Hacker haben vor gut drei Wochen die Basler Softwarefirma Concevis angegriffen. Welche Daten genau gestohlen wurden, ist unklar. Es könnten aber auch sensible Bundesdaten darunter sein. Denn der Bund gehört zur Kundschaft der Firma.
Fehler gemacht hat dabei nicht nur die Concevis, sondern auch der Bund, wie die Neue Zürcher Zeitung berichtete. Er hat in zwölf Jahren keinen einzigen Sicherheitscheck bei der Firma durchgeführt – obwohl er vertraglich das Recht dazu hätte.
Kopfschütteln in der Politik
Dass die Bundesverwaltung bei einer Firma, die mit potenziell sensiblen Bundesdaten hantiert, über Jahre hinweg keinen Sicherheitscheck durchgeführt habe, «löst bei mir grosses Kopfschütteln aus», sagt SVP-Nationalrat und Präsident der sicherheitspolitischen Kommission, Mauro Tuena. Handlungsbedarf sieht er aber auch bei der Art der Sicherheitschecks.
Heute sind das häufig Fragebogen und Sicherheitschecklisten, die Firmen selber ausfüllen. Oder dann vereinzelte Stichproben, bei denen etwa geprüft wird, ob Firmen starke oder schwache Passwörter verwenden. Bei Firmen mit sensiblen Daten reiche dieses Vorgehen nicht, so Tuena. «Es ist eine Überlegung wert, dass solche Firmen mit einem gezielten Hackerangriff überprüft werden, um zu sehen, ob sie dem standhalten oder nicht.»
Die Idee dahinter: Ethische Hacker erkennen Schwachstellen im IT-System, bevor Cyberkriminelle sie finden. Mit solchen «Bug-Bounty-Programmen» schützt der Bund schon heute die eigenen, Bundes-internen Netzwerke. Hier liege viel Potenzial, sagt auch der Grüne-Nationalrat Gerhard Andrey, er ist Mitglied der parlamentarischen Gruppe Cyber. «Diese Programme sind gute Mittel, um als Verwaltung mit einer hoheitlichen Aufgabe mehr Sicherheit und Kontrolle zu erhalten.»
Allerdings: Die Schwierigkeit solcher ethischen Hacks zeigt sich aktuell im Kanton Zürich. Zürich hat in den letzten Monaten einen Pilotversuch durchgeführt: 25 Firmen, die kritische Infrastrukturen wie Spitäler oder Elektrizitätswerke beliefern, sollen mithilfe von ethischen Hackern auf Herz und Nieren geprüft werden.
Lieferanten «sehr zurückhaltend»
Da diese Art von Sicherheitschecks vertraglich nicht geregelt sind, musste der Kanton diese Lieferanten um Erlaubnis bitten. Die Bilanz ist ernüchternd. Von den 25 Lieferanten hätten nur die wenigsten überhaupt reagiert – und davon wiederum die meisten abgelehnt, sagt der Zürcher Informationssicherheitsbeauftragte, Philipp Grabher. «Es war eine interessante Erkenntnis, dass die Lieferanten dabei sehr zurückhaltend sind.»
Die Firmen begründeten ihre Absage häufig mit Sicherheitsbedenken. Die Rede ist von Alarmglocken, die losgingen, von ungewissen Gefahren, von internen Regeln, die solche ethischen Hacks nicht erlauben würden. Das seien wohl faule Ausreden, ist Raphael Reischuk vom nationalen Testinstitut für Cybersicherheit überzeugt: «Die ethischen Hacker haben nie den Anspruch, etwas zu zerstören.» Deshalb seien die Risiken für Lieferanten viel kleiner als die Chance eines solchen erweiterten Sicherheitschecks. «Der Schaden ist mit Sicherheit um Längen grösser, wenn ein krimineller Hacker eine Schwachstelle ausnutzt.»
Für den Kanton Zürich ist nach dem Pilotversuch klar: Will der Kanton künftig solche Checks bei seinen Lieferanten durchführen, muss das vertraglich festgehalten werden. Einfacher sei das bei neuen Verträgen, bei neuen Beschaffungen. Obwohl man auch dort manchmal Kompromisse machen müsse, sagt Grabher. «Security ist ein Mosaiksteinchen, wenn man mit Lieferanten zusammenarbeitet. Es gibt auch noch strategische und finanzielle Themen, die gegeneinander abgewogen werden müssen.»
Seien heikle Daten im Spiel, gewinne die Cybersecurity an Gewicht. Je nach Lieferant habe man deshalb auch laufende Verträge angepasst und die Sicherheitsstandards erhöht, sagt Grabher. Eine solche Anpassung der Verträge habe allerdings auch etwas gekostet. Die Erfahrungen im Kanton Zürich zeigen also: Lieferanten besser zu überprüfen, ist aufwändig, teuer und benötigt eine längerfristige Planung.
Klar ist: Erhöht das nationale Parlament jetzt den Druck auf den Bund, wird es noch Jahre dauern, bis dieses Umdenken in den Verträgen der Lieferantenfirmen angekommen ist.
