SCSD: Was der Bund in Sachen Cybersecurity macht
Die Schweiz hat nun auch eine nationale IT-Security-Fachmesse. Die "Swiss Cyber Security Days" fanden am 27. und 28. Februar in Freiburg mit namhaften Referenten aus Politik, Forschung und Wirtschaft statt. Ein Fokusthema: Was macht der Bund in dem Bereich?
"Let’s make the world safer." Unter diesem Motto fanden am 27. und 28. Februar die ersten "Swiss Cyber Security Days" (SCSD) statt. Mit einem Mix aus Referaten, Messe und Networking wollen die Veranstalter nach eigenen Angaben eine Brücke über den Röstigraben schlagen. Zu diesem Zweck fand der Anlass in Freiburg statt.
95 Aussteller zeigten den etwa 2000 Besuchern auf einer Fläche von 1500 Quadratmetern, was sie zum Thema IT-Security beizutragen haben. Dazu gehörten Swisscom, Cisco, Trend Micro, Kudelski, Samsung und IBM. Ergänzt wurde die Messe von 40 Vorträgen namhafter Referenten.
Die "Swiss Cyber Security Days 2019" fanden im Forum Freiburg statt. (Source: Netzmedien)
Organisiert wurde der zweitägige Event von Beat Kunz, Philippe Crausaz, Vincent Bifrare und Jacques Boschung, welche zu diesem Zweck die Firma Cyber Resilience gegründet hatten.
Melani soll auch KMUs und Bevölkerung stärker ansprechen
Die SCSD richten sich gemäss Veranstaltern an alle, die sich mit Cybersecurity befassen – von Fach- über Führungskräfte bis hin zu politischen Entscheidern. Letztere hatten auch bei den Vorträgen ein Wörtchen mitzureden.
So sprach etwa Pascal Lamia darüber, was der Bund in Sachen Cybersecurity macht. Lamia leitet die Melde- und Analysestelle Informationssicherung (Melani). "Cybersicherheit geht alle etwas an – Verwaltung, Politik und auch jede einzelne Person in der Schweiz", sagte er. "Darum müssen auch alle anpacken."
Pascal Lamia, Leiter der Melde- und Analysestelle Informationssicherung (Melani). (Source: Netzmedien)
Die zukünftige Haltung der staatlichen Organe sei klar: "Wir müssen mehr informieren, als wir das bisher gemacht haben und vor allem müssen wir auch mehr sensibilisieren." Ein weiterer wichtiger Punkt sei auch der Blick über den Tellerrand. Die Schweiz solle auch aus Cybervorfällen im Ausland lernen und nicht die gleichen Fehler wiederholen.
Nun wurden 29 konkrete Massnahmen definiert. So soll Melani etwa stärker KMUs und die Bevölkerung adressieren und entsprechende Produkte entwickeln. Ferner sollen in kritischen Sektoren Minimalstandards für die IT-Security eingeführt werden. Auch eine Meldepflicht wird derzeit erarbeitet.
Auf Bundesebene wird es neu eine Cyber Verordnung geben – die rechtliche Grundlage für das geplante Cyber-Kompetenzzentrum. Es soll gemäss Lamia bis spätestens Ende Jahr stehen und 2020 in Kraft treten.
Was Cyberrekruten nach der RS machen
Robert Flück, Oberst im Generalstab der Schweizer Armee, griff das Thema wieder auf und sprach über die Cyberrekruten und wie die Armee diese ausbildet. Wichtig sei aber auch, was nach der Rekrutenschule passiert: Daher bemühe sich die Armee um eine zivile Anerkennung des militärischen IT-Security-Lehrgangs.
"Der Cyber-Lehrgang hat nicht den Anspruch, eine akademische IT-Ausbildung zu ersetzen", betonte der Oberst. Aufgrund der Länge der Ausbildung – 41 Wochen – wird er als 1 Jahr Berufspraxis angerechnet. Danach ist man zur Prüfung "Cyber Security Specialist" von ICT-Berufsbildung zugelassen. "Zudem beabsichtigt die HSLU den Lehrgang mit 21 ECTS anzurechnen", ergänzte Flück.
Lehrgang soll für Frauen attraktiver werden
Für den Cyberlehrgang der Armee könnten sich grundsätzlich alle neuen Rekruten anmelden. Die Armee suche primär jedoch nach Anwärtern mit einer Matura, einer abgeschlossenen Berufsausbildung zum Informatiker (jeweils Mindestnote 5) oder Autodidakten.
Robert Flück, Oberst im Generalstab der Schweizer Armee. (Source: Netzmedien)
"Wir hoffen, bald auch eine Frau im Lehrgang begrüssen zu dürfen", sagte Flück. "Wir haben nun ein konkretes Paket an Massnahmen geschnürt, um den Lehrgang attraktiver zu machen für Frauen."
Nur die 20 besten Kandidaten werden schliesslich zum Lehrgang zugelassen. Ausser technischen Fähigkeiten erlernen sie Fähigkeiten und Fachwissen in den Bereichen Recht, Teamführung, Kommunikation und Konfliktlösung. Eine Beförderung zum Wachtmeister und der praktische Dienst schliessen die Ausbildung ab.
Der Oberst zeigte sich überzeugt, eine "solide, zweckmässige und gewinnbringende Cyberausbildung" geschaffen zu haben. "Nun geht es darum, das Projekt abzuschliessen und in den ordentlichen Betrieb zu überführen." Der erste Lehrgang befinde sich in dieser Praktikumsphase. Der zweite legte am 25. Februar 2019 los.
Modernisierung bei der Flugsicherung - Sicherheitslücken bleiben
Vincent Lenders, Head of Cyber-Defence Campus bei Armasuisse, sprach derweil über die IT-Security im Bereich der Luftfahrt. Ein wichtiges Thema, schliesslich seien zu jeder Zeit mehr als 1,3 Millionen Menschen in über 10'000 Flugzeugen unterwegs. "Diese Zahlen werden in den nächsten 10 Jahren noch stark ansteigen", sagte Lenders. Mit dem vermehrten Aufkommen von Drohnen werde der Luftraum zusätzlich überfüllt.
Derzeit finde bei der Flugsicherung ein Technologiewechsel statt. Die alte und teure Radartechnologie soll durch moderne Lösungen ersetzt werden. Statt Radar sollen ab 2020 Satelliten (GPS) und ADS-B wissen, wo jedes Flugzeug sich gerade befindet. Rund 70 Prozent würden bereits jetzt auf die Funktechnologie ADS-B setzen.
Dabei sei auch ADS-B bereits in die Jahre gekommen, sagte Lenders. Die Technologie stamme noch aus einer Zeit, in der Sicherheitsmassnahmen nicht von Anfang an vorgesehen waren. Dies macht die Technologie angreifbar.
Vincent Lenders, Head of Cyber-Defence Campus bei Armasuisse. (Source: Netzmedien)
Mit einer Ausrüstung, die insgesamt einige 100 US-Dollar gekostet hat, gelang es Lenders und seinem Team, 100 nichtexistierende Flugzeuge in das ADS-B-System einzuspeisen. Alles was er brauchte, waren handelsübliche Funkgeräte "und ein paar 100 Zeilen Code". Eine Authentifizierung sei nicht erforderlich gewesen.
Auch andere Technologien in der Luftfahrt seien derzeit nicht sicher. So konnten Lenders und sein Team etwa auch Nachrichten abfangen, die zwischen dem Flugzeug und der Bodenbesatzung ausgetauscht wurden. Darunter etwa eine Anfrage, die Kreditkarte eines On-Board-Shopping-Kunden zu prüfen.
Physik versus Cyberangreifer
Um dies zu ändern, schlug das Team eine Reihe von Sicherheitsmassnahmen vor. Die erforderten keine neuen Technologien oder Protokolländerungen. "Dies ist enorm wichtig, denn wir reden hier von einer Branche mit sehr langen Lebenszyklen", sagte Lenders. Ein Flugzeug bleibe im Schnitt etwa 30 Jahre im Dienst.
Wie man Flugzeuge sicherer machen kann? Nicht mit IT, sondern mit Physik! "Man kann einen Angreifer nicht daran hindern, die Flugsicherung zu manipulieren, aber die Gesetze der Physik kann er nicht manipulieren." Daher sollten moderne Methoden etwa auf den Dopplereffekt der einkommenden Signale achten, oder auf die Amplitude, Frequenz, Neigung und so weiter.
Ein weiterer Ansatz sei die Crowd – wie etwa beim Opensky Network. Aktuell bieten bereits über 1000 Sensoren des Schweizer Netzwerks einen Überblick über die Flugaktivitäten in mehr als 70 Ländern. Wer mitmachen will, muss einen Sensor aufstellen. Vor allem Universitäten würden sich rege daran beteiligen.