Geleakte Passwörter, schnelle Ransomware und Chatbots für KMUs

Zum 14. Mal hat dieses Jahr das Studerus Technology Forum (Tefo) stattgefunden. Wie gewohnt im Mövenpick Hotel Zürich-Regensdorf. In der Location trifft sich der VAD schon seit Jahren mit seinen Partnern, um sich auszutauschen. 

Um möglichst viele Themen und auch möglichst viele Blickwinkel auf diese zu präsentieren, verteilte sich der Event auf drei Räume. In diesen fanden parallele Präsentationen statt. Ausserdem wartete Studerus 2024 mit vier Hands-on-Workshops auf. Damit will der Disti das grosse Interesse an technischen Vorträgen adressieren, dass die Teilnehmenden gemäss Managing Director Frank Studerus mitbringen. 

"Jährliche Konferenzen wie das Tefo sind immer gut, um auf das vergangene Jahr zurückzublicken", sagte Studerus bei der Eröffnung des diesjährigen Tefos. Für ihn habe es in den vergangenen zwölf Monaten zwei Ereignisse gegeben, die besonders hervorstachen.

Frank Studerus, Managing Director von Studerus. (Source: Netzmedien)

Erstens: Der Product Security and Telecommunications Infrastructure Act - kurz PSTI Act - des Vereinigten Königreichs. Dieser ist seit Ende April in Kraft und soll Consumer vor Cyberkriminellen schützen. Der PSTI Act schreibt unter anderem vor, dass Hersteller keine Produkte mit Standardpasswörtern mehr ausliefern dürfen, oder die User müssen gezwungen werden, das Passwort bei der Inbetriebnahme zu ändern. Ferner müssen Hersteller bekannt gewordene Schwachstellen auf ihrer Website dokumentieren und klar kommunizieren, ab wann Produkte nicht mehr unterstützt und sie folglich keine Firmware-Updates mehr erhalten werden. Verstösst ein Hersteller gegen diese Punkte, muss er eine Busse zahlen, die bis zu 4 Prozent des globalen Umsatzes betragen kann. 

"Am Schlausten ist es, die automatische Aktualisierung der Firmware zu aktivieren", riet Studerus. Es sei aber manchmal auch erschreckend, wie lange End-of-Life-Produkte noch vertrieben werden. "Deshalb solltet ihr beim Verkauf und bei Projekten darauf achten, wie lange diese Produkte überhaupt noch unterstützt werden", empfahl der Managing Director den versammelten Resellern und Systemintegratoren.

Zweitens: Crowdstrike oder wie Studerus es formulierte: "die grösste technische Panne, die es in der IT-Welt jemals gegeben hat". Was können wir daraus lernen, fragte Studerus das Publikum, bevor er erklärte, wie die Kunden deswegen wohl nicht das Vertrauen in die Firma verloren haben. Dies belegte er mit dem Aktienkurs von Crowdstrike. Klar machte der Kurs einen Taucher im Sommer, als die Panne die Aufmerksamkeit der Öffentlichkeit an sich riss. Aber aktuell ist der Wert der Firma deutlich höher als am Anfang des Jahres und deutlich näher am Höchstwert als am Tiefpunkt dieses Jahres. 

Ein Crowdstrike-Update löste am 19. Juli 2024 eine weitreichende IT-Panne aus. Hier können Sie den Fall Revue passieren lassen. 

Der Aktienkurs von Crowdstrike seit Anfang 2024. (Source: Screenshot / www.nasdaq.com/market-activity/stocks/crwd/advanced-charting)

Wo MFA versagt

Für das erste Referat des Tages hatte der Disti einen alten Bekannten zurückgebracht: Ivan Bütler, Mitgründer von Compass Security und Dozent an der Ostschweizer Fachhochschule. Vor sieben Jahren hatte er am Tefo 2017 bereits demonstriert, wie er im Auftrag des SRF den Energieversorger EBL gehackt hatte.

In diesem Jahr sprach er über Passwörter. Mit Compass Security habe er in den vergangenen Jahren 150 Kunden während Ransomware-Attacken begleitet. In den allermeisten Fällen seien die Cyberkriminellen über geleakte Passwörter in die Firmennetzwerke eingedrungen. 

Ivan Bütler, Mitgründer von Compass Security und Dozent an der Ostschweizer Fachhochschule. (Source: Netzmedien)

Bütler legte bei seiner Präsentation einen Schwerpunkt darauf, dass eine Multifaktor-Authentifizierung (MFA) nicht das Ende aller Probleme sei. Gegen eine Man-in-the-Middle-Attacke mit einem Reverse-Proxy helfe MFA nämlich nicht. Bei diesen Angriffen richten Cyberkriminelle einen Reverse-Proxy ein - diese ist beispielsweise der Loginseite einer Bank vorgelagert. Das Opfer gibt seine Zugangsdaten auf der Phishing-Seite ein und der Reverse-Proxy-Server leitet sie an die legitime Seite weiter.

Auch den zweiter Faktor - wie etwa ein One-Time-Password - gibt das Opfer auf der Phishing-Seite ein, wodurch die Cyberkriminellen sich Zugang zum Konto verschaffen können. "Ich sage nicht, dass MFA nichts wert ist. Aber ich sage, dass MFA gegen Man-in-the-Middle-Attacken mit Reverse Proxy nichts wert ist", fasste er zusammen. 

Bütler empfahl, einen Monitor einzurichten, der einen darauf hinweist, falls die eigenen Kontaktdaten beispielsweise auf "Have I Been Pwned" auftauchen. Auf der Website kann man anhand einer E-Mail-Adresse herausfinden, ob die eigenen Zugangsdaten in Datenabflüssen aufgetaucht sind. 

Wenn man dem Bund nicht glaubt

Bütler war nicht der einzige Wiederholungstäter am Tefo 24. Auch Roman Hüssy stand nach eigenen Angaben bereits zuvor auf der Tefo-Bühne. Hüssy ist Co-Leiter GovCERT beim Bundesamt für Cybersicherheit (BACS). Am Tefo 24 sprach er über die Rolle des Staats in Bezug auf Cybersicherheit sowie über die Mission des BACS. 

Zu den Hauptaufgaben zähle der Schutz kritischer Infrastrukturen. Aktuell erachte das BACS schweizweit 1100 Organisationen als kritische Infrastrukturen - dies schliesse beispielsweise die Gesundheitsversorgung aber auch grosse Industrieunternehmen oder Medienunternehmen ein. 

Roman Hüssy, Co-Leiter GovCERT beim Bundesamt für Cybersicherheit. (Source: Netzmedien)

In seiner Präsentation ging er auch auf Ransomware-Angriffe ein. Beim schnellsten Befall, den er jemals gesehen habe, sei das betroffene Unternehmen etwa eine Stunde nach der Infektion verschlüsselt gewesen. Am anderen Ende des Spektrums sei ein Fall, bei dem es etwa drei Monate gedauert habe. "Je länger ein Angreifer benötigt, desto mehr Zeit haben wir, um etwas zu bemerken", sagte Hüssy. 

Das BACS erfahre manchmal von einer Attacke, während sie passiere. Theoretisch könnte man hier noch eingreifen und das Schlimmste verhindern - falls das Unternehmen auf die Warnung des BACS reagiere. "Wie würden Sie reagieren, wenn Sie Freitag nach Feierabend einen Telefonanruf erhalten und ich Ihnen sage 'Hallo, hier ist Hüssy vom BACS. Sie werden gerade gehackt'?", scherzte er. "Wir verlieren viel Zeit, bis wir die betroffenen Personen überzeugen können, dass wir wirklich vom Staat sind und dass sie die Informationen ernst nehmen sollten." 

An dieser Stelle setzte er sich dafür ein, dass Unternehmen eine bestimmte Text-Datei mit Notfallkontakten auf ihren Websites hinterlegen. Die Datei sollte die Bezeichnung "security.txt" tragen und im vordefinierten Verzeichnis "/well-known" auf der Website abgespeichert werden, damit sie auch gefunden wird.

Mehr dazu, warum und wie Firmen auf Websites einen Sicherheitskontakt als “security.txt” hinterlegen sollten, erfahren Sie hier.

KI-Tipps für KMUs

Nicht alle Präsentationen drehten sich um Cybersecurity. Sophie Hundertmark, Chatbot-Beraterin und Dozentin an der Hochschule Luzern, befasste sich mit dem Thema künstliche Intelligenz (KI). Dabei legte sie den Schwerpunkt darauf, wie KMUs die Technologie einsetzen können. 

Unternehmen sollten sich zuerst überlegen, welche Aufgaben wöchentlich, täglich oder noch häufiger anfallen und wie viel Zeit sie dafür benötigen, erklärte Hundertmark. So finde man schnell die repetitiven Aufgaben und genau die seien oft gute Kandidaten für eine Automatisierung durch KI. Wichtig sei aber auch, die mögliche Effizienzsteigerung den neu dazukommenden Datenschutzanforderungen und dem Know-how, das man sich aneignen müsse, gegenüberzustellen. Der Aufwand ende zudem nicht mit der Implementierung. Es sei essenziell, ein paar Monate danach die tatsächliche Effizienz- und Qualitätssteigerung zu analysieren. 

Sophie Hundertmark, Chatbot-Beraterin und Dozentin an der Hochschule Luzern. (Source: Netzmedien)

Ferner gab sie auch ein paar Tipps, wie man möglichst gute Prompts formuliert. So sollte man etwa klar definieren, aus welcher Perspektive der Chatbot antworten soll (Persona), was seine Aufgabenstellung ist (Task), welche Aspekte und Bezüge er berücksichtigen soll (Criteria), welches Ziel mit der Antwort erreicht werden soll (Goal) und in welchem Format oder Tonfall man die Antwort haben will (Format). Und die Antwort, die man erhält, solle man mit zusätzlichen Kommentaren weiter verfeinern (Finetuning).

Am Nachmittag hielt das Tefo weitere Präsentationen bereit. Zu den Highlights des weiteren Programms zählte die Verleihung der Studerus-Projekt-Awards. Wer dieses Jahr einen Preis mit nach Hause nehmen durfte, erfahren Sie morgen im zweiten Teil der Berichterstattung zum Tefo 2024. 

Das Zauberduo Domenico unterhielt die Gäste nach der Mittagspause mit einem "fliegenden" Tisch. (Source: Netzmedien)