print preview

Ein besserer Blick auf die Cyberspace-Landschaft

Die Cyberwelt schläft nie. Ununterbrochen werden Daten und Informationen über den ganzen Globus hin und her versendet – darunter auch schädliche Dateien wie Viren oder andere Ransomware. Dadurch können Endgeräte der Nutzer beschädigt werden und unerlaubt einen Datenabfluss generieren. Um schneller einen Überblick über solche Vorfälle zu erhalten, entwickelt armasuisse zusammen mit Partnern einen Proof of Concept um das Lagebild im Cyberraum zu managen.

Colin Barschel, Cyber Sicherheit und Data Science, armasuisse Wissenschaft und Technologie; Interview geführt von Anela Ziko, Innovation und Prozesse, armasuisse Wissenschaft und Technologie

Drei übereinander gelegene Ansichten der Cyber-Plattform mit vielen diversen Angaben zum Lagebild im Cyberraum.
Mit Hilfe einer neuen Plattform können Cybervorfälle besser überwacht und in einem Lagebild Cyberraum dargestellt werden.

Herr Barschel, zuerst einmal: Was versteht man heutzutage unter einem Cyberraum?

Einfach gesagt versteht man unter einem Cyberraum eine virtuelle beziehungsweise Online-Welt, in der alle Computer und Geräte über das Internet miteinander verbunden sind, inklusive alle Internetnetzwerke und die digital versendeten Daten. Es handelt sich somit um die Netzwelt mit der Interaktion Mensch-Maschine und den dabei generierten Daten. Ein in der letzten Zeit immer wichtiger gewordener Bereich umfasst die Cybersicherheit.

Weshalb ist die Cybersicherheit aus Ihrer Sicht ein so wichtiges Thema?

Da heutzutage sehr viele Bereiche des privaten wie auch geschäftlichen Lebens miteinander über das Internet verknüpft sind, stellen sich Fragen wie: Was passiert mit den Menschen? Was mit den Daten? Die Cyberwelt ist unsicher und nicht jeder Bereich ist gleich stark reguliert. Im Cyberraum können sich Menschen hinter falschen Identitäten verstecken und damit haben Angreifende ein leichtes Spiel. Beispielsweise wird ein Rechner schnell komplett verseucht, wenn man online bedenkenlos die falschen Links anklickt und unbemerkt eine schädliche Software herunterlädt. Beim Thema Cybersicherheit ist nicht nur der Schutz der eigenen Daten, etwa vor einem unerwünschten Datenabfluss, gemeint, sondern auch die Sensibilisierung der Menschen wie sie sich im Internet zu verhalten haben.

Beispielsweise wird ein Rechner schnell komplett verseucht, wenn man online bedenkenlos die falschen Links anklickt und unbemerkt eine schädliche Software herunterlädt. 

 

Angenommen, eine Firma im Bereich der kritischen Infrastruktur ist Opfer eines Cyberangriffes, was sollte sie machen?

Sobald ein Cybervorfall bemerkt und die interne Bewältigung eingeleitet wurde, sollte sie diesen Cybervorfall schnellstmöglich dem NCSC melden. Das NCSC ist das Nationale Kompetenzzentrum für Cybersicherheit. Es hat unter anderem den Auftrag kritische Infrastrukturen zu schützen. Dabei sorgen sie dafür, dass die negativen Auswirkungen von solchen Vorfällen möglichst kurzlebig sind und sich der Schaden möglichst geringhält, sowie eine fortlaufende Bedrohungslagebeobachtung gewährleistet ist um auch aktiv Warnungen abzusetzen.

 

Wie genau läuft solch ein Meldeprozess bei einem Cybervorfall ab?

Auf der Webseite des NCSC können Privatpersonen oder Firmen über einen Melde-Button einen Cybervorfall oder eine Schwachstelle melden. Die Mitarbeitenden des NCSC sammeln alle gemeldeten Vorfälle, gleichen diese mit weiteren internen sowie externen Quellen oder frühere Meldungen ab und schauen, ob es in der Vergangenheit ähnliche Ereignisse gab. Hierbei haben sie als Bundesstelle auch Zugriff auf weitere Informationen von privaten wie auch bundesnahen Betrieben und Verwaltungen. Mit all diesen Daten wird schliesslich ein sogenanntes Lagebild Cyberraum erstellt. Die Herausforderung ist, dass die gemeldeten Vorfälle zuerst manuell in ein Tool übertragen werden müssen, bevor die Informationen weiterbearbeitet und mit zusätzlichen Daten angereichert werden können. Hier sind wir im Rahmen eines Innovationsprojektes gerade dran, eine neue Plattform zu entwickeln um den Analyst/innen beim NCSC zu helfen, effizienter zu arbeiten und Zugang zu einer umfassenderen Bedrohungslandschaft zu haben.

Was soll die Plattform ermöglichen? Und was ist das Innovative daran?

Die Plattform soll so viele Prozessabläufe wie möglich automatisiert durchführen. Heute müssen die Analystinnen und Analysten die Informationen der gemeldeten Vorfälle manuell in eine Arbeitsmaske eintragen. Mit dieser neuen Plattform sollen die Meldungen digitalisiert und automatisiert eingepflegt werden. Dabei soll die Plattform eigenständig zwischen relevanten und irrelevanten Informationen unterscheiden und dabei nur die relevanten Informationen automatisch weiterverarbeiten. Die Plattform kombiniert auf dem Markt vorhandene Tools mit Eigenentwicklungen und ermöglicht dadurch eine zentralisierte Bearbeitung aller Informationen. So entsteht eine Übersicht der Bedrohungslandschaft.

Das Neue beziehungsweise Innovative an der Plattform ist, dass es solch eine Plattform mit den vielzähligen notwendigen Funktionalitäten auf dem Markt noch nicht gibt.

Was hat dies für Auswirkungen auf die Plattform?

Wir von armasuisse W+T haben zusammen mit dem Auftraggeber, dem Armeestab, und unserem industriellen Partner von Grund auf gemeinsam ein neues, komplexes Analyseprodukt erstellt.

Dies fängt bei der Definition der Funktionalitäten an, geht weiter über die Verknüpfung mit diversen kritischen oder privaten Informationsplattformen bis schliesslich zur Handhabung und stetigen Weiterentwicklung. Dabei waren wir von armasuisse W+T bereits in einer sehr frühen Phase, der sogenannten Vorstudie, in dieses Vorhaben einbezogen worden.

Ebenfalls neu ist das gewählte Vorgehen. Wir kaufen kein fertiges Produkt, sondern eine Dienstleistung, die uns bei der Entwicklung dieses neuen Systems hilft. Der erste Schritt ist ein Proof of Concept, um die ideale Lösung zu definieren und das Entwicklungsrisiko zu verringern. Das heisst, wir kaufen Know-how ein und können diese Stunden gezielt und wirkungsvoll für die Entwicklung dieser Plattform einplanen und einsetzen.

Weshalb hat man sich nicht für ein bereits bestehendes Produkt entschieden?

Ein finales Produkt zu kaufen kam aufgrund der Ungewissheit, welche Funktionalitäten die Plattform genau besitzen muss, nicht in Frage. Natürlich sind bestimmte Elemente bekannt. Aber um ein Produkt zu kaufen, ist stets eine Beschaffung mit klar definierten Vorgaben nötig. Dies konnten wir aber nicht erfüllen. Vielmehr ist der Mehrwert dieser Eigenproduktion, dass wir inkrementell, also Schritt für Schritt gemeinsam, das heisst mit Endnutzer sowie Entwickler, an einer für den Einsatz am besten passendsten Lösung zusammenarbeiten. Da solche Eigenentwicklungen zu Beginn noch als Demonstratoren beziehungsweise Testversionen existieren, sind die Kosten geringer als beim Kauf eines bestehenden Produktes. Denn solche Produkte sind oft mit diversen Auflagen verbunden und decken zwar einige wichtige Bereiche ab, aber niemals das, was der Endnutzer individuell braucht. Auch die Anbindung an diverse weitere Plattformen lässt sich mit dieser Eigenentwicklung einfacher handhaben.

Vielmehr ist der Mehrwert dieser Eigenentwicklung, dass wir inkrementell, also Schritt für Schritt gemeinsam, das heisst mit Endnutzer sowie Entwickler, an einer für den Einsatz am besten passendsten Lösung zusammenarbeiten. 

 

Welche Herausforderungen stellen sich bei dieser innovativen Vorgehensweise?

Einerseits stellt sich die Frage, wie diese Plattform in das bestehende System unseres Endkunden eingebunden werden kann. Dies wird umso schwieriger, je sicherer die Datenstruktur ist. Weiter muss man einen Weg finden, wie auch vertrauliche Daten und Quellen kompatibel und ohne grosse Hürden mit dieser Plattform verknüpft werden können. So sind für die Erstellung eines umfassenden Lagebilds Cyberraum sowohl öffentlich zugängliche Informationen wie auch nicht öffentlich zugängliche Daten von grosser Relevanz. Weiter handelt es sich mehrheitlich um eine Eigenentwicklung, was immer Herausforderungen mit sich bringt. So müssen externe Elemente integriert werden, welche mit der Plattform kompatibel sein müssen. Und nicht zuletzt muss auch die Koordination mit den diversen Schnittstellen stets sichergestellt werden. Aktuell ist dies noch gut möglich, da wir uns in der sogenannten Proof of Concept Phase befinden und somit noch nicht operativ sind. Dies wird sich aber ändern, sobald diese Plattform als fertiges Produkt tatsächlich im Arbeitseinsatz stehen wird. Dies soll in etwa 18 Monaten der Fall sein.  Die Plattform wird dann ein vollständiges Lagebild des Schweizer Cyberraums ermöglichen – und trägt somit zum Schutz kritischer Infrastrukturen und der Sicherheit der Schweiz bei.