Swiss Websecurity Day 2022

Wie die Community das Internet sicherer macht

Uhr
von René Jaun und yzu

Cybersecurity ist heute kein Job mehr für Einzelkämpfer. Die Referierenden am Swiss Websecurity Day stellten verschiedene Initiativen vor, die ohne Kollaboration und Community nicht möglich wären. Für kritische Voten sorgte die Überarbeitung des Überwachungsgesetzes.

Die drei Veranstalter: Giancarlo Palmisani (SWICO), Daniel Nussbaumer (SISA) und Urs Eppenberger, Head of Registry & Collaboration (SWITCH) (Source: zVg)
Die drei Veranstalter: Giancarlo Palmisani (SWICO), Daniel Nussbaumer (SISA) und Urs Eppenberger, Head of Registry & Collaboration (SWITCH) (Source: zVg)

Im Casino Bern hat sich am 27. Oktober 2022 alles um das Thema Internet-Security gedreht. Am Swiss Web Security Day sollten aktuelle Sicherheits- und Datenschutzfragen für Schweizer Registrare behandelt werden, wie es in der Einladung zum Event heisst. Dieser Einladung folgten gut 150 Gäste.

Hinter der Veranstaltung stehen drei Organisationen: die Non-Profit-Organisation Switch, die Swiss Internet Security Alliance (SISA) sowie der Branchenverband Swico. "Zusammenarbeit und Kooperation sind entscheidend, um das Internet sicherer zu machen. Sicherheit ist eine Gemeinschaftsleistung, und der Grund, warum die Schweiz eines der sichersten Internet der Welt hat, ist, dass wir eine aktive Gemeinschaft haben, die sich über mehrere Sektoren erstreckt, von privaten bis zu öffentlichen Organisationen", schreibt Michael Hausding, Competence Lead DNS & Domain Abuse bei Switch und Referent am Swiss Web Security Day.

Schweizer Domains absichern

In seinem Vortrag stellte Hausding einige der Massnahmen vor, mit denen seine Organisation Domains mit den Endungen .CH und .LI sicherer macht. Switch, die als offizielle Registrierungsstelle solcher Domains fungiert, überprüft etwa die Anträge auf neue Domain-Namen. Findet das Unternehmen zu viele Anzeichen, die auf bösartige Aktivitäten hindeuten, fordert es vom Antragsteller vor der Freischaltung der Domain zusätzliche Belege ein, wie etwa einen Identitätsnachweis.

Michael Hausding, Competence Lead DNS & Domain Abuse bei Switch, während seines Vortrags (Source: zVg)

In anderen Fällen schafft Switch Anreize für Website-Betreiberinnen und -Betreiber, ihre Domains sicherer zu machen. So sei die Registrierungsgebühr für Domains, die mit dem Standard DNSSEC abgesichert seien, einen Franken günstiger, erklärte Hausding. In den kommenden Jahren will die Stiftung weitere Security-Standards bekanntmachen, wie etwa DANE (DNS-based Authentication of Named Entities). Auch hier soll es einen finanziellen Anreiz für jene geben, die die Standards umsetzen.

Glaubwürdig über Sicherheitsvorfälle informieren

Warum das Thema Cybersecurity wichtig ist, erklärt Switch auf der unlängst überarbeiteten Website "Saferinternet.ch". Dort stehe auch, was zu tun sei, wenn man per Mail eine Sicherheitswarnung der Organisation erhalte. Dabei sei das grösste Problem, dem Betreiber aufzuzeigen, dass es sich wirklich um ein Problem handle und nicht um Phishing, merkte Hausding an.

Anne Hennig, Wissenschaftlicher Mitarbeiterin am Kalsruhe Institut of Technology (Source: zVg)

Tatsächlich sei Cybersicherheit sowohl ein Community- als auch ein Kommunikations-Effort, erklärte Anne Hennig in ihrem Vortrag. Im Rahmen eines Projektes der Secuso-Gruppe (Society & Usability & Society) des Kalsruhe Institut of Technology (KIT) erforscht sie, wie Website-Besitzerinnen und -Besitzer am effektivsten über Sicherheitsvorfälle informiert werden können. Dabei sei Plausibilität das A und O. Dazu gehören nicht nur korrekte Kontaktinformationen, sondern auch eine Möglichkeit, den Inhalt der Nachricht zu verifizieren. Ausserdem müsse in der Nachricht klar zum Ausdruck kommen, dass ein ernsthaftes Problem vorliege und es wichtig sei, zu reagieren. E-Mail sei dabei "ein brauchbarer Kommunikationskanal", sagte Hennig. Unter Umständen sei es aber besser, die betroffenen Personen telefonisch zu kontaktieren.

Noch sind die Forschungsarbeiten nicht abgeschlossen. Laut Hennig erforscht die Secuso-Gruppe aktuell, wie eine Sicherheitswarnung möglichst effektiv und verständlich gestaltet werden kann. Dabei untersucht das Team auch, wer – Hoster, Security-Unternehmen oder Behörde – solche Warnungen am ehesten verschicken sollte.

Gemeinsam sensibilisieren

Viele der am Web Security Day vorgestellten Initiativen wären ohne tatkräftige Mithilfe der Community nicht möglich. Ein anschauliches Beispiel lieferte Netnea-Security-Engineer Christian Folini, der Anfang Woche auch die diesjährige Ausgabe der Fachkonferenz Swiss Cyber Storm moderiert hatte.

Christian Folini, Senior Security Consultant bei Netnea (Source: zVg)

In seinem Vortrag gab er Tipps für den Einsatz von "Modsecurity", einer quelloffenen web-basierten Firewall Applikation. Diese einzurichten sei "a real Pain", doch dank einer grossen Anwendergemeinschaft werde vieles einfacher. So kümmert sich ein von Folini Co-geleitetes Projekt um ein frei verwendbares Regelwerk (Core Rule Set) für Modsecurity. Auch grosse Hyperskaler greifen inzwischen darauf zu. "Nutzen Sie die verfügbaren Supportangebote", ermutigte Folini.

Ein Plädoyer für mehr Zusammenarbeit der Cybersecurity-Community lieferte SISA-Präsident Daniel Nussbaumer. Die Organisation wird finanziell von Akteuren der Schweizer Wirtschaft getragen, beherbergt aber auch Behörden, wie etwa das Nationale Zentrum für Cybersicherheit (NCSC). Die SISA lanciert regelmässig Sensibilisierungskampagnen zu aktuellen Themen, wie zuletzt über Deepfakes, zu denen Sie hier mehr erfahren.

Daniel Nussbaumer, Präsident der SISA (Source: zVg)

Man sei immer auf der Suche nach neuen Vorschlägen und neuen Mitgliedern, "um mehr und grössere Dinge tun zu können", erklärte Nussbaumer und fand: "Cybersecurity should not be a competition". Die SISA steht auch hinter der Informationsplattform iBarry.ch, die im Mai 2022 eine Partnerschaft mit SwissCybersecurity.net eingegangen ist. Die Plattform verfolgt das Ziel, die Schweizer Bevölkerung für digitale Gefahren zu sensibilisieren, wie Sie hier lesen können.

Die in Zusammenarbeit mit iBarry produzierten Beiträge finden Sie hier.

Revision des Überwachungsgesetzes in der Kritik

Thema der Paneldiskussion am Schluss der Veranstaltung war das Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF). Der Bundesrat schickte Anfang 2022 eine revidierte Fassung des Gesetztes und mehrerer Verordnungen in die Vernehmlassung. Bei Ivette Djonova, Head Legal & Public Affairs des Swico sowie Nicolas Sacroug, Legal Counsel bei Proton, kommen die Entwürfe nicht gut weg. Das neue Gesetz ziele über sein Ziel hinaus, führe neue Pflichten für Anbieter ein, verkürze die Fristen und senke die finanziellen Entschädigungen, erklärte Djonova. Der Swico fordere, dass der Gesetzgeber die Aufwände der Anbieter angemessen zur Kenntnis nehmen solle.

Sacroug zeigte auf, dass die Anfragen von Strafverfolgungsbehörden bei seinem Unternehmen jetzt schon drastisch in die Höhe schiessen. Das neue Gesetz löse dieses Problem nicht, sondern schaffe vielmehr neue Probleme. Man sei nicht gegen Überwachungsmassnahmen, stellte er klar. Die Massnahmen müssten jedoch verhältnismässig bleiben und die Privatsphäre der Nutzer nicht gefährden.

Derweil beklagte Andreas Popow von der Staatsanwaltschaft des Kantons Zürich die Zeitspanne zwischen dem Anordnen einer Überwachungsmassnahme und dem Erhalt der Daten. Es dauere oft Wochen, "bis es wirklich läuft". Er räumte ein, dass sich die verordneten Massnahmen in den letzten Jahren verändert hatten: Ging es früher darum, nur ein paar Telefonnummern zu überwachen, seien es heute manchmal mehrere Tausend E-Mail-Adressen. Die meisten Überwachungsmassnahmen würden den Bereichen Drogenhandel, Ransomware und Pädokriminalität angeordnet. Allerdings seien solche Massnahmen vergleichsweise selten: "In der Schweiz kann man ein Berufsleben lang als Staatsanwalt arbeiten, ohne einzige Überwachungsmassnahme anzuordnen, sagte Popow.

Rechtsanwalt Rolf auf der Mauer moderierte die Paneldiskussion (Source: zVg)

Von Moderator Rolf auf der Maur, Anwalt und Partner bei Vischer, auf die in der EU diskutierte Chatkontrolle angesprochen, waren sich die drei Diskutierenden einig: Ein Gesetz, welches die Anbieter verpflichtet, End-to-End-Verschlüsselung auszuhebeln, sei abzulehnen. Was der Bundesrat zu einer möglichen Chatkontrolle sagt, lesen Sie hier.

Nicolas Sacroug merkte an, im Gesetzesentwurf werde eine Chatkontrolle nicht explizit eingeführt, aber auch nicht explizit ausgeschlossen. Wenig verwunderlich, wünschten sich alle drei zum Schluss der Diskussion weniger Unsicherheiten und mehr Klarheit.

Der Web Security Day soll auch nächstes Jahr wieder stattfinden, ein genaues Datum ist noch nicht bekannt, der Termin soll allerdings wieder in den "Cybersecurity-Monat" Oktober, fallen wie es von Seiten der Veranstalter heisst.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_272800