Sicherer surfen: Bund will Bevölkerung mehr auf Risiken sensibilisieren Wir gehen mit unseren Daten noch immer zu fahrlässig um, moniert der Internet-Sicherheitsexperte des Bundes, Pascal Lamia, und fordert: «Wir müssen alle umdenken.» Er sagt, mit wie wenig Zeit und Geld man schon viel erreichen kann. Interview Maja Briner und Eva Novak

«Cyberangriffe erfolgen immer in Wellen», sagt Pascal Lamia, Chef von Melani, der Melde- und Analysestelle Informations­sicherung des Bundes. (Bild: Pius Amrein (Bern, 27. Juni 2018))

Was empfehlen Sie jenen, die in die Sommerferien verreisen?

Sie sollten ihre Handy- und PC-Daten sichern und kontrollieren, dass sie nichts Vertrauliches auf dem Smartphone haben. Wenn es gestohlen wird, verlieren sie so nur das Gerät, nicht aber die Inhalte. Werden wichtige Daten geklaut, wird man erpressbar. Wer sein Firmenhandy in die Ferien in die USA mitnimmt, muss bedenken, dass die Zollbehörde die ­Geschäftsmails lesen könnte.

Sie hat Zugriff darauf?

Die US-Zollbehörde kann verlangen, dass Sie Ihr Smartphone entsperren – und dann kann sie die Mails und alles Weitere anschauen.

Melani schützt Infrastrukturen Pascal Lamia (50) ist seit 2000 Informatiksicherheitsbeauftragter des Bundes. 2008 hat der Freiburger die Leitung der Melde- und Analysestelle Informationssicherung (Melani) übernommen. Diese schützt im Auftrag des Bundes kritische Infrastrukturen wie Energieunternehmen, Finanzbranche und Bundesverwaltung. Ein- bis zweimal pro Woche hält der Informatiker Vorträge, um Wirtschaft und Bevölkerung für die Gefahren im Cyberspace zu sensibilisieren. Hinweis Tipps für Private und Unternehmen unter www.melani.admin.ch (eno)

Seit dem Computer-Virus WannaCry vor einem Jahr herrscht Ruhe. Ist das Problem gelöst?

Nein. Die nächste Attacke kommt ­bestimmt. Cyberangriffe erfolgen immer in Wellen. Das sieht man gut an den Phish­ing-Mails, mit denen versucht wird, Leute im Namen bekannter Firmen in die Irre zu führen. Dieses Grundrauschen haben wir momentan, aber keinen grossen Fall wie beispielsweise den Spionageangriff auf die Ruag vor zwei Jahren.

Sie nennen es Grundrauschen?

Phishing Mails gehören heute zur Normalität, wie Trickdiebstähle. Man weiss es und muss damit umgehen können.

Warum schaffen es viele Leute dennoch nicht?

Weil die Mails oft sehr gut gemacht sind. Wenn man unter dem Namen von ­bekannten und vertrauenswürdigen ­Firmen wie Swisscom oder Steuerverwaltung Hunderttausende Mails verschickt, kann man davon ausgehen, dass zwei Drittel der Empfänger tatsächlich deren Kunden sind. Wird das offizielle Logo verwendet und fehlerfrei geschrieben, man habe die Rechnung zu zahlen vergessen, fallen viele Leute drauf herein. Sie öffnen ein Attachement oder klicken auf einen Link, und im Hintergrund wird ein Trojaner installiert. Sobald man E-Banking nutzt, kann der Hacker Geld vom betreffenden Konto transferieren.

Wie oft erfolgen solche Angriffe?

Momentan sind uns 3100 infizierte Systeme bekannt, bei insgesamt 150000 Systemen, die in der Schweiz nicht ausreichend geschützt sind. Wir sehen aber bei weitem nicht alles.

Wie kann ich mich schützen?

Es ist extrem wichtig, dass Sie als Privatperson Ihr Betriebssystem immer updaten, die Firewall aktivieren und Ihre Antivirensoftware aktuell halten. Ein kostenloser Virenschutz ist besser als gar keiner, einer, für den man etwas zahlen muss, ist jedoch viel besser. Etwa ein bis drei Prozent der Leute haben aber überhaupt keine Antivirensoftware.

Wo orten Sie das grösste Problem?

Schweizer KMU sind sehr lohnenswert für Angriffe, denn unserer Wirtschaft geht es gut. Man kann mit einfachen ­Angriffsmethoden – einem Verschlüsselungstrojaner – die Daten eines KMU verschlüsseln und dieses danach erpressen. Wenn das KMU keine Backups hat, ist es gezwungen, Lösegeld zu zahlen, um wieder Zugriff auf die Daten zubekommen. Das kann bis zu mehreren Millionen Franken kosten. Deshalb versuchen wir, die KMU zu sensibilisieren.

Was raten Sie ihnen?

Jede Firma muss sich fragen, auf welche Daten sie nicht verzichten kann. Eine Schreinerei etwa muss zwingend wissen, welcher Kunde welchen Auftrag erteilt hat. Eine Firma mit Onlineshop ist darauf angewiesen, dass ihre Homepage funktioniert. Jeder Betrieb muss sich daher überlegen: Wie kann ich sicherstellen, dass mein Geschäftsprozess auch bei einem Angriff funktioniert?

Das braucht Zeit und Geld.

Da muss man auch die Gegenfrage stellen: Was kostet es, wenn eine Firma die wichtigen Daten nicht mehr zur Verfügung hat oder der Onlineshop nicht mehr funktioniert? Kann sie sich das überhaupt erlauben? Eine Firma, die keine Antivirensoftware hat und die ihre Daten nicht täglich sichert, macht ihre Hausaufgaben nicht – egal, ob es eine Schreinerei oder eine Bäckerei ist.

Wie viel Zeit und Geld braucht das?

Bei einem Fünf-Mann-Betrieb muss man zu Beginn einmal die Antivirensoftware installieren und später das Abo regelmässig erneuern. Das ist eine Sache von vielleicht fünf Minuten pro Jahr. Wenn man die Daten auf einem Server hat, braucht es eine halbe Stunde, um diesen entsprechend zu sichern. Ist der Prozess teilweise automatisiert, genügen zehn Minuten. Teuer ist das nicht.

Ist das Internet der Dinge gefährlich?

Es ist die grosse Herausforderung der Zukunft. Das zeigt etwa der Angriff auf eine Herz-Lungen-Maschine, die an einem infizierten Netz, einem sogenannten Botnetz, angehängt war. Der Angreifer wollte nur möglichst viel Rechnerleistung. Er hätte die Maschine aber manipulieren oder sabotieren können. Jedes Gerät, das am Internet hängt, kann missbraucht werden – egal, ob Kühlschrank, Kaffeemaschine oder was auch immer. Dessen muss man sich bewusst sein. Es geht um Riesenmengen. 2020 werden nach Schätzungen rund 20 Milliarden Geräte am Netz hängen.

«Es ist wie bei Anti-Aids-Kampagnen: Wir müssen ­informieren und Tipps geben.»

Wie kann man das sicherer machen?

Gefordert sind einerseits die Hersteller. Als Konsument muss ich mir überlegen, wie ich mich verhalte, wenn ich ein Gerät kaufe. Zum Beispiel eine Überwachungskamera, die an das WLAN angehängt wird und mich auf dem Handy alarmiert, wenn ein Unbefugter in mein Haus eindringt.

Wo liegt das Problem?

Zunächst mal muss man wissen, dass sämtliche Daten, welche die Kamera aufnimmt, laut Standardeinstellung an die Herstellerfirma geschickt werden. Ist das Gerät nicht mit einem Passwort geschützt, kann ein Angreifer darüber auf das WLAN zugreifen. Daraus sieht zum Beispiel ein Einbrecher, wann man zu Hause ist und wann nicht. Oder der Täter nimmt mit der Überwachungskamera auf, wie jemand nackt zu Hause rumläuft, und kann ihn damit erpressen.

Was kann man dagegen tun?

Die Einstellungen so ändern, dass die Kamera erst eingeschaltet wird, wenn sie wirklich gebraucht wird. Das gilt auch für die neuen TV-Geräte, die eine Kamera eingebaut haben, die je nach Hersteller standardmässig immer aktiviert ist. Wir alle, die ganze Gesellschaft, müssen ­generell umdenken und nur die nötigsten Funktionen bei Geräten offenlassen, und alles andere schliessen.

Sie halten häufig Vorträge, um zu sensibilisieren. Reicht das?

Man müsste noch mehr und gezielter sensibilisieren. Am besten gemeinsam, die Bundesverwaltung mit der Privatwirtschaft. Da sind wir dran. Es laufen Gespräche mit Branchenverbänden. Wir haben konkrete Ideen, wahrscheinlich kommen diese aber noch nicht dieses Jahr zum Fliegen.

Was schwebt Ihnen vor?

Zum Beispiel eine gemeinsame Homepage aufbauen, die der Bevölkerung und den KMU rasch Informationen, Anleitungen und Hilfsmittel bietet. Heute haben wir bei Melani zwar auch Merkblätter. Aber wenn die Kriminellen eine neue Masche haben, kann es Tage dauern, bis die Informationen in allen Sprachen aktualisiert sind. Das ist zu lange.

Braucht es künftig mehr Mittel?

Davon gehe ich aus. Wir müssen schauen, wo der Staat ein Interesse hat, die Wirtschaft zu schützen und die Bevölkerung zu sensibilisieren. Es ist wie bei Anti-Aids-Kampagnen: Wir müssen ­informieren und Tipps geben. Und dann liegt es in der Eigenverantwortung jedes Einzelnen, sich zu schützen.