Cybercrime
Das Nationale Zentrum für Cybersicherheit ist alarmiert: Die globale Software-Vernetzung macht Schweizer Firmen angreifbar

Die globale Software-Vernetzung macht Schweizer Firmen angreifbar – auch wenn der jüngste Angriff wohl den USA gegolten hat.

Christian Mensch
Drucken
Teilen
Beim Thema Cybersicherheit sind alle Industriezweige betroffen. (Symbolbild)

Beim Thema Cybersicherheit sind alle Industriezweige betroffen. (Symbolbild)

Foto: CH Media

Das Nationale Zentrum für Cybersicherheit (NCSC) ist alarmiert. Auch in der Schweiz ist die Sicherheitssoftware des US-Unternehmens SolarWinds im Einsatz, bei der eine Schadsoftware (Malware) entdeckt worden ist. Die Firma zählt weltweit rund 300000 Kunden. Die Branchenplattform inside-it.ch geht von potenziell 30 betroffenen Schweizer Grossfirmen aus. Alleine die Liste mit Swisscom, Credit Suisse, Nestlé und Novartis zeigt, dass kein Industriezweig verschont ist.

«Sunburst» wird der Hack mittlerweile genannt, der wohl vor Monaten startete. Die Angreifer platzierten einen Trojaner in einer Software, mit der IT-Infrastruktur überwacht wird, auf der Microsoft-Produkte für Geschäftskunden laufen. Mit einem Update, das weltweit 18000 Firmen gewissenhaft installiert haben, wurde die Malware ausgeliefert. Die Hacker überlisteten die Firewalls, indem sie sich selbst als Teil der Feuerwehr ausgeben haben.

Im Griff der Geheimdienste und der Grossunternehmen

Entdeckt wurde der Trojaner angeblich vom Konkurrenzunternehmen FireEye, das einige Tage zuvor bei sich selbst einen grossangelegten Angriff einräumen musste. FireEye ist eine Security-Firma mit Nähe zum US-Geheimdienst CIA, die nicht nur Software zur Abwehr von Cyberangriffen anbietet, sondern auch für den Angriff.

Innerhalb des NCSC überwacht die Abteilung Operative Cybersicherheit (OCS) die Folgen des Hacks auf die Schweiz. Der stellvertretende Leiter Max Klaus sagt, sie hätten von einer «vertrauenswürdigen Quelle» Informationen erhalten und daraufhin die Betreiber kritischer Infrastrukturen informiert und Empfehlungen abgegeben. Zumindest ein Unternehmen habe eine Rückmeldung gemacht.

Swisscom hat bereits die Abwehrsoftware installiert

Eine generelle Meldepflicht für Cybervorfälle gibt es nicht. So könne die Dunkelziffer jeweils «mehr oder weniger» hoch sein, sagt Klaus. Dies soll sich ändern. Der Bundesrat hat erst vergangene Woche angekündigt, eine Gesetzesgrundlage schaffen zu wollen, damit es bei Cyberangriffen auf kritische Infrastrukturen keine blinden Flecken mehr geben werde.

Betroffene Firmen sind zurückhaltend mit der Herausgabe von Informationen. Die Credit Suisse erklärt etwa auf Anfrage, sie kommentiere grundsätzlich keine Fragen im Kontext von Cyber Security. Novartis verweist auf den Software-Hersteller. Die Swisscom schliesslich erklärt, sie habe die Systeme bei sich geprüft, aber keine Indizien für einen Missbrauch gefunden. Der im Eiltempo entwickelte «Killswitch» – ein Hilfsprogramm, mit dem die Schadsoftware neutralisiert werden kann – sei bereits installiert worden. Die Analysen würden jedoch weitergeführt und die Überwachung erweitert.

Nicht nur grosse Unternehmen werden wiederholt angegriffen. Gemäss einer neuen GfS-Studie sind auch kleinere Unternehmen regelmässig betroffen; jedes vierte wurde demnach schon erfolgreich gehackt. Die Firmen fürchten dabei nicht nur finanziellen Schaden oder den Verlust von Kundendaten, sondern ebenso einen Reputationsschaden, der entsteht, wenn der Hack bekannt wird.

Insiderverdacht und ein Börsensturz

Über die Absichten wie über die Urheber des Angriffs auf SolarWinds wird derzeit spekuliert. Die Bundespolizei FBI ermittelt. Die Vermutungen richten sich vor allem gegen eine russische Geheimdienstbehörde, die zuvor schon FireEye attackiert und es auf das Ausspionieren von US-Behörden abgesehen habe. Sie schliessen jedoch auch rein kriminelle Machenschaften nicht aus. Die Operation wird als hochkomplex geschildert, um Daten infizierter Server abzusaugen oder um diese zu fälschen. Doch als Eingangstür wird eine simple Sicherheitslücke durch ein unsicheres Passwort vermutet.

Unklar ist auch, ob der Angriff tatsächlich erst Anfang Woche entdeckt worden ist oder ob auffällige Verkäufe von SolarWinds-Aktien im Vorfeld nicht darauf schliessen lassen, dass Insider vorinformiert gewesen sind. Der Börsenkurs ist mittlerweile eingebrochen. Verloren haben damit auch die Nationalbank, die UBS wie die Banque Cantonale Vaudois – allesamt Aktionäre der SolarWinds.

Aktuelle Nachrichten