Was die Schweiz im Cyberbereich erforscht

Mit welchen Forschungsschwerpunkten im Bereich Cybersecurity befassen Sie sich zurzeit?

Bernhard Tellenbach: Ich könnte jetzt relativ viele Themen aufzählen (lacht). Ich leite Forschungsteams mit sehr breit abgestützten Interessen, deshalb sind wir auch mit vielen unterschiedlichen Fragestellungen beschäftigt. Es gibt sicherlich Themen, die uns mehr beschäftigen als andere. Aber, wenn ich hier nun ein paar aufzähle, liegt das wohl weniger daran, dass sie wichtiger sind, als mehr daran, dass sie zurzeit auch in der Öffentlichkeit mehr Aufmerksamkeit geniessen. 

Was sind das für Themen?

Dazu zählt beispielsweise die Automatisierung im Bereich Cybersecurity. Wir müssen in naher Zukunft wohl vermehrt mit Attacken rechnen, bei denen bis anhin aufwändige Tätigkeiten wie z.B. das Entwickeln eines Stück Softwares zum Ausnutzen einer bestimmten Schwachstelle automatisiert und daher schnell und kostengünstig ausgeführt wurden. Um auf diese schnell genug reagieren zu können, müssen wir auch die Detektion und Verteidigung stärker automatisieren. Hier spielt natürlich auch KI eine Rolle. 

Apropos KI: Im vergangenen Halbjahr hörte man in diesem Zusammenhang immer wieder von ChatGPT. Wie schätzen Sie das Potenzial dieses Chatbots ein?

Wir sahen ein paar interessante Anwendungsbeispiele. Gewisse Entwickler wandten sich an ChatGPT bei ihrer Arbeit. Sie fragten den Chatbot, wie man bestimmte Probleme lösen konnte. In seinen Antworten verwies ChatGPT teilweise auf Software-Packages, die gar nicht existieren. Gewiefte Angreifende kamen auf die Idee, bösartige Packages mit den vom Chatbot vorgeschlagenen Bezeichnungen zu erstellen. So lockt ChatGPT seine User unwissentlich auf schädliche Websites. Der wirkliche Nutzen von ChatGPT für Angreifende ist aktuell nur schwer einzuschätzen. 

Zu welchen Themen forschen Sie sonst noch? 

Ferner bieten auch die zunehmenden technischen Möglichkeiten von Geräten spannende Themen. Mobilgeräte und andere Hardware, die man heute kaufen kann, verfügen über immer mehr Sicherheitsfeatures. Diese können beispielsweise helfen, wenn man den zahlreichen Anbietern, die an einem Handy mitgewirkt haben, nicht einfach vertrauen möchte. An einem Android- oder iOS-Handy arbeiten hunderte von Entwicklerinnen und Entwickler mit - sehr unterschiedliche Firmen tragen zu der Software auf den Geräten bei. Sollte man diesem ganzen Kuchen wirklich die eigenen Dokumente anvertrauen? Glücklicherweise kann man mit den heutigen Technologien eine recht gute Isolation auf diesen Geräten erreichen. So lässt sich neben der normalen Android- beziehungsweise iOS-Umgebung noch eine davon unabhängige Umgebung einrichten, z.B. um dort eine Anwendung zum Lesen und Speichern von vertraulichen Dokumenten auszuführen. Abhängig von der für die Isolation eingesetzten Technologie, muss man nicht mehr allen Software- und Hardwarehersteller, die am Gerät mitgewirkt haben, vertrauen, sondern z.B. nur noch einzelnen Hardwareherstellern. Und trotzdem hat der Nutzer die Vorteile und die Bequemlichkeit eines Apple- oder Android-Geräts. Mit der ETH Zürich forschen wir aktuell an entsprechenden Lösungen.

Prüfen Sie auch vernetzte Geräte für das IoT?

Ja, wir schauen uns das Bedrohungspotenzial dieser neuen Technologien an. Unser Fokus liegt dabei auf Technologien, die für den Bund und für die Schweiz relevant sind. Dazu zählen etwa vernetzte Fahrzeuge und die komplette Infrastruktur, die gebaut werden muss, um diese Fahrzeuge in Betrieb zu halten. Im Bereich der Gebäudeautomatisierung prüfen wir die vermehrte Fernsteuerung von Energiesystemen und des öffentlichen Verkehrs. Alles soll remote steuer- und überwachbar sein. In diesen Bereichen fanden wir bereits diverse Schwachstellen. Indem wir darüber berichten, versuchen wir, zu sensibilisieren und die Sicherheit zu erhöhen. Aber weil ständig neue Technologien und Geräte auf den Markt kommen, ist dies schwierig.

Können Sie ein Beispiel nennen?

Der Bund hatte sich entschieden, nur noch elektrische Fahrzeuge zu beschaffen. Wir untersuchten daraufhin die Sicherheit der dazugehörenden Ladeinfrastruktur. Dabei stellten wir fest, dass es ein gravierendes Problem gibt in einem der am weitesten verbreiteten Standards, dem Combined Charging System CCS. Der Ladevorgang lässt sich aus der Ferne mit Radiowellen unterbrechen. Das Equipment, das man dafür benötigt, kostet nur ein paar Hundert Franken. Um den Ladevorgang wieder zu starten, muss man physisch das Auto aus- und wieder einstecken. Das ist natürlich vor allem für Rettungsdienste problematisch, denn deren Fahrzeuge müssen immer einsatzbereit sein. Man kann aus solchen Problemen lernen und die Fehler beheben. So kommt man immer wieder zu neuen Erkenntnissen. Diese können zuweilen sehr klein sein, aber dennoch sind sie relevant für das Funktionieren unserer digitalen Gesellschaft.

Gibt es auch positive Entwicklungen im Cyberraum?

Im Vergleich zu früher sieht man, dass die Sicherheit einen höheren Stellenwert hat als noch vor 10 bis 20 Jahren. Man ist sich der ganzen Thematik stärker bewusst. Dieses Bewusstsein ist ein Gegengewicht zu der zunehmenden Anzahl vernetzter Technologien, die immer möglichst schnell und kostengünstig auf den Markt kommen müssen. Diese Eile birgt leider auch ein grösseres Potenzial für Fehler. Wir sind aber noch nicht an einem Punkt angelangt, an dem diese beiden Pole in einer guten Balance zueinander stehen. 

Der Thematik ist man sich stärker bewusst. Aber machen sich Schweizer Unternehmen genügend Gedanken zur Cybersicherheit?

Gedanken machen sie sich sehr viele zu dem Thema. Vor allem diejenigen Unternehmen, die für Angreifende besonders interessant sein könnten. Die Frage sollte aber eher lauten, ob die Unternehmen die nötigen Mittel und Möglichkeiten haben, sich entsprechend aufzustellen. 

Und wie würden Sie diese Frage beantworten?

Sicherheit ist keine Ja-Nein-Frage: Man ist nie 100-prozentig sicher. Deshalb muss man seine Risiken kennen und geeignete Massnahmen ergreifen. Das ist auch eine finanzielle Frage. Aber: Sogar wenn man die besten Massnahmen ergriffen hat, muss man trotzdem damit rechnen, erfolgreich attackiert zu werden. Deshalb ist es wichtig, eine möglichst resiliente Infrastruktur aufzubauen und Angriffe möglichst rasch zu erkennen und damit umzugehen. Es darf nicht sein, dass die ganze Firma davon betroffen ist oder gar hopsgeht, wenn ein einzelnes System oder eine einzelne Person kompromittiert wurde. Viele Firmen - insbesondere KMUs - sind diesbezüglich einfach noch nicht so weit, wie sie sein sollten. 

Dient Ihre Forschungsarbeit mehr dazu, den Bund abzusichern oder zum Schutz der Schweizer Bevölkerung und Privatwirtschaft?

Der Auftrag des Cyber-Defence Campus umfasst beides. Das Wissen, das wir durch die Forschung erlangen, setzen wir etwa bei der Beschaffung von neuen Systemen ein. Armasuisse ist verantwortlich für die Beschaffung von sicherheitsrelevanten Technologien. So schützen wir natürlich primär die Bundesinfrastruktur. In der übergeordneten Nationalen Cyberstrategie (NCS) haben wir andererseits auch Aufgaben, welche die Schweiz als Ganzes betrachten. Dazu gehören etwa Aufgaben im Bereich Capacity Building. Die Ausbildung von Talenten und die Förderung von Cybersecurity-Kompetenzen in der Schweiz tragen zur Sicherheit des ganzen Landes bei. 

Laut der Website gehören Cyberlagebilder ebenfalls zu Ihren Kompetenzfeldern. Was machen Sie in diesem Bereich?

Im Bereich der Lagebilder sind wir nicht operativ tätig. Das heisst, dass wir keine Reports zu den aktuellen Bedrohungen erstellen. Wir forschen an Technologien, die helfen sollen, bessere Lagebilder zu erhalten, indem beispielsweise die Informationen besser strukturiert und maschinenlesbar werden. Ein wichtiges Thema ist auch der Austausch von zur Erstellung von Lagebilder nötigen Daten unter Einhaltung des Datenschutzes. Wie können z.B. Parteien, die sich nur beschränkt vertrauen, gegenseitig Informationen austauschen, ohne gleich alles offenzulegen? Für genau diesen Zweck wurden in den vergangenen Jahren Technologien wie Confidential Computing entwickelt. Damit kann man beispielsweise feststellen, ob zwei Parteien vom gleichen Angriff betroffen sind, ohne der jeweils anderen Partei alle Angriffe offenlegen zu müssen.

Wie wird aus theoretischer Forschung praktischer Nutzen?

Wir betreiben mehr angewandte als theoretische Forschung. Wir prüfen Technologien auf Sicherheitsprobleme. Das hat einen klaren praktischen Nutzen. Wir finden die Probleme und informieren die entsprechenden Hersteller. Diese beheben die Schwachstellen und so werden die Technologien sicherer.  

Was für einen Austausch pflegen Sie mit der akademischen Forschung und der Privatwirtschaft?

Einen sehr intensiven Austausch - ohne diesen könnten wir unsere Aufgabe nicht erfüllen. Unser Team ist nicht sehr gross. Wir müssen also das Wissen, das in der Schweiz schon vorhanden ist, möglichst effizient bündeln und nutzen. Nur so können wir die Fragestellungen klären, mit denen wir uns beschäftigen. Das gilt nicht nur für uns am Cyber-Defence Campus. Das trifft auf alle Organisationen zu, die in diesem Bereich forschen. 

Wie sieht diese Zusammenarbeit aus?

Wir haben diverse Instrumente, um mit anderen Organisationen zusammenzuarbeiten. Dazu gehört etwa die Auftragsforschung, wenn wir wollen, dass Universitäten oder private Forschungseinrichtungen Forschungsfragen anpacken. Zudem betreiben wir ein Fellowship-Programm mit der EPFL. Über dieses Programm können wir Nachwuchsforscher und -forscherinnen finanzieren, die ihre Forschung an einer Schweizer Hochschule durchführen. 

Und wie arbeiten Sie mit der Privatwirtschaft zusammen?

Einerseits nutzen wir Public-Private-Partnerships. Andererseits führen wir auch jedes Jahr eine Start-up-Challenge durch. Wir formulieren eine Problemstellung und schreiben diese als Wettbewerb aus. Die Firmen können sich darauf bewerben und uns ihre Innovationen präsentieren. Am Ende wählen wir einen Sieger aus. Dieser kann im darauffolgenden Jahr seine Lösung in einem Machbarkeitsnachweis auf der Infrastruktur des Bundes testen. Je nachdem, wie gut dieser Test läuft, ist es möglich, dass der Bund die Technologie anschliessend regulär beschafft. Ferner bieten wir auch Proof-of-Concept-Fellowships an. 

Wie funktionieren diese Fellowships?

Diese sollen Ideen aus Masterarbeiten oder Dissertationen fördern, die in innovativen Technologien oder in ein Start-up münden könnten, aber noch nicht reif genug sind, um Investoren anzuziehen. Das Fellowship soll dabei helfen, ein Minimum Viable Product zu entwickeln. So haben die Entwickler und Entwicklerinnen nachher etwas, das man möglichen Investoren zeigen kann, um sie zu überzeugen, in das Projekt einzusteigen. Auf diese Weise wird aus einer Idee schließlich ein Start-up, das die Idee vollends umsetzen kann.  

Weshalb ist es wichtig, dass der Bund im Cyberbereich forscht? Gibt es nicht schon genügend akademische und private Organisationen, die hier tätig sind?

Wir sind darauf angewiesen, dass auch andere Organisationen forschen und nutzen dieses Wissen. Aber punktuell können wir vielleicht eine Wissenslücke oder ein ganzes Gebiet erkennen, das die akademische Forschung aktuell noch nicht bearbeitet - oder nicht auf eine Art und Weise, die dem Bund dienlich ist. So können wir auch ausserhalb des eigenen Forschungsteams Akzente in der Cybersecurity-Forschung setzen und bestimmte Fragestellungen einbringen. Die akademische Forschung ist nun mal sehr akademisch; der Praxisbezug ist daher nicht immer gegeben. Das können wir ändern, indem wir konkrete Fragestellungen einbringen. Diese Steuerung sehe ich als unsere primäre Aufgabe.

Was ist das Erstaunlichste, das Sie im Rahmen Ihrer Forschungsarbeit gesehen oder entdeckt haben?

Mich erstaunt noch immer, dass es vielfach  Massnahmen im Bereich des Grundschutzes sind, die nicht oder nicht vollständig umgesetzt werden. Heutzutage werden sehr fortschrittliche Themen erforscht und hochspezialisierte Angriffstechniken analysiert. Es ist natürlich immer spannender, neue Trends zu untersuchen. Aber enorm viele Attacken können vermieden werden, wenn man einfach die Basisaufgaben richtig abdeckt. Hier kann die Forschung nicht wirklich helfen. Denn es liegt an den einzelnen Unternehmen und Personen, diese Eigenverantwortung wahrzunehmen. Zu prüfen, welche Systeme exponiert sind und für welche ein Update zur Verfügung steht, ist vielleicht nicht super attraktiv, aber es ist sehr relevant für die Sicherheit.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Für die verschiedenen Newsletter der SATW können Sie sich hier anmelden. "SATW News" informiert allgemein über die Aktivitäten der SATW und "MINT" fokussiert sich auf das Themengebiet Nachwuchsförderung. Beide werden auf Deutsch und Französisch angeboten.

Alle weiteren gemeinsamen Beiträge von SwissCybersecurity.net und der SATW finden Sie hier.