{"id":52,"date":"2013-09-02T17:18:45","date_gmt":"2013-09-02T15:18:45","guid":{"rendered":"http:\/\/ngweb.netnea.com\/cms\/?p=52"},"modified":"2021-03-27T21:05:38","modified_gmt":"2021-03-27T20:05:38","slug":"workshop-cyberangriff-auf-die-schweiz-beim-bundesamt-fur-bevolkerungsschutz","status":"publish","type":"post","link":"https:\/\/www.netnea.com\/cms\/2013\/09\/02\/workshop-cyberangriff-auf-die-schweiz-beim-bundesamt-fur-bevolkerungsschutz\/","title":{"rendered":"Workshop Cyberangriff auf die Schweiz beim Bundesamt f\u00fcr Bev\u00f6lkerungsschutz"},"content":{"rendered":"<p>Das Bundesamt f\u00fcr Bev\u00f6lkerungsschutz (BABS) unterst\u00fctzt die Umsetzung der im Juni 2012 vom Bundesrat verabschiedeten Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken, indem es zusammen mit Spezialisten ein Cyberangriff-Szenario erarbeitet und bewertet hat. Das ausgew\u00e4hlte DDoS (Distributed Denial of Service) Angriffszenario ist eines von insgesamt 13 Gef\u00e4hrdungen, welche das BABS 2012 in einzelnen Workshops bearbeitet hat (Siehe auch <a href=\"http:\/\/www.bevoelkerungsschutz.admin.ch\/internet\/bs\/de\/home\/themen\/gefaehrdungen-risiken\/nat__gefaehrdungsanlayse.html\">die nationale Gef\u00e4hrdungsanalyse<\/a>). Weitere Szenarien widmen sich u.a. den Themen Trockenheit, grosser Chemieunfall, Tierseuche oder Anschlag mit einer \u201eDirty Bomb\u201c auf einen Verkehrsknotenpunkt. Ich war f\u00fcr netnea.com als DDoS-Experte am Workshop mit dabei. Weitere Fachleute nahmen u.a. aus der Bundesverwaltung (z.B. MELANI), der Finanz- und Versicherungsindustrie oder von Switch teil.<\/p>\n<p>Aufgrund der Bewertungen in den Workshops soll eine zweidimensionale Matrix mit den Achsen Schadensausmass A (X-Achse) und Eintrittswahrscheinlichkeit W (Y-Achse) erstellt werden, in der die verschiedenen Gef\u00e4hrdungen vergleichend dargestellt werden (Siehe Grafik). Darauf basierend k\u00f6nnen auf einer strategischen Ebene entsprechend Schutzmassnahmen abgeleitet werden.<\/p>\n<p><a href=\"\/cms\/wp-content\/uploads\/2013\/09\/Risikomatrix.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-53\" alt=\"Risikomatrix\" src=\"\/cms\/wp-content\/uploads\/2013\/09\/Risikomatrix.png\" width=\"679\" height=\"590\"><\/a><\/p>\n<p><em>Beispiel einer einfachen Vergleichsmatrix aus <a href=\"http:\/\/www.kataplan.ch\/\">dem Leitfaden f\u00fcr Kantonale Risikoanalysen (Kataplan)<\/a>.<\/em><\/p>\n<p>Die Frage ist nun nat\u00fcrlich, wie man bei einer m\u00f6glichen DDoS-Attacke die Eintrittswahrscheinlichkeit und die Auswirkungen bewertet. Und hierauf hat man aus meiner Sicht eine sehr gute Antwort gefunden. Das BABS arbeitet mit einer selbst entwickelten Bewertungsmethode, die einen einfachen Einstieg in die Bewertung erlaubt und es damit m\u00f6glich macht, mit unterschiedlichen Personen in vergleichsweise kurzer Zeit ein komplexes Szenario zu bewerten. Ich will die Methode hier nicht im Detail beschreiben (diese ist auf Anfrage beim BABS erh\u00e4ltlich). Ein paar Stichworte m\u00fcssen gen\u00fcgen:<\/p>\n<p>F\u00fcr die Einsch\u00e4tzung der Auswirkungen wurde aus der <a href=\"http:\/\/www.admin.ch\/ch\/d\/sr\/101\/index.html\">Schweizerischen Bundesverfassung<\/a> eine Liste von sch\u00fctzenswerten G\u00fctern physischer und ideeller Natur abgeleitet. Menschenleben, \u00d6kosysteme, aber auch Grundrechte (z.B. Redefreiheit) seien als Beispiele genannt. Nun wurde das Szenario mit seinen Auswirkungen auf die verschiedenen &#8220;G\u00fcter&#8221; in der Expertenrunde besprochen. Jeder Teilnehmer gab einzeln seine Einsch\u00e4tzung ab, und dann wurden insbesondere die Extremwerte diskutiert und begr\u00fcndet, bis ein Konsens erzielt werden konnte. Wobei die Moderatoren durchaus den n\u00f6tigen Druck aufbrachten, um die Sache vern\u00fcnftig zu beschleunigen.<\/p>\n<p>Das DDoS-Szenario, mit dem wir es zu tun hatten, war ein organisierter Angriff auf die Schweiz, nachdem die Konten von abgesetzten Regierungsmitgliedern eines Drittlandes gesperrt worden waren. Ziel der Angreifer waren zun\u00e4chst einige Medienh\u00e4user und die Bundesverwaltung, in einer zweiten, heisseren Phase ferner die Zug\u00e4nge zu grossen nationalen Online-Banking-Plattformen.<\/p>\n<p>Die Workshopteilnehmer haben die Angriffe als schmerzhaft, aber nicht als existenzbedrohend charakterisiert. Tats\u00e4chlich war das Szenario so angelegt, dass die wirklich wichtigen Ziele nicht betroffen waren. Entsprechend bewerteten wir die Auswirkungen des Szenarios in fast allen Kategorien sehr tief. Lediglich bei der wirtschaftlichen Leistungsf\u00e4higkeit (Opportunit\u00e4tskosten!) sahen wir sp\u00fcrbare Auswirkungen, und eine gewisse Rufsch\u00e4digung sowohl im Innern als auch international schien uns ebenfalls gegeben. Ich w\u00fcrde soweit gehen zu sagen, dass das \u201ezahme\u201c Szenario den Eindruck erwecken k\u00f6nnte, dass DDoS ungef\u00e4hrlich sei. Diese Einsch\u00e4tzung w\u00e4re aber falsch. Vielmehr kann eine kleine Verschiebung der Angriffsziele die Sch\u00e4den um mehrere Kategorien erh\u00f6hen (Ein Erdbeben in Basel hat ja auch nicht dieselben Auswirkungen wie ein Erdbeben im Calancatal). Zudem wurde das Szenario in der h\u00f6chsten Wahrscheinlichkeitsklasse eingesch\u00e4tzt.<\/p>\n<p>Interessant war, dass ich die Intensit\u00e4t des Szenarios zu Beginn durchaus als gross betrachtete (die Methode unterscheidet zwischen erheblicher, grosser und extremer Intensit\u00e4t). Nach Abschluss des Workshops erschien es mir aber wirklich nur noch als eine Gefahr mit vergleichsweise geringen Auswirkungen auf die Gesellschaft. Im Workshop waren wir uns einig, dass ein Grund f\u00fcr die vergleichsweise kleinen Auswirkungen u.a. in der Struktur unserer Verwaltung zu suchen ist. Das Internet ist zwar wichtig, aber es ist immer noch einer von mehreren Kan\u00e4len: Wenn die Verwaltung mittels DDoS-Angriff auf die Mailserver beeintr\u00e4chtigt wird, dann greift man eben zum Telefon. Die Amtsgesch\u00e4fte der B\u00fcrger sind ohnehin in personam oder mit der Briefpost zu t\u00e4tigen. Wenn das Online-Banking nicht mehr erreichbar ist, dann steht der Bankschalter weiterhin zur Verf\u00fcgung, etc.<\/p>\n<p>Eine st\u00e4rkere Ausrichtung auf das Internet und der R\u00fcckbau der physikalischen Gesch\u00e4ftsstellen und Schalter w\u00fcrden die Verwundbarkeit des Landes auf diese Form von Angriffen tats\u00e4chlich erh\u00f6hen. Auch dies eine Einsicht, die w\u00e4hrend des Workshops in jedem einzelnen Auswirkungsbereich immer wieder neu sichtbar wurde.<\/p>\n<p>Alles in allem ein sehr spannender Tag beim BABS. Dort werden die verschiedenen Workshops nun ausgewertet und in einem Bericht zusammengefasst, der voraussichtlich im Fr\u00fchjahr 2013 der \u00d6ffentlichkeit zug\u00e4nglich gemacht werden wird.<\/p>\n<p>Christian Folini, netnea.com<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das Bundesamt f\u00fcr Bev\u00f6lkerungsschutz (BABS) unterst\u00fctzt die Umsetzung der im Juni 2012 vom Bundesrat verabschiedeten Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken, indem es zusammen mit Spezialisten ein Cyberangriff-Szenario erarbeitet und bewertet hat. Das ausgew\u00e4hlte DDoS (Distributed Denial of Service) Angriffszenario ist eines von insgesamt 13 Gef\u00e4hrdungen, welche das BABS 2012 in einzelnen Workshops [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[15],"class_list":{"0":"post-52","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-security","7":"tag-security-2","8":"czr-hentry"},"_links":{"self":[{"href":"https:\/\/www.netnea.com\/cms\/wp-json\/wp\/v2\/posts\/52","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.netnea.com\/cms\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.netnea.com\/cms\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.netnea.com\/cms\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.netnea.com\/cms\/wp-json\/wp\/v2\/comments?post=52"}],"version-history":[{"count":3,"href":"https:\/\/www.netnea.com\/cms\/wp-json\/wp\/v2\/posts\/52\/revisions"}],"predecessor-version":[{"id":1792,"href":"https:\/\/www.netnea.com\/cms\/wp-json\/wp\/v2\/posts\/52\/revisions\/1792"}],"wp:attachment":[{"href":"https:\/\/www.netnea.com\/cms\/wp-json\/wp\/v2\/media?parent=52"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.netnea.com\/cms\/wp-json\/wp\/v2\/categories?post=52"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.netnea.com\/cms\/wp-json\/wp\/v2\/tags?post=52"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}