Cybersicherheit ist ein Dauerthema. Auch die Bundesverwaltung ist täglich potenziellen Cyberrisiken ausgesetzt, vor denen es sich zu schützen gilt. Ein wichtiger Baustein für die Sicherheitsspezialistinnen und -spezialisten des BIT ist dabei die neue Schutzinfrastruktur von Fortinet.
Es ist Anfang Dezember 2021 und die Meldungen überschlagen sich: Sicherheitsexpertinnen und -experten (so auch das Nationale Zentrum für Cybersicherheit NCSC hier) warnen vor einer Zero-Day-Schwachstelle in der in zahlreichen Anwendungen verbauten Java-Logging-Bibliothek Log4j. «CVE-2021-44228», besser bekannt unter dem Namen «Log4Shell», erlaubt Cyberkriminellen aus der Ferne beliebigen Schadcode auszuführen. Die Lücke wird entsprechend als kritisch eingestuft und schlägt hohe Wellen – weit über die Cyber-Security-Welt hinaus.
Auf einen Schlag ist das Thema Cybersicherheit wieder in aller Munde. Dabei geht gerne vergessen: Es vergeht kein Tag, ohne dass man sich, ob als Privatperson oder als Organisation, potenziellen Cyberrisiken ausgesetzt sieht. Auch das BIT, und damit die Bundesverwaltung, bilden hierbei keine Ausnahme. Entsprechend wichtig ist der Einsatz einer guten Schutzinfrastruktur.
Die Netzwerksicherheitsinfrastruktur der Bundesverwaltung wird harmonisiert
Noch bis vor wenigen Jahren setzte die Bundesverwaltung dazu auf diverse Lösungen von verschiedenen Herstellern. Schon bald zeichnete sich jedoch ab: Nicht nur die Produktelandschaft, sondern auch das dazugehörige Know-how war zerstückelt. Entsprechend gestaltete es sich zunehmend schwierig, die Schutzinfrastruktur sinnvoll und ganzheitlich zu verwalten und damit die Netzwerksicherheit zu garantieren. Die Lösung: Die Produktelandschaft sollte harmonisiert werden – und zwar mit den Produkten des Anbieters Fortinet.
Heute ist der Umbau auf die entsprechenden Strukturen in vollem Gange. Fortinet liefert der Bundesverwaltung dabei verschiedene Produkte: von der Firewall mit integrierter Proxy-Funktion, welche sowohl den ein- als auch den ausgehenden Datenverkehr überprüft und damit das Bundesnetz vor unerwünschten Zugriffen schützt, über das Mail Security Gateway, welches sämtliche E-Mails, die an Mitarbeitende des Bundes versendet werden, auf Malware oder Phishing-Angriffe untersucht bis zur Web Application Firewall, welche Angriffsversuche auf die Web-Anwendungen des Bundes abwehrt.
Die Fortinet-Infrastruktur in Aktion
Doch wie sieht das in der Praxis aus? Um diese Frage zu beantworten, stelle man sich folgendes Szenario vor:
Montagmorgen: Martin ist gerade aus seinen Sommerferien zurückgekehrt. Über hundert E-Mails haben sich in der Zwischenzeit in seinem Postfach angesammelt – den frisch gebrühten Kaffee wird er sicherlich gut gebrauchen können, denkt er sich, während er sich langsam einen Überblick über die zahlreichen Nachrichten verschafft, die sich über die letzten zwei Wochen bei ihm angestaut haben.
Plötzlich sticht ihm eine Nachricht ins Auge: «WICHTIG», steht dort in Grossbuchstaben im Betreff geschrieben. Neugierig klickt Martin auf die E-Mail. Ein Finanzreport, wie es scheint. Mit einem Doppelklick öffnet er das Excel-Dokument und aktiviert dessen Inhalt – doch es passiert nichts. «Komisch», denkt sich Martin. Nach einem weiteren erfolglosen Versuch gibt er auf und widmet sich der nächsten E-Mail. Nach zwei Wochen Ferien hat er schliesslich genug zu tun.
Was Martin in diesem Moment nicht weiss: Das Excel hat sehr wohl funktioniert. Denn mit der Aktivierung des Inhalts hat er einen Code ausgeführt, der nun bereits damit begonnen hat, im Hintergrund weitere Schadsoftware auf seinen Geschäftslaptop nachzuladen. Martin ist gerade Opfer eines Cyberangriffs geworden.
«Cyberangriffe über E-Mails – insbesondere über Office-Makros – gehören zu den simpelsten, leider aber auch erfolgreichsten Taktiken, um Malware zu verbreiten», erklärt der IT-Security-Analyst Hans Rudolf Hänni. «Unsere Fortinet-Infrastruktur hätte in einem solchen Szenario allerdings an mehreren Stellen die Möglichkeit, solche Angriffsversuche zu erkennen und zu verhindern.»
Im Idealfall landet die E-Mail nämlich gar nicht erst in Martins Postfach. So kann es sein, dass das Mail Security Gateway den oder die Absender/in bereits als nicht vertrauenswürdig einstuft, so dass die Zustellung der Nachricht blockiert bleibt. Ebenfalls möglich ist, dass der integrierte Malware-Scanner den enthaltenen Payload erkennt oder der Anhang samt Makro in der Sandbox als schädlich enttarnt wird. Sollten alle diese Schutzfunktionen versagen, bleibt noch der Proxy als letzte Bastion: Er kann das Nachladen weiterer Schadsoftware blockieren, z. B. indem die URL oder der Download als bösartig erkannt wird.
Einsatzszenario Nummer 2 – die Web Application Firewall
Auch die Web Application Firewall (WAF) ist zentraler Bestandteil der Schutzinfrastruktur. So stellt die Bundesverwaltung zahlreiche Web-Anwendungen und -Services zur Verfügung, die Bürgerinnen und Bürger, Kantone und Gemeinden nutzen können, um Geschäfte mit den jeweiligen Ämtern abzuwickeln. Auch diese sind konstant Cyberrisiken ausgesetzt, wie Hänni erklärt: «Wenn man ein neues System ins Internet setzt, kann man davon ausgehen, dass es innert Minuten auf mögliche Schwachstellen abgescannt wird.» Cyberkriminelle versuchten dann, so gefundene Schwachstellen auszunutzen – etwa mit Angriffen wie Remote Code Execution (kurz RCE, z. B. Log4Shell) oder SQL-Injection*.
«Die WAF ist dazu da, solche Angriffe abzuwehren», erklärt Günther Stattenberger, Business Owner Network Services im BIT. Die WAF schütze dabei aber vor allem vor einfachen Angriffsversuchen. Für alles darüber hinaus sei sie mehr mit einem ersten Pflaster vergleichbar: «Zwischen der Publikation einer neuen Schwachstelle und den ersten Angriffsversuchen vergehen oft nur wenige Stunden. Die WAF verschafft uns in solchen Fällen insbesondere Zeit, um vulnerable Anwendungen zu patchen, bevor sie kompromittiert werden.» Eine Dauerlösung für den Betrieb von verletzlichen Anwendungen sei sie also nicht, betont er.
Auch nach dem Bekanntwerden der Zero-Day-Lücke Log4Shell kam die WAF auf diese Weise zum Einsatz: So konnte ein Ausnutzen der Schwachstelle in vielen Fällen bereits über eben diese Komponente der Schutzinfrastruktur verhindert werden. Das verschaffte Spezialistinnen und Spezialisten aus der Bundesverwaltung wertvolle Zeit, um die eigenen Systeme wo nötig zu patchen.
* Remote Code Execution (RCE): RCE ist möglich, wenn z. B. eine Schwachstelle in einer Web-Anwendung einem Angreifer oder einer Angreiferin erlaubt, durch Eingaben Schadcode auf dem Web-Server zur Ausführung zu bringen. Häufig werden so Webshells auf dem Server zur Ausführung gebracht, die der angreifenden Person die Interaktion aus der Ferne erlauben. I. d. R. versucht er oder sie dann, seine resp. ihre Rechte auszuweiten und damit das System komplett zu übernehmen.
SQL-Injection: Bei Cyberattacken wie der SQL-, OS- oder LDAP-Injection werden Schwachstellen, z. B. in einer Web-Anwendung, ausgenutzt, um bestimmte Befehle oder Schadcode in diese einzuschleusen. Dabei wird eine eigentlich vorgesehene Eingabe so manipuliert, dass auch der Code des oder der Cyberkriminellen durch den Interpreter verarbeitet wird. Dadurch können Angreiferinnen und Angreifer z. B. auf wertvolle Daten zugreifen oder weitere bösartige Befehle zur Ausführung bringen.
(Quelle: OWASP Top 10: https://wiki.owasp.org/images/9/90/OWASP_Top_10-2017_de_V1.0.pdf)
Tipps für Benutzerinnen und Benutzer zum Schutz vor Cyberrisiken
Technische Systeme wie die Fortinet-Infrastruktur sind unerlässlich zum Schutz vor Cyberangriffen. Einen ebenso wichtigen Beitrag leisten aber auch aufmerksame Benutzerinnen und Benutzer. Das Nationale Zentrum für Cybersicherheit NCSC bietet auf seiner Internetseite wertvolle Tipps, wie Sie sich vor Angriffen aus dem Internet schützen können.
E-Mail: Die E-Mail ist nach wie vor das beliebteste Einfallstor für Schadsoftware und Betrugsversuche. Vorsicht gilt bei E-Mails, die Sie dazu verleiten sollen, einen Link anzuklicken oder einen Anhang zu öffnen. Geben Sie niemals persönliche Daten auf einem Formular ein, dass Sie über einen Link in einer E-Mail erhalten haben. Löschen Sie verdächtige E-Mails mit der Tastenkombination «Shift + Delete». Mitarbeitende der Bundesverwaltung können die E-Mails über den Button «Spam melden» in Outlook an das Sicherheitsteam des BIT weiterleiten.
Passwörter: Verwenden Sie für jeden einzelnen Online-Dienst ein anderes Passwort und nutzen Sie wenn immer möglich eine Zwei-Faktor-Authentisierung (z. B. Einmal-Passwort, SMS-Token etc.). Verwenden Sie starke Passwörter aus mindestens 12 Zeichen – bestehend aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen. Ein Passwortmanager hilft Ihnen, den Überblick zu behalten. In der Bundesverwaltung steht dazu die Anwendung KeePass standardmässig zur Verfügung. Videotutorials zu KeePass finden Mitarbeitende der Bundesverwaltung hier.
Schutz privater Geräte: Viele neue Betriebssysteme haben bereits eine integrierte Firewall, einen Virenschutz und eine automatische Updatefunktion. Aktivieren Sie die automatischen Updates bei der Inbetriebnahme eines neuen privaten Geräts, wenn Sie dazu aufgefordert werden. Veraltete Programme sind ein beliebtes Einfallstor für Angreiferinnen und Angreifer. Stellen Sie sicher, dass sämtliche Geräte (Rechner, Tablets, Smartphones etc.) die verfügbaren Sicherheitsupdates automatisch einspielen.
Weitere Tipps zum Schutz vor Cyberrisiken finden Sie auf der Internetseite des NCSC: https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-private.html
BIT-Kontakt:
Günther Stattenberger
Business Owner Network Services
Tel.: 058 464 31 60
Text: Suela Amin
