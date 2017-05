Die Abwehr von grossen Hackerangriffen geschieht bei der Swisscom im Kleinen: In der Einsatzzentrale mit einer Fläche von nur 24 Quadratmetern in Zürich sowie an wenigen Arbeitsplätzen in Zürich und Bern kümmert sich eine schnelle Eingreiftruppe um bis zu fünf Attacken wöchentlich.

Es sind die schwerwiegenden Versuche, in die Netze und Computersysteme einzudringen, die der grösste Schweizer Telecomanbieter nicht durch automatisierte Massnahmen abwenden kann. Die Einbrecher kommen von überall – meistens aus dem Ausland.

5000 Viren pro Monat

Wie andere Konzerne auch ist die Swisscom laufend Cyberangriffen ausgesetzt. 5000 Schadprogramme pro Monat filtern die Antivirenlösungen des blauen Riesen heraus. Zudem entdeckt und blockiert das Unternehmen im Internet 2500 Betrugsseiten pro Monat. Erst im vergangenen Februar hatten Betrüger per E-Mail falsche Rechnungen an Empfänger in der Schweiz – darunter auch Tausende Mailkunden der Swisscom – verschickt.

Im kargen Incident Room stehen zwei Pulte und ein runder Tisch mit Bildschirmen und Laptops. Die Fensterfront erlaubt einen weiten Ausblick auf die Hochhäuser im Industriequartier Hard und auf die Geleise.

Auf den Ablagen liegen Koffer mit Hightechgeräten, mit denen die Swisscom-Spezialisten gerichtsverwertbare Kopien von Daten­trägern erstellen können. Ein bis zwei Cyberangriffe pro Jahr erweisen sich als strafrechtlich relevant, sodass die Swisscom die Strafverfolgungsbehörden ein­­schaltet. In diesen Fällen müssen die Beweise hieb- und stichfest sein. An einer Wand hängen Poster mit Checklisten speziell für Windows-Systeme. Ein weiteres Schema zeigt im Detail den Aufbau und die Funktionsweise der Swisscom-Netze.

Abwehrschlacht beginnt

Von diesem Raum aus befehligte Lorenz Inglin Anfang September 2016 eine Abwehrschlacht gegen einen breit angelegten Angriff auf Mailkonten von Privatkunden der Swisscom. «Wir verzeichneten auf den Mailservern des Dienstes Bluewin an einem einzelnen Tag über 10 000 erfolgreiche Log-ins von einer einzigen Internetadresse aus dem Ausland», sagt der Leiter der Cyberabwehr bei der Swisscom. Inglin zeigt eine grafische Darstellung der Ereignisprotokolldatei bei den Anmeldungen: Die Spitze am 8. September 2016 sticht sofort ins Auge und war somit höchst verdächtig.

Der Basler weiss an diesem Donnerstag: Mit gekaperten 10 000 Mailkonten von ahnungslosen Privatkunden können die Angreifer im harmlosesten Fall viel Schabernack treiben, im schlimmsten Fall aber grossen Schaden anrichten. Die Mailad­ressen könnten dafür benutzt werden, Massenwerbung respektive Spam zu verschicken. Die Hacker könnten an weitere Zugangsdaten von Onlinediensten gelangen, indem sie sich zurückgesetzte Passwörter an die Mail­adressen der Opfer schicken lassen. Oder die Täter könnten persönliche Kontakte der gehackten E-Mail-Konten anschreiben und unter Vorwand eines Notfalls Geld verlangen – eine bekannte Betrugsmasche.

Der erste Gegenstoss erfolgt rasch: Inglin lässt die Internet­adresse blockieren, von der aus die verdächtigen Anmeldungen erfolgen. Die zweite Massnahme ist etwas heikler. Inglin lässt die betroffenen 10 000 E-Mail-Konten gestaffelt einfrieren. Der Angriff ist so innerhalb von mehreren Stunden erfolgreich abgewehrt.

«Organisierte ­Kriminalität oder pubertierende Hacker? Die ­Wahrheit liegt wohl irgendwo dazwischen.»Lorenz Inglin von der Swisscom zum Cyberangriff auf Bluewin

«Natürlich haben sich verärgerte Nutzer gemeldet, weil sie plötzlich keinen Zugriff mehr auf ihren elektronischen Posteingang hatten», sagt der 38-Jährige. «In Zusammenarbeit mit dem Kundendienst konnten wir ihnen aber die Gründe erklären.»

Die Swisscom ist eines von wenigen Unternehmen, die einen Cyberangriff im Detail transparent gemacht haben. Auch die Raiffeisen-Bankengruppe hat tägliche Attacken auf ihre Informatiksysteme eingeräumt. Für Schlagzeilen sorgte der bundeseigene Rüstungskonzern Ruag, der im Zeitraum von Ende 2014 bis Anfang 2016 Cyberspionage ausgesetzt war. Vermutlich russische Hacker haben dabei mehr als 20 Gigabyte Daten entwendet.

Immer noch scheuen sich viele Firmen, Angriffe offenzulegen oder sie den Behörden zu melden. Die Angst vor Reputationsverlust ist gross. Deshalb lässt sich nicht klar beziffern, wie viel Schaden Cyberangriffe hierzulande in der Wirtschaft anrichten und ob die Abwehrmassnahmen der Unternehmen greifen.

Ein weiterer Grund dafür ist, dass es in der Schweiz keine Meldepflicht für Cyberangriffe gibt. «Statistiken sind zwar schön, erhöhen die Sicherheit aber nicht», sagt Inglin dazu. Jedoch melde die Swisscom «relevante Fälle» an die staatliche Melde- und Analysestelle Informationssicherung, kurz Melani.

Die Bedrohung für die hiesige Wirtschaft ist real: Studien des Beratungsunternehmens KPMG legen nahe, dass im vergangenen Jahr 54 von 100 Schweizer Firmen pro Jahr mindestens einem Cyberangriff ausgesetzt waren. 38 Prozent haben keine Methode, um die Risiken von Attacken einzuschätzen.

Swisscom überwacht Darknet

Doch gerade der Fall der gehackten 10 000 E-Mail-Adressen bei der Swisscom zeigt, dass ein Frühwarnsystem und Vorlaufzeit von Vorteil sind. Eine Woche vor dem eigentlichen Angriff erfuhr Inglin, dass im Dark­net Zugangsdaten für Bluewin-Konten zum Verkauf angeboten werden. «Wir überwachen diesen schwer zugänglichen Untergrund des Internets routinemässig und sind so auf diese verdächtigen Aktivitäten gestossen», sagt Inglin.

Die «Ware» stammte wahrscheinlich aus einem viel grösseren Leck beim Speicherdienst Dropbox aus dem Jahr 2012. Im vergangenen Jahr tauchten die 68 Millionen Zugangsdaten zuerst im Darknet auf und waren danach im Internet frei verfügbar. Die Befürchtungen von Ing­lin bewahrheiteten sich: Tausende Bluewin-Kunden nutzten dieselben Anmeldungen und Passwörter für Dropbox und das persönliche Mailfach. Diejenigen Nutzer, welche in der Zwischenzeit ihre Zugangsdaten bei Bluewin nicht geändert hatten, wurden Opfer des Angriffs Anfang September 2016.

Wer die Täter sind, weiss Inglin nicht. Sicher ist nur, dass es keine Hinweise auf einen staatlichen Akteur gibt. «Und wir wissen, dass der Angriff aus dem Ausland erfolgte. War es organisierte Kriminalität, oder stecken pubertierende Hacker dahinter? Die Wahrheit liegt wohl irgendwo ­dazwischen.»

Neue Gefahren am Horizont

Cyberangriffe werden immer professioneller und sind tendenziell schwieriger zu entdecken. Dabei machen sich die Täter die neuesten Technologien zu eigen. So weist die staatliche Meldestelle Melani in ihrem aktuellen Halbjahresbericht auf die Gefahren des aufkommenden Internets der Dinge hin. Bis zum Jahr 2020 werden in diesem Industrienetz weltweit bis zu 20 Milliarden Gegenstände miteinander verbunden sein, schätzt die Telecombranche.

Neue Gefahren zeichnen sich ab: Hacker könnten in schlecht geschützte Geräte wie Überwachungskameras eindringen und ahnungslose Anwender ausspionieren. Oder Cyberkriminelle könnten das Internet der Dinge entern, um von dort aus Informatiksysteme im regulären Internet anzugreifen.

«Die Hersteller von Geräten für das Internet der Dinge sind aus Kostengründen kaum daran interessiert, Sicherheitsfunktionen einzubauen. Die Last wird also vorerst bei den Netzbetreibern und Kunden liegen», sagt Inglin.

Ihm und seinem 14-köpfigen Team wird die Arbeit so schnell nicht ausgehen. (Berner Zeitung)