Christian Folini über die Ransomware-Attacke gegen Xplain
Seit dem Cyberangriff auf Xplain ist die Sicherheit von Software-Lieferketten beim Bund ein heiss diskutiertes Thema. Christian Folini, Security Engineer bei Netnea und Program Chair bei Swiss Cyber Storm, sagt im Interview, was Behörden und Unternehmen tun müssen, um ihre IT abzusichern.
Dieses Interview ist erstmals am 06.12.2023 erschienen und nun aufgrund der Stellungnahme von Xplain-CEO Andreas Löwinger neu publiziert worden.
Mit dem Angriff auf die Schweizer Firma Xplain kam das Thema Supply Chain Security in der Schweiz in die Schlagzeilen. Hat Sie der Vorfall überrascht? Und wenn ja, inwiefern?
Christian Folini: Der Vorfall an sich hat mich nicht überrascht, denn an Data Leaks und erfolgreichen Ransomware-Attacken mangelt es ja wirklich nicht. Erst als Xplain immer wieder Schlagzeilen machte und der CEO in der Presse verkündete, dass Sicherheit für einen Softwarehersteller wie Xplain keine grosse Rolle spiele, begann ich mich mit dem Fall auseinanderzusetzen. Dies deckte sich mit dem Bild, das die Firma im Internet von sich abgab, und damit war für mich die Supply-Chain-Problematik unerwartet deutlich auf dem Tisch.
Was kann und muss die öffentliche Hand tun, um die Cybersicherheit in den Griff zu bekommen?
Sie muss Sicherheit einfordern und sie muss Sicherheit vorleben. Das bedeutet nicht, dass man immer mehr Security-Personal einstellt. Vielmehr muss die Führung die Zusammenarbeit mit unsicheren Partnern beenden und Projekte, welche die entsprechenden Anforderungen nicht erfüllen, terminieren. Das sind schmerzhafte, aber sehr starke Signale, die den Kurswechsel deutlich machen und intern einen Kulturwandel bewirken können.
Kritik gefallen lassen muss sich auch Xplain. Warum?
Ich kenne die Interna dieses Falles nicht. Aber was öffentlich bekannt ist, stellt der Führung der Firma ein schlechtes Zeugnis aus. Die Firma hat bei der Softwareentwicklung nach eigenem Bekunden wenig Augenmerk auf die Sicherheit gelegt, sie hat verschiedene Security Best Practices ignoriert, sie hat veraltete und nachweislich unsichere Server betrieben, sie hat den Zugriff von Bundesangestellten auf diese Server nicht gebührend gesichert und sie hat hochsensible Daten des Bundes veruntreut. Mit diesem Leistungsausweis dürfte es die Firma eigentlich nicht mehr geben. Tatsächlich hat die öffentliche Hand als Hauptkundin diese Praktiken aber über Jahre toleriert oder noch nicht einmal bemerkt. Auf jeden Fall wurde eine höhere Sicherheit nicht mit dem nötigen Nachdruck eingefordert und man kann deshalb argumentieren, Xplain habe lediglich das Minimum an Sicherheit geliefert, das die öffentliche Hand eingefordert habe. Bei allen Schwächen von Xplain neige ich aus marktwirtschaftlicher Sicht zu dieser Argumentation.
Im KMU-Land Schweiz dürfte es von Xplain-ähnlichen Firmen wimmeln. Wie können all diese Unternehmen ihre Cybersecurity ins Lot bringen? Und wer bringt sie dazu, dies zu tun?
Das ist ein weiter Weg. Aber er beginnt mit der Erkenntnis der Geschäftsleitung, dass die Sicherheit nicht mehr länger ein Kostenfaktor ist, sondern ein Enabler, der es überhaupt erlaubt, morgen noch IT-Dienstleistungen zu verkaufen. Wenn sich diese Überzeugung durchgesetzt hat, dann geht es darum, mit den beschränkten Mitteln eines KMUs das Maximum an Security herauszuholen. Meine persönliche Meinung ist, dass dabei gewissenhafte Mitarbeitende mehr bringen als teure kommerzielle Software.
Sie haben in der Vergangenheit darauf hingewiesen, dass Xplain seine Lösungen Closed Source entwickelt. Warum ist das problematisch?
Es ist zuerst einmal problematisch, weil die Kunden kaum noch überprüfen können, ob die Entwickler sauber gearbeitet haben. Sie kaufen eine fertig paketierte Blackbox, die sie kaum noch mit der Sicherheitsbrille bewerten können. Beim Kauf einer Open-Source-Entwicklung haben Kunden die Möglichkeit, sich ein eigenes Bild zu machen. Gerade bei Supply-Chain-Risiken bringt das Vorteile, denn sie können die Komponenten des eingekauften Produkts in das eigene Tracking aufnehmen. Wenn dann ein gravierendes Security-Problem in einer Komponente bekannt wird, werden sie zum Diskussionspartner des Herstellers. Diese verbesserte Position trägt zur Sicherheit bei. Und dann spielt auch noch der gesunde Menschenverstand hinein: Ich arbeite sorgfältiger, wenn ich weiss, dass zukünftige Kunden vor dem Kauf meinen Source Code untersuchen können. Das Letzte, was ich in einem Verkaufsgespräch hören will, sind abschätzige Bemerkungen zur Qualität meines Codes.
In den vergangenen Jahren kam es auch im Open-Source-Umfeld mehrfach zu Angriffen über die Supply Chain. Wo müsste man ansetzen, um derartige Probleme zu entschärfen?
Die Menge an Open Source entwickelter Software ist immens. Es ist ein sehr buntes Feld mit tausenden von kommerziellen Anbietern und abertausenden von Hobby-Entwicklern und -Entwicklerinnen. Viele dieser Entwickler machen Fehler bei der Arbeit, weil sie zu wenig Security-affin sind oder weil ihnen schlicht die Zeit fehlt. Ich glaube, Firmen, die Open-Source-Software einsetzen, wären gut beraten, für eine adäquate Ausstattung der Entwickler ihrer Softwarekomponenten zu sorgen. Das vermindert die Gefahr, dass die Supply Chain zur Achillesferse der eigenen Software wird. Eine einzelne Firma hat da nur beschränkt Einfluss, aber die Lage verbessert sich, wenn viele Firmen gemeinsam etwas bewegen.
Mit welchen Strategien oder Initiativen versucht die IT-Branche, ihre Lieferketten abzusichern?
Die Supply Chain ist ein immens grosses Problem und gerade bei Softwareentwicklungen fehlt uns eine etablierte Methodik, um zeitnah die Qualität einer Software bewerten zu können. Dazu kommt, dass Software aus guten Gründen gerne hunderte bis tausende von Open-Source-Komponenten beinhaltet. Wir müssen vermuten, dass einzelne dieser Komponenten oder zumindest einzelne Code-Änderungen eine sehr schlechte Qualität aufweisen, aber wir wissen nicht, wie wir sie identifizieren können. Nun aber sämtliche Komponenten durch Eigenentwicklungen zu ersetzen, ist weder praktikabel noch zielführend. Was wir heute tun können und was als Best Practice gilt, ist, die verschiedenen Komponenten zu erfassen und aktiv zu tracken. Die effektive Umsetzung der immensen Menge an Infrastrukturinformationen in bessere Security ist aber noch unklar. Es kommen so viel mehr Updates zusammen, als eine einzelne Firma bewerten und bearbeiten kann.
Lassen Sie uns noch über ein anderes Thema sprechen, für das Sie sich stark engagieren: E-Voting. Die Schweiz unternimmt zurzeit einen neuen Anlauf; die jüngsten Versuche fanden in drei Kantonen während der Parlamentswahlen 2023 statt. Wie beurteilen Sie das jetzige Vorgehen?
Ich sehe mit Wohlwollen, dass die Schweiz zum Grundsatz "Sicherheit vor Tempo" zurückgekehrt ist. Ich halte dieses Vorgehen für richtig, denn der Schnitzer des Bundesamtes für Statistik bei der Berechnung der Parteistärken in Prozent hat uns vor Augen geführt, dass die Politik und die Bevölkerung wenig Toleranz gegenüber Fehlern bei Abstimmungs- und Wahlsystemen zeigen. Es interessierte in diesem Zusammenhang niemanden, dass es beim Fehler gar nicht um E-Voting ging, sondern um eines der zahlreichen elektronischen Hilfssysteme, die bei herkömmlichen Wahlen und Abstimmungen zum Einsatz kommen.
Noch immer gibt es kritische Stimmen, die bezüglich E-Voting vor einer Gefährdung der Demokratie warnen. Was halten Sie von dieser Kritik?
Wir müssen diese Kritik sehr ernst nehmen. Abstimmungen und Wahlen haben viel mit Vertrauen zu tun. Dieses Vertrauen der Bevölkerung muss sich E-Voting erst erarbeiten. Ich glaube, das braucht viel Zeit. Tatsächlich halte ich einen unbemerkten erfolgreichen Angriff auf die E-Voting-Systeme der Post und der Kantone für schwer vorstellbar. Für sehr gut vorstellbar halte ich demgegenüber die Behauptung, beim E-Voting sei mit den Resultaten getrickst worden. So eine Behauptung ist rasch in die Welt gesetzt und in der richtigen politischen Konstellation kann sie grossen Schaden an unserer politischen Kultur anrichten.
Welche Cybersecurity-Themen treiben Sie aktuell sonst noch um? Und für welche wünschten Sie sich mehr Aufmerksamkeit?
Ich habe die Finanzierung von Open Source Entwicklern bereits angesprochen. Dieses Problem spielt über die Supply Chain in alle unsere Digitalisierungsprojekte hinein. Dann schaue ich recht gebannt auf die Bestrebungen verschiedener Regierungen die Kommunikation der Bevölkerung auf ihren Endgeräten zu überwachen. Das halte ich für ein Spiel mit dem Feuer. Und ferner gelange ich langsam zur Ansicht, dass die neuen, geistig recht beschränkten KI-Modelle intelligent genug sind, um die Vielzahl von Sicherheitslücken auszunützen, die bisher aus Ressourcengründen von den Angreifern ignoriert wurden. Einen ähnlichen Aufschwung sehe ich bei Phishing Scams, die sich KI-Methoden und Deepfakes zu nutzen wissen.
An der letzten Swiss Cyber Storm Konferenz sprach Christine Bejerasco, CISO von Withsecure, über das Prinzip Secure by Design. Sie zeigte sich optimistisch, dass wir auf gutem Weg sind, viele Cybersecurity-Probleme zu lösen. Wie lautet Ihre Prognose?
Ich sehe einen Evolutionsprozess am Werk, der erst vor 20-30 Jahren richtig begonnen hat. Das heisst, wir haben noch nicht sehr viel Erfahrung gesammelt, wie man sichere Software schreibt, oder wie man Server sicher betreibt. Secure by Design ist damit oft noch Wunschdenken. Aber ich sehe deutliche Fortschritte an vielen Fronten und ich bin auch sicher, dass wir die Sicherheit auf ein adäquates Niveau heben können, wenn wir das wirklich wollen.