvorteil als sicheres Land zu erhalten. Ein vollständiger Schutz vor Cyber-Risiken ist mit verhältnismässigen Massnahmen jedoch nicht erreichbar. Deshalb muss die Schweiz ihre Resilienz gegenüber Cyber-Vorfällen erhöhen."
 
Offene Sicherheitsstandards für höhere Resilienz
Mehr Resilienz gegenüber Cyber-Vorfällen kann durch offene Sicherheitsstandards erreicht werden. Sie sichern die Schwachstellen der vor langer Zeit entworfenen Protokolle für das Web, E-Mail und das DNS ab. Offen sind die Sicherheitsstandards gleich mehrfach. Sie sind in einem offenen und transparenten Prozess durch die Internet Engineering TASK Force, IETF, entwickelt worden. Der etwas archaisch anmutende Prozess, bei dem Standards mit einem "Rough Consensus" durch "Humming" angenommen werden, hat sich in der Vergangenheit jedoch als effizient und stabil erwiesen. Und er hat verhindert, dass einzelne Akteure gezielt Schwachstellen in ein Protokoll einbauen können. Der Konsens und die offene Verfügbarkeit der Standards führen dazu, dass diese zügig verwendet und in vorhandene Produkte integriert werden.
 
Auch die weit verbreitete Open Source Software, implementiert die neuen Sicherheitsstandards schnell, so dass sie zügig in neue Releases kommen und so einen Beitrag zur Internet Sicherheit leisten könnten. Da alle Internetdienste wie Web- oder E-Mailserver ihre Unterstützung von Sicherheitsstandards allen möglichen Kommunikationspartnern gegenüber offenlegen müssen, lässt sich die Verbreitung der Sicherheitsstandards gut messen.
 
Die Verwendung der Standards wie DNSSEC, DMARC und DANE wird weltweit von Experten empfohlen und ist ein einfache und kostengünstige Massnahme um die Resilienz gegen Cyberangriffe zu erhöhen. Um die vorhandenen und von allen genutzten Kommunikationskanäle Email und Web, sowie das darunterliegende Domain Name System abzusichern, geht kein Weg an diesen offenen und standardisierten Massnahmen vorbei.
 
Die Umsetzung der NCS baut unter anderem auf Risiko- und Verwundbarkeitsanalysen, was garantiert, dass die vorhandenen Ressourcen zielgerichtet eingesetzt werden können. Auch die meisten Organisationen in der Schweiz werden ihre Sicherheitsmassnahmen mit einem Enterprise Risk Management steuern und Massnahmen dort einführen, wo Risiken mit einem grossen Schadenmass oder einer sehr hohen Eintrittswahrscheinlichkeit reduziert werden können. Es sollte also zu erwarten sein, dass als erstes jene Sicherheitsstandards grossflächig eingesetzt werden, die weit verbreitete oder besonders schwerwiegende Angriffe erschweren.
 
Mit DMARC gegen CEO Fraud
Die Betrachtung aktueller Vorfälle in der Schweiz lassen vor allem zwei Phänomene erkennen: Ransomware und Business E-Mail Compromise. Sie werden in einem späteren Schritt für gezielte Angriffe eingesetzt, wie zum Beispiel den CEO Fraud. Dabei lösen Angreifer über gefälschte E-Mails betrügerische finanzielle Transaktionen aus. Die Primärangriffe, die den Angreifern Zugriff auf die Netze und Rechner geben, werden in schätzungsweise 80 bis 90 Prozent aller Fälle mit E-Mails durchgeführt. Die Angreifer haben es hier leicht, da sie gezielt vertrauenswürdige, organisationsinterne Absender vortäuschen und den Nutzern so eine Erkennung erschweren.
 
DMARC, eine Technologie die seit Jahren existiert, erlaubt es, E-Mails mit gefälschten Absenderadressen leichter zu erkennen oder solche sogar erst gar nicht anzunehmen. Trotzdem wird DMARC in der Schweiz nur bei knapp vier Prozent aller .ch-Domain-Namen eingesetzt, so ein Report von Switch.
 
Die Frage ist, wieso eine Technologie trotz vorhandener Bedrohungslage nicht zur Anwendung kommt. Und dies, obwohl sie es entscheidend erleichtern würde, E-Mails zu authentisieren. Eine mögliche Erklärung ist, dass insbesondere bei KMUs das Verständnis, das Know-how und die Ressourcen fehlen. Obwohl DMARC gerade KMUs vor gefälschten E-Mails mit eigenem Domain-Namen schützen würde, wird die Technologie vor allem von den grossen E-Mailanbietern wie Gmail oder Microsoft eingesetzt, um damit ihre mehrere Millionen Nutzenden zu schützen.
 
Netzwerkeffekt als Voraussetzung
Eine andere Erklärung liefert die Tatsache, dass ein Unternehmen mit DMARC primär den Missbrauch seines eigenen Domain-Namens als Absender gefälschter E-Mails verhindert. Seine Nutzenden bleiben weiterhin den Angriffen mit anderen gefälschten Absender-Domain-Namen ausgesetzt. Eine Anwendung wie DMARC führt zu einer kleinen Reduktion des Risikos für alle Internetnutzenden. Das Risikomanagement liefert hier keinen geeigneten Anreiz zur Risikominimierung. Erst durch eine grosse Verbreitung der Technologie lässt sich die Resilienz gegen Angriffe per E-Mail spürbar erhöhen.
 
Dieser Netzwerkeffekt ist typisch für die Verwendung offener Sicherheitsstandards. Sie werden erst wirksam, wenn sie von allen Kommunikationspartnern eingesetzt werden. Deshalb ist es erforderlich, gezielte Massnahmen zu treffen, um eine kritische Masse an Diensten und Nutzenden zu erreichen. Dies gilt auch für andere Standards wie DNSSEC und DANE. DNSSEC schützt vor Angriffen auf das grundlegende Domain Name System, während DANE zu einer sicheren Transportverschlüsselung von E-Mails notwendig ist.
 
HTTPS als gutes Beispiel
Ein Beispiel, wo die Einführung eines offenen Sicherheitsstandards erfolgreich funktioniert hat, ist die Absicherung von HTTP über Transport Layer Security (TLS), kurz HTTPS. Nachdem die meisten Webseiten über Jahrzehnte unverschlüsselt übertragen wurden, werden in der Schweiz mittlerweile über 90 Prozent aller Webseiten über eine gesicherte Verbindung erreicht. Interessanterweise sind auch jene Webseiten mit HTTPS geschützt, die weder sensible noch personenbezogene Daten austauschen, also in Bereichen, wo das Risiko für einen Angriff auf die Vertraulichkeit sehr gering ist.
 
Drei Faktoren für mehr Sicherheit
Zur weit verbreiteten Adoption von HTTPS haben in den letzten Jahren vor allem drei Faktoren beigetragen, die ineinander greifen und sich gegenseitig verstärken:
  1. Die Verschlüsselung von HTTP- Verbindungen wurde mit frei verfügbaren und kostenlosen Certificate Authorities (CAs) wie Letsencrypt entscheidend erleichtert.
  2. Google hat 2014 damit begonnen, eine vorhandene Transportverschlüsselung als Kriterium in das Search Ranking aufzunehmen. Webseiten, die HTTPS verwenden, erscheinen seither weiter oben in der Google Suche. Damit schafft Google einen indirekten finanziellen Anreiz, dass auch Websites, die keine vertraulichen Daten verarbeiten, mit HTTPS geschützt werden. Dies hat zu einer erhöhten Nachfrage nach Hosting Dienstleistungen geführt, bei denen HTTPS einfach eingeschaltet werden kann, oder die Verschlüsselung sogar schon per Default dabei ist. Dank der freien CAs sind die meisten Schweizer Webhoster heute in der Lage eine HTTPS-Verschlüsselung kostenfrei und vollautomatisch bei einem neuen Webhosting mitzuliefern.
  3. Die steigende Verwendung von HTTPS hat schliesslich dazu geführt, dass die Browserhersteller Google und Mozilla dazu übergegangen sind, Webseiten, die keine Transport Verschlüsselung unterstützen, im Browser als "unsicher" zu markieren und damit eine sanfte Art der Regulierung zu implementieren.
Die weit verbreitete Verwendung von HTTPS trägt entscheidend dazu bei, Webdienste vor Angriffen sowie die Privatsphäre der Internetnutzer zu schützen.
 
Wie das Beispiel von HTTPS zeigt, werden offene Sicherheitsstandards umgesetzt, wenn sie einfach und kostengünstig zu implementieren sind und es entsprechende Anreize für die "First Implementers" gibt. Eine Regulierung hilft, dass die Masse an Diensten, die zum Standard gewordenen und auf dem Markt verfügbaren Sicherheitsprotokolle auch tatsächlich nutzt. Dies ist wichtig, da nur die weit verbreitete Umsetzung von Sicherheitsstandards die Resilienz gegen Cyberangriffe auch tatsächlich erhöht.
 
Die Schweiz ist gefordert
Mit der NCS verfügt die Schweiz über die nötige Grundlage, um die Cyberresilienz durch die vermehrte Verwendung offener Sicherheitsstandards zu erhöhen. Die Adoption dieser Standards sollte bei den Betreibern der kritischen Infrastrukturen starten. Der breite Markt folgt erfahrungsgemäss, wenn die Standards auf dem Markt leicht verfügbar, oder sogar per Default eingeschaltet sind.
 
Politik, Industrie und Verbände sollten dabei die aufgeführten drei Möglichkeiten nutzen, wenn sie die Cyber-Resilienz der Schweiz erhöhen wollen, und sich nicht, wie bei HTTPS auf die grossen Player wie Google, Mozilla oder Letsencrypt verlassen. (Michael Hausding)
 
Über den Autor: Michael Hausding studierte Informatik an der TU Darmstadt und MTEC an der ETH Zürich. Seit 2008 arbeitet er als Sicherheitsexperte im Team von SWITCH-CERT und ist auf DNS- und Domain-Missbrauch spezialisiert.

Über #Security: Die Kolumne von Switch über Sicherheit erscheint sechs Mal jährlich. Die Autoren äussern unabhängig ihre Meinung, die sich nicht mit der Redaktionsmeinung von inside-it.ch und inside-channels.ch decken muss.
 
Veranstaltungshinweis: Am 21. November 2019 führt SWITCH eine Fachveranstaltung zur Adoption offener Sicherheitsstandards in der Schweiz durch. Podiumsteilnehmer sind prominente Vertreter aus Politik, Wirtschaft und Verbänden. Informationen und Anmeldung