Das Bundesamt für Bevölkerungsschutz (BABS) unterstützt die Umsetzung der im Juni 2012 vom Bundesrat verabschiedeten Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken, indem es zusammen mit Spezialisten ein Cyberangriff-Szenario erarbeitet und bewertet hat. Das ausgewählte DDoS (Distributed Denial of Service) Angriffszenario ist eines von insgesamt 13 Gefährdungen, welche das BABS 2012 in einzelnen Workshops bearbeitet hat (Siehe auch die nationale Gefährdungsanalyse). Weitere Szenarien widmen sich u.a. den Themen Trockenheit, grosser Chemieunfall, Tierseuche oder Anschlag mit einer „Dirty Bomb“ auf einen Verkehrsknotenpunkt. Ich war für netnea.com als DDoS-Experte am Workshop mit dabei. Weitere Fachleute nahmen u.a. aus der Bundesverwaltung (z.B. MELANI), der Finanz- und Versicherungsindustrie oder von Switch teil.
Aufgrund der Bewertungen in den Workshops soll eine zweidimensionale Matrix mit den Achsen Schadensausmass A (X-Achse) und Eintrittswahrscheinlichkeit W (Y-Achse) erstellt werden, in der die verschiedenen Gefährdungen vergleichend dargestellt werden (Siehe Grafik). Darauf basierend können auf einer strategischen Ebene entsprechend Schutzmassnahmen abgeleitet werden.
Beispiel einer einfachen Vergleichsmatrix aus dem Leitfaden für Kantonale Risikoanalysen (Kataplan).
Die Frage ist nun natürlich, wie man bei einer möglichen DDoS-Attacke die Eintrittswahrscheinlichkeit und die Auswirkungen bewertet. Und hierauf hat man aus meiner Sicht eine sehr gute Antwort gefunden. Das BABS arbeitet mit einer selbst entwickelten Bewertungsmethode, die einen einfachen Einstieg in die Bewertung erlaubt und es damit möglich macht, mit unterschiedlichen Personen in vergleichsweise kurzer Zeit ein komplexes Szenario zu bewerten. Ich will die Methode hier nicht im Detail beschreiben (diese ist auf Anfrage beim BABS erhältlich). Ein paar Stichworte müssen genügen:
Für die Einschätzung der Auswirkungen wurde aus der Schweizerischen Bundesverfassung eine Liste von schützenswerten Gütern physischer und ideeller Natur abgeleitet. Menschenleben, Ökosysteme, aber auch Grundrechte (z.B. Redefreiheit) seien als Beispiele genannt. Nun wurde das Szenario mit seinen Auswirkungen auf die verschiedenen “Güter” in der Expertenrunde besprochen. Jeder Teilnehmer gab einzeln seine Einschätzung ab, und dann wurden insbesondere die Extremwerte diskutiert und begründet, bis ein Konsens erzielt werden konnte. Wobei die Moderatoren durchaus den nötigen Druck aufbrachten, um die Sache vernünftig zu beschleunigen.
Das DDoS-Szenario, mit dem wir es zu tun hatten, war ein organisierter Angriff auf die Schweiz, nachdem die Konten von abgesetzten Regierungsmitgliedern eines Drittlandes gesperrt worden waren. Ziel der Angreifer waren zunächst einige Medienhäuser und die Bundesverwaltung, in einer zweiten, heisseren Phase ferner die Zugänge zu grossen nationalen Online-Banking-Plattformen.
Die Workshopteilnehmer haben die Angriffe als schmerzhaft, aber nicht als existenzbedrohend charakterisiert. Tatsächlich war das Szenario so angelegt, dass die wirklich wichtigen Ziele nicht betroffen waren. Entsprechend bewerteten wir die Auswirkungen des Szenarios in fast allen Kategorien sehr tief. Lediglich bei der wirtschaftlichen Leistungsfähigkeit (Opportunitätskosten!) sahen wir spürbare Auswirkungen, und eine gewisse Rufschädigung sowohl im Innern als auch international schien uns ebenfalls gegeben. Ich würde soweit gehen zu sagen, dass das „zahme“ Szenario den Eindruck erwecken könnte, dass DDoS ungefährlich sei. Diese Einschätzung wäre aber falsch. Vielmehr kann eine kleine Verschiebung der Angriffsziele die Schäden um mehrere Kategorien erhöhen (Ein Erdbeben in Basel hat ja auch nicht dieselben Auswirkungen wie ein Erdbeben im Calancatal). Zudem wurde das Szenario in der höchsten Wahrscheinlichkeitsklasse eingeschätzt.
Interessant war, dass ich die Intensität des Szenarios zu Beginn durchaus als gross betrachtete (die Methode unterscheidet zwischen erheblicher, grosser und extremer Intensität). Nach Abschluss des Workshops erschien es mir aber wirklich nur noch als eine Gefahr mit vergleichsweise geringen Auswirkungen auf die Gesellschaft. Im Workshop waren wir uns einig, dass ein Grund für die vergleichsweise kleinen Auswirkungen u.a. in der Struktur unserer Verwaltung zu suchen ist. Das Internet ist zwar wichtig, aber es ist immer noch einer von mehreren Kanälen: Wenn die Verwaltung mittels DDoS-Angriff auf die Mailserver beeinträchtigt wird, dann greift man eben zum Telefon. Die Amtsgeschäfte der Bürger sind ohnehin in personam oder mit der Briefpost zu tätigen. Wenn das Online-Banking nicht mehr erreichbar ist, dann steht der Bankschalter weiterhin zur Verfügung, etc.
Eine stärkere Ausrichtung auf das Internet und der Rückbau der physikalischen Geschäftsstellen und Schalter würden die Verwundbarkeit des Landes auf diese Form von Angriffen tatsächlich erhöhen. Auch dies eine Einsicht, die während des Workshops in jedem einzelnen Auswirkungsbereich immer wieder neu sichtbar wurde.
Alles in allem ein sehr spannender Tag beim BABS. Dort werden die verschiedenen Workshops nun ausgewertet und in einem Bericht zusammengefasst, der voraussichtlich im Frühjahr 2013 der Öffentlichkeit zugänglich gemacht werden wird.
Christian Folini, netnea.com