3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44

transfer

02 | 2020 DAS RITTMEYER KUNDENMAGAZIN Schreckmoment Rittmeyers IKT-Sicherheitsstrategie bestand den Härtetest Zwischen Bürostuhl und Bildschirm Gezielte Sensibilisierung der Mitarbeitenden auf potenzielle Gefahren IKT-Minimalstandard Minimal und doch anspruchsvoll

PERSÖNLICH GESPROCHEN Meistens kommt es ANDERS… PERSÖNLICH GESPROCHEN 02| 2020 2 | 3

Als wir im Juni unsere Redaktionssitzung für die Ihnen nun vorliegende Ausgabe des ‹transfer› abhielten – sieben Personen mit gebührlichem Abstand, in einem fast turnhallengrossen Raum – wussten wir vieles von dem noch nicht, was die kommenden Monate uns bringen würden. COVID-19 hat so manche unserer Pläne und vermutlich auch der Ihren über den Haufen geworfen. Nicht nur unser privates Leben geriet aus dem Tritt. Auch bei unserer täglichen Arbeit mussten wir gemeinsam mit Ihnen vor Ort vielerlei Herausforderungen lösen. Wir mussten erkennen, dass Inbetriebsetzung oder Anlagenunterhalt unter Einhaltung der Schutzbestimmungen nicht ganz so einfach sind. Mit Ihrer Unterstützung gelang es jedoch, das meiste termingerecht und ohne dass wir die Gesundheit von Ihnen oder unseren Mitarbeitenden gefährdeten. Dafür möchte ich Ihnen an dieser Stelle nochmals danken. Was wir ebenfalls noch nicht ahnten, war, wie realitätsnah unser für diese Ausgabe gewähltes Schwerpunktthema ‹IKT-Sicherheit› plötzlich für uns selbst werden würde. Im September wurde die BRUGG GROUP Opfer eines Cyber-Angriffs. Auch wenn unsere IT und damit Teile der Unternehmensgruppe für einige Tage ausser Gefecht gesetzt waren, durften wir erkennen, dass die Sicherheitsstrategie unserer IT-Spezialisten uns vor Schlimmem bewahrt hat: die Daten unserer Kunden waren zu jeder Zeit sicher, alle Systeme konnten geordnet wieder hochgefahren werden. Um ein bekanntes Sprichwort zu strapazieren: Es kam zwar alles anders, aber zweitens genauso, wie man dies planen – und damit sichern konnte. Diesem ‹Anlass› haben wir deshalb den Leitartikel gewidmet und versuchen, gemeinsam mit den verantwortlichen Akteuren unseres Unternehmens Ursache und Ausgang zu rekapitulieren. Axpo ist das grösste Energieunternehmen der Schweiz. Entsprechend kritisch sind deren Infrastrukturen für die Versorgungssicherheit des Landes. Chief Information Security O�cer Daniel Gerber gibt uns einen Einblick in Strategien und Massnahmen des Konzerns, um Cyber-Angriffe früh erkennen und schnell agieren zu können. Wie gehen Wasserversorger in der Schweiz, Deutschland und Österreich mit den Herausforderungen an die IKT-Sicherheit um? Wir sprachen mit Sylvia Wetzel, designierte ISMS-Managerin der Landeswasserversorgung Stuttgart (ab Seite 24), Manfred Becker, Betriebsleiter der Wasserwerke Wiener Neustadt (ab Seite 36) sowie mit Martin Büeler und Michael Reiser von der Genossenschaft Wasserversorgung Rapperswil-Jona (ab Seite 17). Sie alle berichten über ihre Wege zur Sicherung der IKT-Infrastrukturen und über die unterschiedlichen gesetzlichen Rahmenbedingungen der drei Länder. Für kleine Versorger, wie die Genossenschaft Wasserversorgung Vorderes Diemtigtal im Berner Oberland, waren die Empfehlungen des SVGW zum IKT-Minimalstandard eine gute Hilfe bei der Sicherung ihres Betriebs. Brunnenmeister Thomas Gartwyl und Präsident Hansruedi Brunner berichten von ihren Entscheidungen ab Seite 30. Und weshalb ein Einbruch auch der Auslöser für eine neue IKT-Sicherheitsstrategie war, erzählt uns Karl Koller, Betriebsleiter der ARA Obersee, im Beitrag ab Seite 33. Sehr aufschlussreich war unser Gespräch mit einem Guten der Bösen, dem manchmal als ‹White Hat Hacker› agierenden IT-Sicherheitsspezialisten Philipp Zihler der b-secure GmbH. Er öffnet uns die Augen für die Methoden des Social Engineerings, der wohl inzwischen erfolgreichsten Strategie krimineller Eindringlinge. Ab Seite 10 lesen Sie, weshalb es so wichtig ist, Mitarbeitende kontinuierlich und immer wiederkehrend zu schulen und für derlei Methoden zu sensibilisieren. Wie brisant das Thema IKT-Sicherheit ist, haben wir am eigenen Leib verspürt. Im Nachhinein dürfen wir erleichtert feststellen, dass wir richtig gemacht hatten, was man richtig machen konnte. Die Zertifizierung der Rittmeyer AG nach ISO 27001 war dabei definitiv ein wichtiger Schritt (mehr dazu ab Seite 14). Unser Appell und die Aussage unserer Interviewpartner sind deshalb eindeutig: Machen Sie sich, Ihre Anlagen und Ihre Mitarbeitenden fit für die Herausforderung der Cyber Security! Ich hoffe, dass Ihnen diese Ausgabe des ‹transfer› dazu die eine oder andere Anregung geben kann. Herzlichst, Andreas Borer, CEO, Rittmeyer AG

et gekappt. Die Presse berichtete UGG GROUP, Mutter der Rittmeyer AG, ines cyber-angriffs. Seit jenem gingen inzwischen einige Wochen ins n und Folgen des IT-Sicherheitsvorfalls arenter. Ein Protokoll. BRUGG GROUP vor Ort und versuchen sich ein Bild zu verschaffen. Netzwerkstörung? Stromausfall? Die IT-Abteilungen der BRUGG GROUP werden über ‹Störungen im informiert. Die ersten Server von Rittmeyer sind offline. ‹Bing› nun ebenfalls beim Rittmeyer-Picket. Die gehäuften Meldungen verhiessen nichts Schnell wurde in den Datenablagen ersichtlich, dass Dateien verschl üsselt waren. Auch wenn wir die Ursache n och nicht kannten, war der Fall klar: Das war gravierenderes Problem», entsinnt sich Roland Hürlimann. Er war die ab jetzt wohl meist geforderte Person im Unternehmen, das ISO-27001-zertifizierte Information ssicherheitsmanagementsystem (ISMS ) der Rittmeyer AG erhielt seine Feuertauf e. Und dann ging es Schlag auf Schlag. Alle IT-Dienste bei Rittmeyer werden heruntergefahren. Jetzt gilt es, das zunächst unvermeidbare Chaos in Bahnen zu lenken. 25 Personen und mehr waren versammelt – Rittmeyer-Mitarbeitende, externe Partner und Kollegen anderer Unternehmen der BRUGG GROUP. Man muss sich finden, definieren wer was zu erledigen hat, eine der Situation angemessene Führung etablieren. «So etwas kann man nicht simulieren, denn der Ernstfall ist immer anders», sagt Rittmeyer-CEO Andreas Borer. Da hätten letztlich die Erfahrungen der Beteiligten aus Freiwilliger Feuerwehr, Zivilschutz und anderen Miliz-Organisationen sehr geholfen, meint Borer. Namenschilder mussten her, ein Organigramm aufgezeichnet, Präsenzlisten geführt werden: «Gut die ind informiert: Polizei, Versicherung, das nationale Zentrum für Cybersicherheit. Als Sofortmassnahme wird die weltweite Isolation aller Datenzentren der BRUGG GROUP in Angriff genommen. Kein Internet. Abgetrennt von der Aussenwelt. Alle Rechner heruntergefahren. Kein Bit rein, keines hinaus. Verhindern, dass sich Schadsoftware verbreiten kann und Angreifer weiterhin Zugriff auf das System haben. Die Arbeit steht still. Alle Mitarbeitenden mit Ausnahme der IT-Abteilung werden nach Hause geschickt. 10:00 Uhr Das Haus ist nahezu leer, die Parkplätze verwaist, alles wie ausgestorben. Nur das Gewusel im Kommandoraum. 12:17 Uhr Weltweit sind alle IT-Systeme der BRUGG GROUP abgeschaltet. 15:31 Uhr Sämtliche Standorte sind vom Internet isoliert. → 6 20 INHALT IMPRESSUM transfer ist das Kundenmagazin der Rittmeyer AG und erscheint zweimal im Jahr. Herausgeber Rittmeyer AG Ein Unternehmen der BRUGG GROUP Inwilerriedstrasse 57, CH - 6341 Baar www.rittmeyer.com Verantwortlich für den Inhalt Andreas Borer (v.i.S.d.P.) Redaktion und Umsetzung up! consulting ag, Ruggell (FL) E-Mail an die Redaktion transfer@rittmeyer.com Bildnachweis Rittmeyer AG, iStock (DedMityay: 6–9 | Anastasiia_Guseva: S. 6–9 | Feodora Chiosea: S. 10, 12 | Serdarbayraktar: S. 14–16 | ilbusca: S. 17–19 | ands456: S. 4, 20–21 | in-future: S. 20–23 | Kritchanut: S. 22–23 | fritschk: S. 24 | Fug4s: S. 27–29 | Olena Horbatiuk: S. 27 | skodonnell: S. 28 | ratpack223: S. 33 | CarmenMurillo: S. 33 | scanrail: S. 33 | carduus: S. 36–37 | mladensky: S. 38–40), Jens Ellensohn (S. 2, 28), Adobe Stock ( Waldteufel: S. 30–32), Bwag, CC-BY-SA-4.0 (S. 36), privat z.V. g. Erscheinungstermin November 2020 Falsche Anschrift? Bitte teilen Sie uns mit, sollten Sie eine neue Anschrift haben: www.rittmeyer.com/anschrift Die in den Artikeln veröffentlichten Ansichten, Meinungen und Empfehlungen Dritter müssen nicht mit der Meinung der Rittmeyer AG übereinstimmen. 10 Wie erpresst man einen Betreiber einer kritischen Infrastruktur? Im Gespräch mit einem ‹White Hat Hacker› 14 ISO 27001: Warum Rittmeyer auf die Königsklasse der Sicherheitsstandards setzt 17 Abstrakte Welt: IKT-Sicherheit beim Wasserversorger 24 Gesetzliche IT-Sicherheitsmassnahmen bei kritischen Infrastrukturen in Deutschland 27 Weltall an Erde: Verstehen schaffen bei der IKT-Sicherheit 30 Man kann nie wissen: Warum eine Berggemeinde auf den IKT-Minimalstandard setzt 33 Schlüsselerlebnis Einbruch: Optimierung der IKT-Sicherheit bei der ARA Obersee 36 Wie die Grossen: Umfassende IKT-Sicherheitsmassnahmen bei österreichischer Wasserversorgung Nein zur digitalen Mafia Cyber-Angriffe früh erkennen und schnell agieren Böses Erwachen Protokoll eines Cyber-Angriffs … und der Tage danach 38 Wie eine Wintertourismusgemeinde mit schwankendem Strombedarf umgeht 41 Möglichkeiten nutzen: Fällmitteldosierung ‹in Echtzeit› – und mehr FACHTHEMA & INTERVIEW APPLIKATION & STORY ZAHLEN & FAKTEN 02| 2020 4 | 5

Authentifizierung ZAHLEN & FAKTEN Quelle: IBM Studie «Future of Identity» 2018 Quelle: Duo Security Phishing Kampagnen, 2016 Hacker werden immer effizienter darin, sich unbefugten Zugang zu Benutzeraccounts zu verschaffen. Gleichzeitig fällt es vielen Usern schwer, mit der zunehmenden Flut an einzigartigen Passwörtern umzugehen. Rund um den Globus beschäftigen sich Spezialisten in einem Wettlauf gegen die Hacker mit Authentifizierungsprozessen und Passwort-Alternativen, die sicher und benutzerfreundlich zugleich sind. Wahrgenommene Sicherheit von Authentifizierungsmethoden 44% Fingerabdruckscans 2553 Empfänger 27% haben auf den Link geklickt. 31% haben die Mail geöffnet. 17% haben Zugangsdaten eingegeben. 27% Alphanumerische Passwörter 30% Retinascans 12% Pin-Codes 12% Gesichtserkennung 1 _ _ _ Biometrische Daten: Fingerabduckscans, Retinascans, Gesichtserkennung, Stimme der Unternehmen weltweit verwenden Multifaktor-Authentifizierung (LastPass, 2019) Multifaktor-Authentifizierung Phishing Durch die Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren) zur Authentifizierung wird höhere Sicherheit gegen Missbrauch gewährleistet. Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet- Benutzers zu gelangen, sind nach wie vor eine ernstzunehmende Bedrohung. Im Auftrag ihrer Kunden verschickte die Cyber-Sicherheitsfirma Duo Security Phishing E-Mails an deren Mitarbeitenden. Objekte: physische Schlüssel, Mikrochips, Sim-Karten, USB-Sticks Wissen: Passwörter, Pins und Sicherheitsfragen 57%

FACHTHEMA BÖSES ERWACHEN Protokoll eines Cyber-Angriffs … und der Tage danach Nichts ging mehr. Ausnahmezustand! Alle Rechner off, das Internet gekappt. Die Presse berichtete davon: Die BRUGG GROUP, Mutter der Rittmeyer AG, wurde Opfer eines Cyber-Angriffs. Seit jenem 10. September gingen inzwischen einige Wochen ins Land, Ursachen und Folgen des IT-Sicherheitsvorfalls werden transparenter. Ein Protokoll. Mittwoch, 9. September 2020, gegen 23:45 Uhr Die Welt scheint in Ordnung, alle Systeme ‹up and running›. Roland Hürlimann schaltet zuhause das Licht aus, geht schlafen. Hürlimann ist Chief Information Officer (CIO) der BRUGG GROUP und der Rittmeyer AG. An die Uhrzeit erinnert er sich, er hat noch die Spätnachrichten angeschaut. Donnerstag, 10. September 2020, 04:00 Uhr Ein unbekannter Angreifer startet die Verschlüsselung von Systemen der BRUGG GROUP. 04:03 Uhr Das Picket-Handy des Mitarbeiters in IT-Bereitschaft der BRUGG GROUP meldet sich mit einem ersten kurzen ‹Bing›: Ein Server ist nicht erreichbar. In den folgenden Stunden läuten Zug um Zug die Picket-Handys aller Gruppenmitglieder. ‹Bing›. ‹Server nicht erreichbar›. kurz nach 6 Uhr IT-Techniker sind inzwischen an den verschiedenen Standorten der BRUGG GROUP vor Ort und versuchen sich ein Bild zu verschaffen. Netzwerkstörung? Stromausfall? 06:30 Uhr Die IT-Abteilungen der BRUGG GROUP werden über ‹Störungen im IT-Betrieb› informiert. 06:45 Uhr Die ersten Server von Rittmeyer sind offline. ‹Bing› nun ebenfalls beim Rittmeyer-Picket. Die gehäuften Meldungen verhiessen nichts Gutes. «Schnell wurde in den Datenablagen ersichtlich, dass Dateien versc hlüsselt waren. Auch wenn wir die Ursache noch nicht kannten, war der Fall klar: Das war ein gravierenderes Problem», entsinnt sich CIO Roland Hürlimann. Er war die ab jetzt wohl meist geforderte Person im Unternehmen, das ISO-27001-zertifizierte Information ssicherheitsmanagementsystem (ISMS ) der Rittmeyer AG erhielt seine Feuertauf e. Und dann ging es Schlag auf Schlag. 07:10 Uhr Alle IT-Dienste bei Rittmeyer werden heruntergefahren. 02| 2020 6 | 7 transfer

07:30 Uhr Die für solche Fälle vorbestimmte Task Force wird einberufen. 07:40 Uhr Die externen mit IT-Services und IT-Sicherheit beauftragten Partner werden aufgeboten. 08:08 Uhr Alle Mitarbeitenden sind informiert und aufgefordert, ihre Computer herunterzufahren. 09:10 Uhr Die Taskforce ist komplett versammelt, ein ‹Kommandoraum› eingerichtet. Er wird für die meisten das Zuhause der kommenden Tage. Jetzt gilt es, das zunächst unvermeidbare Chaos in Bahnen zu lenken. 25 Personen und mehr waren versammelt – Rittmeyer-Mitarbeitende, externe Partner und Kollegen anderer Unternehmen der BRUGG GROUP. Man muss sich finden, definieren wer was zu erledigen hat, eine der Situation angemessene Führung etablieren. «So etwas kann man nicht simulieren, denn der Ernstfall ist immer anders», sagt Rittmeyer-CEO Andreas Borer. Da hätten letztlich die Erfahrungen der Beteiligten aus Freiwilliger Feuerwehr, Zivilschutz und anderen Miliz-Organisationen sehr geholfen, meint Borer. Namenschilder mussten her, ein Organigramm aufgezeichnet, Präsenzlisten geführt werden: «Gut die m M P Hälfte der Personen kamen von aussen dazu, kannten einander nicht», schildert der CEO die Situation der ersten Stunden. «Und dies alles ‹on top of Corona›.» 09:30 Uhr Alle Instanzen sind informiert: Polizei, Versicherung, das nationale Zentrum für Cybersicherheit. Als Sofortmassnahme wird die weltweite Isolation aller Datenzentren der BRUGG GROUP in Angriff genommen. Kein Internet. Abgetrennt von der Aussenwelt. Alle Rechner heruntergefahren. Kein Bit rein, keines hinaus. Verhindern, dass sich Schadsoftware verbreiten kann und Angreifer weiterhin Zugriff auf das System haben. Die Arbeit steht still. Alle Mitarbeitenden mit Ausnahme der IT-Abteilung werden nach Hause geschickt. 10:00 Uhr Das Haus ist nahezu leer, die Parkplätze verwaist, alles wie ausgestorben. Nur das Gewusel im Kommandoraum. 12:17 Uhr Weltweit sind alle IT-Systeme der BRUGG GROUP abgeschaltet. 15:31 Uhr Sämtliche Standorte sind vom Internet isoliert. →

FACHTHEMA Kompetente Expertenhilfe vor Ort In den kommenden Stunden und Tagen kümmerten sich zwei Teams um die Bereinigung des Vorfalls. Das erste der mit externen Spezialisten besetzten Teams hat sich auf die Untersuchung fokussiert. Michel Herzog, Chief Information Security O�cer (CISO): «Ihre zu klärenden Fragen waren: Was ist passiert?, Wie ist der Angreifer ins System eingedrungen?, Welche Teile sind betroffen?, Wie können wir in Folge sicher sein, dass das System später wieder sauber ist?». Das zweite, ein im Morgengrauen des 11. Septembers aus den Niederlanden eingeflogenes Expertenteam, fokussierte sich auf das Recovery, also das Säubern und das sichere Wiederherstellen der betroffenen Systeme. Eine schwierige und heikle Aufgabe. Andreas Borer sieht darin eine Analogie zu einem elektrischen Versorgungsnetz: «Wenn ein Fehler passiert, muss dieser isoliert werden. Und dann muss wiederversorgt werden. Der kritische Prozess ist dabei nicht das Abstellen, sondern das Wiedereinschalten.» Alternative Kommunikationswege Eine der ersten Massnahmen war das Zurücksetzen sämtlicher Benutzerkonten und Passwörter. Von diesem Moment an konnte keiner mehr auf seinen Rechner, geschweige denn auf seine E-Mails zugreifen. Die ganze Firmengruppe: weg! In der Schweiz, im Ausland: alle abgehängt, vom Netz getrennt. «Da hat man rasch einen Weg suchen müssen, wie wir weiter mit diesen Leuten kommunizieren können», erinnert sich Andreas Borer. So wurde WhatsApp für ein paar Tage zum Führungsinstrument. «Echte Schattenkommunikation», schmunzelt Borer heute. Verstehen, was geschah Die IT-Teams arbeiteten rund um die Uhr. Samstag. Sonntag. Sie versuchten zu rekonstruieren was genau und wo es passiert ist, welche Systeme betroffen sind. «Basierend auf diesem Know-how entscheidet man sich für eine entsprechende Bereinigungs- und Recovery-Strategie», erklärt Michel Herzog. Eine grosse Herausforderung hierbei sei, dass man das System in der Tiefe kennen und verstehen muss. Und eine weitere die Kommunikation unter den beteiligten Experten: «Wenn es dann schnell gehen muss, kann auch die Sprachbarriere eine Hürde sein», erinnert sich Borer an die anfangs holprige Verständigung unter den eingesetzten in- und ausländischen Expertenteams. Wie kommunizieren, was geschah? Dennoch: Gewissheit benötigt Zeit. So gab es schon Klagen, dass man in den Anfangstagen von einer ‹Störung› redete, und das Kind nicht beim Namen nannte. «Aus untersuchungstaktischen Gründen kann man nicht alles veröffentlichen. Solange man nicht weiss, mit welchem Angreifer man es zu tun hat, redet man von einer Störung. Das ist das übliche vereinbarte Vorgehen in der Zusammenarbeit mit den Strafverfolgungsbehörden», stellt CISO Michel Herzog klar. «Da geht es nicht darum, etwas zu vertuschen.» Und ja, es gehe auch darum, nichts Falsches zu sagen, Verwirrung zu vermeiden, Panik zu verhindern. «Das ist ein wahrer Spagat», meint Andreas Borer, der während dieser Tage Unterstützung von darin erfahrenen Kommunikationsberatern hatte. Ransomware – und keine ‹Metastasen› Schliesslich konnte man eruieren, welche Schadsoftware und welche Werkzeuge verwendet wurden, und von welchen Orten aus der Angreifer diese eingesetzt hatte. Für die meisten doch erstaunlich war, dass die benutzte Ransomware kein vom Angreifer eigens entwickeltes Tool war, sondern ‹gemietet› war und lediglich von ihm ins Netzwerk eingebracht und dort ausgeführt wurde. «Deshalb konnten wir davon ausgehen, dass es sich nicht um einen gezielten Angriff auf die BRUGG GROUP gehandelt hat. Es war Zufall, weil der Angreifer hier eine offene Stelle fand», erklärt der CIO. «Der Angreifer hat eine Lücke gefunden, sich dann mit dem Unternehmen auseinandergesetzt, sich informiert und darauf das Erpressungsgeld formuliert.» Vom Wissen über andere Angriffe ist bekannt, dass es bei dieser Art von Ransomware nur um die Erpressung geht und die eingesetzte Schadsoftware keinen ‹metastasierenden Virus› einschleust, der sich ausserhalb der IT-Systeme der BRUGG GROUP weiterverbreiten würde. Das war schliesslich eine der wichtigsten Erkenntnisse. So erlangte man Gewissheit, dass die Kundensysteme davon entkoppelt waren. Diese zu schützen hatte bei der Untersuchung und der Bereinigung der Systeme höchste Priorität. «Wir können per dato ausschliessen, dass Infektionen der Kundensysteme, beispielsweise über Laptops der Projektingenieure, stattgefunden haben», beruhigt Roland Hürlimann. Grossreinemachen Am Montagmorgen, fünf Tage nach dem Eindringen des Angreifers ins System, kehrten schliesslich die Mitarbeitenden zurück an ihre Arbeitsplätze – wenn auch nicht auf dem direkten Weg. Am Haupteingang wurden zunächst alle umgeleitet zum ‹Help-Point›. Sauber aufgereiht, Laptop unter dem Arm, Mundschutz, zwei Meter Abstand. Corona-Schutzmassnahmen. Also zuerst das Gerät desinfizieren, Bildschirm und Tastatur reinigen und dann 02| 2020 8 | 9

erst in die Hände der IT-Spezialisten übergeben. Die kümmerten sich um das Innenleben: prüfen, säubern, Software neu installieren, Antivirus updaten. «Das war eine grosse Herausforderung, denn wir mussten ja sehr viele Personen gleichzeitig durchschleusen», erinnert sich Roland Hürlimann. Erleichtert – und gestärkt Nicht nur für das ISMS, sondern auch für das gesamte IT-Team der BRUGG GROUP war dieser Vorfall die Feuertaufe. Im Januar erst wurde dieser Bereich neu formiert. Der Team-Event zum besseren Kennenlernen der Kollegen aus den verschiedenen Standorten wurde wegen der Corona-Pandemie immer wieder verschoben. «Das ist fast schon diabolisch, jetzt haben wir diesen Event gehabt», lacht Roland Hürlimann. Wenn auch einen der anderen Art, und einen, den er sich so nicht gewünscht habe. «Aber eines ist sicher: Dieser Vorfall hat uns zusammengeschweisst.» «Und sind wir doch mal ehrlich», sagt Andreas Borer, «alle von uns haben schon irgendwelche Vorträge gehört über Hacker-Angriffe. Die haben wir alle angehört, fanden das spannend – und haben gedacht: Ja, ist alles gut, das passiert schon. Aber nicht mir. Heute müssen wir sagen, man kann das nicht unmittelbarer erfahren, als wenn man selbst betroffen ist. Das ist extrem. Wir wissen jetzt, wie das geht.» War es das? Nein, eine hundertprozentige Sicherheit gäbe es nicht. Diese Welt bewege sich extrem schnell, meint Michel Herzog. «So gut kann man sich gar nicht verteidigen, dass man ausschliessen kann, dass einmal etwas passiert», sagt auch Roland Hürlimann. Solche Vorfälle nähmen weiterhin zu, das Risiko steige täglich. Und wenn man heute gut dasteht, heisse das nicht automatisch, dass das in einem halben Jahr noch genauso ist. Am Ball bleiben, regelmässige Software-Updates, Einspielen verfügbarer Patches, Schulungen der Mitarbeiten. Daran führe kein Weg vorbei. Und selbst dann sei es nicht damit getan, bei Neuanschaffungen einfach nur die jeweils älteste IT-Komponente zu ersetzen. Richtiger sei es, die Architektur anzuschauen, und zu beurteilen, ob man das gesamthaft anders, sicherer lösen kann. Köpfe in der Krise kennen Entscheidend sei es, detektieren zu können, dass ein Angreifer eingedrungen ist. Und falls er es geschafft habe, dabei etwas anzurichten, dass man die Fähigkeiten und Möglichkeiten habe, entsprechend schnell wieder alles bereinigen und hochfahren zu können. Das sei im Grunde genau das, was die BRUGG GROUP jetzt durchlebt habe, fasst Andreas Borer zusammen: «Wir haben gesehen, wie wichtig es ist, dass man auf einen solchen Fall vorbereitet ist, und dass man verlässliche Partner hat, die man kennt und denen man vertraut, mit kurzen, unkomplizierten Kommunikationswegen. Das ist in einer solchen Situation wichtig, denn es muss schnell gehen.» Und auch CISO Michel Herzog ist zufrieden: «Alle Beteiligten haben richtig reagiert. Niemand musste überlegen, ob und wie man die Situation unter dem Deckel halten soll. Es wurde sofort offen kommuniziert, technische Unterstützung angefordert, und sämtliche Ressourcen konzentriert und auf den Vorfall fokussiert.» Die Systeme sind wieder ‹up and running›. Dennoch gibt es nicht einfach ein ‹Zurück zur Tagesordnung›. «IKT-Sicherheit zu gewährleisten, ist ein kontinuierlicher Prozess.», schliesst CIO Roland Hürlimann. «Verlässliche Partner, die man kennt und denen man vertraut, sind entscheidend. Denn es muss schnell gehen.»

INTERVIEW ‹It takes a thief to catch a thief› Wie erpresst man einen Betreiber einer kritischen Infrastruktur? Philipp Zihler ist studierter Informatiker, Partner bei der Firma B-SECURE GmbH und unterrichtet an einer höheren Fachschule in Luzern ICT-Security Management. Und er ist Hacker. Jedoch einer mit guter Absicht: Im Auftrag von KMUs sucht er als ‹White Hat Hacker› potenzielle Schwachstellen in IKT-Infrastrukturen und beurteilt Cyber- Bedrohungen. Im Interview gibt er uns einen Einblick, wie Angreifer ticken, was sie antreibt und wie moderner Cyber Crime funktioniert. INTERVIEW 02| 2020 10 | 11 transfer

Herr Zihler, was ist denn ein White Hat Hacker genau? Philipp Zihler: Ein White Hat Hacker – oder auch Ethical Hacker – versucht im Auftrag von Unternehmen, Schwachstellen in der IT-Umgebung zu identifizieren. Und so dem Auftraggeber dabei zu helfen, die Sicherheit zu erhöhen und Angriffe erfolgreich abzuwehren. Kann Hacking überhaupt «ethisch» sein? Ist Hacking nicht eben Hacking? Als Ethical Hacker halten wir uns an klare Regeln, verpflichten uns beispielsweise, identifizierte Schwachstellen zu melden. Aber Sie haben schon recht: Schlussendlich versucht man gleich vorzugehen, wie es jemand mit bösen Absichten auch machen würde. Man benötigt vielleicht nicht gerade kriminelle Energie. Es ist jedoch sicher dienlich, sich in diese Rolle zu versetzen, und zu überlegen, wie man vorgehen würde, wenn man unbedingt zum Ziel kommen will. In der Realität ist es daher auch schon vorgekommen, dass Ergebnisse von White Hats von anderen Akteuren verwendet wurden. Es wäre nicht das erste Mal, dass sich Ethical Hacker eigentlich für die ‹Gute Sache› eingesetzt haben, und später herauskommt, dass sie damit geholfen haben, die Welt auszuspionieren. Derartige Skandale gab es schon in der Vergangenheit. Man weiss nie wirklich, auf welcher Fahrt man gerade ist. In den vergangenen Jahren haben Cyberangriffe mit Erpressungstrojanern stark zugenommen. Auch dort entspricht der Urheber nicht immer dem, der diese einsetzt: Die eingesetzte Schadsoftware hat ihren Ursprung schon einige Male bei Geheimdiensten gehabt. Staaten investieren enorme finanzielle Mittel in die Entwicklung hoche�zienter Schadsoftware bzw. Cyber-Waffen, um ihre Macht zu erhalten. In Amerika beträgt das gegenwärtige Jahresbudget für Cyber-Operationen 9,6 Milliarden USD. Durch fahrlässigen Umgang mit solcher Schadsoftware gelangt diese dann in die Hände von Cyberkriminellen. Der WannaCry-Virus, der für den grossen Cyberangriff 2017 genutzt wurde, hatte beispielsweise seinen Ursprung bei der NSA. Und wie geht ein Cyberkrimineller dann vor, um einem Unternehmen zu schaden? Ein Cyberkrimineller hat nicht das primäre Interesse, ein Unternehmen komplett zu ruinieren. Er geht normalerweise nur soweit, dass das Unternehmen noch zahlen kann. Solche ‹Ransomware-Angriffe› laufen klassischerweise so ab: Eine E-Mail wird an ein Unternehmen gesendet. Wenn es geöffnet wird, wird eine Schadsoftware ausgeführt und später werden Computer oder Netzlaufwerke verschlüsselt. Um die Daten wieder zu entschlüsseln, verlangen die Angreifer Geld. Gerade in den letzten Jahren stellen wir in diesem Bereich eine zunehmende Professionalisierung fest. Das Vorgehen zur Verschlüsselung der Daten erfolgt heute oft in zwei Phasen: In der ersten infiltrieren die Hacker mit Schadsoftware Unternehmensnetzwerke, ohne dass diese es bemerken. Die damit gelegten Zugänge in die Unternehmen werden dann im Darknet weiterverkauft. Die zweite Phase beginnt: Eine andere Gruppe von Cyberkriminellen kauft sich einen Zugang in ein zuvor infiltriertes Unternehmensnetzwerk. Sie ist darauf spezialisiert, im Unternehmensnetzwerk an die höchsten Privilegien zu gelangen und Details über das Unternehmen herauszufinden: Was ist deren Kerngeschäft und welches sind die Kernsysteme? Wo ist es besonders verwundbar? Die Verschlüsselung passiert dann auf zentralen Systemen. Das erhöht die Chance, dass das Unternehmen bereit ist, Geld zu bezahlen. Als Absicherung erpressen Angreifer Unternehmen immer öfter mit unterschiedlichen Druckmitteln. Sollte die Erpressung durch die Datenverschlüsselung und die Lahmlegung des Betriebs nicht erfolgreich sein, können sie damit drohen, vor der Verschlüsselung abgezogene sensible Informationen der Öffentlichkeit zugänglich zu machen. Wie kann eine solche Infiltrierung gelingen? Man setzt doch heute auf Firewalls, weiss, dass man keine dubiosen Links anklicken soll. Dafür setzen Täter heute auf perfide Methoden. Angreifer nutzen «Das Sicherheitsbewusstsein der Mitarbeitenden ist ein entscheidender Faktor, um keine ‹low hanging fruit› für die Angreifer zu sein.» Philipp Zihler, Partner und Senior Security Consultant, B-SECURE GmbH →

INTERVIEW Schwachstellen in der Technik und beobachten, wo Technik, Mensch und Organisation im Einklang miteinander funktionieren müssen. Genau an diesen Stellen setzen sie an und zielen dabei auf die Mitarbeitenden ab. Sie betreiben ‹Social Engineering›. Das ist auch das, was wir machen, wenn wir die Sicherheit von Unternehmen analysieren. Man versucht, Mitarbeitende dazu zu bringen, Dinge zu tun, die sie sonst nicht tun würden. Man nutzt psychologische Effekte, um sie zu manipulieren. Dazu gibt es viele Techniken, die auch erfolgreiche Verkäufer anwenden, um ihr Gegenüber zum Kauf zu bewegen. Damit versucht man, soziale Abhängigkeit zu schaffen. Die Erfolgsquote der Angriffe wird mit solchen Methoden deutlich erhöht. Haben Sie ein Beispiel, wie sie das machen? Zuerst legen wir mit dem Kunden gemeinsam die Zielgruppe fest – die ganze Mitarbeiterbreite, eine Leitungsfunktion, oder der Support, der teilweise über höhere Privilegien verfügt und damit besonders attraktiv ist. Dann verfassen wir ein Drehbuch, entwickeln eine schlüssige Geschichte, wie der Angriff stattfinden soll. Beim Angriff auf eine Wasserversorgung könnte das so aussehen: Wir geben uns als Betreiber einer kritischen Infrastruktur aus. Im Internet finden wir heraus, welcher Lieferant für den Wasserversorger arbeitet. Dabei helfen uns beispielsweise Stelleninserate des Versorgers. Systeme, mit denen die gesuchten Personen umgehen können müssen, sind dort häufig aufgeführt. Damit hat man bereits eine Basis an Informationen. Dann könnte man versuchen, den Support des Lieferanten von der E-Mail-Adresse des Versorgers anzuschreiben und gleichzeitig anzurufen. Ein Anruf wirkt meist authentischer als eine geschriebene Mail. Die Telefonnummer und die Mailadresse zu fälschen – Mail-Spoofing – ist beides relativ einfach möglich. So hat man schon zwei Ebenen, auf denen man Vertrauen aufbauen kann. Das Szenario: Wir stellen in der Versorgung gerade einen neuen Mitarbeiter ein. Dafür benötigen wir einen Plan und Informationen zum Netzdesign, damit wir diese ausdrucken können – auf Papier lässt sich das einfach besser erklären. Über eine E-Mail stellen wir einen Link auf einen vermeintlichen DatenaustauschServer bereit, über den uns der Lieferanten-Support die Dokumente zur Verfügung stellen kann. Beim Besuch des angeblichen Datenaustausch-Servers könnte man den Computer des Lieferanten infiltrieren. Somit könnte man an die Informationen gelangen, wie der Fernzugriff für die Wasserversorgungen eingerichtet ist. Angriffe in dieser Form haben wir auch schon erfolgreich durchgeführt. In der Hitze des Gefechts will jeder helfen, niemand will die Spassbremse sein. So kommt man meist einen Schritt weiter. Kann man sich als Unternehmen überhaupt noch vor solchen Angriffen schützen? Wie kann ich Sicherheitsrisiken minimieren? Zunehmende Digitalisierung und Automatisierung machen KMUs natürlich verletzlich. Um hier nicht eine ‹low hanging fruit› für Angreifer zu sein, ist es insbesondere wichtig, die Mitarbeitenden zu sensibilisieren. Auf der technischen Seite muss man die Themen Bedienbarkeit und Sicherheit abwägen und versuchen, eine ideale Lösung zu finden. Das muss man von Zeit zu Zeit wieder neu «Cyberkriminelle setzen da an, wo Technik, Mensch und Organisation im Einklang miteinander funktionieren müssen. Dort betreiben sie ‹Social Engineering›.» 02| 2020 12 | 13 transfer

Einen anschaulichen Überblick über das Ausmass erfolgreicher Cyber- Angriffe und Datenlecks der letzten Jahre vermittelt die Website www.informationisbeautiful.net/ visualizations/worlds-biggestdata-breaches-hacks austarieren. Hier hilft es, sich potenzielle Konsequenzen eines Worst Case Szenarios auszumalen. So wird das Risiko greifbarer. Dabei sollte man jedoch versuchen, sich von Fakten leiten zu lassen, nicht von Angst oder medialen Berichten. Das passiert aber häufig noch nicht. Das Thema ist für viele noch immer zu abstrakt, sie schaffen es nicht, die Verbindung vom Digitalen auf unsere analoge Welt mit den tatsächlichen Abläufen herzustellen. Der Spagat zwischen Angst und Unbekümmertheit ist ein schwieriger: Wir gehen davon aus, dass wir grossen, renommierten Herstellern ein Grundvertrauen entgegenbringen können. Bei neuen Entwicklungen sind wir teilweise wiederum skeptisch. Ein aktuelles Beispiel: Bei der Covid-App war der Datenschutz medial ein sehr grosses Thema. Dabei wurde hier datenschutztechnisch viel getan: Daten werden nicht personenbezogen und dezentral beim Benutzer gespeichert. Im Hintergrund ist der Staat, der keinerlei Mehrwert oder ein Geschäft aus den Daten generieren will. Bei WhatsApp hingegen findet selten eine kritische Auseinandersetzung statt. Das ist eine private Firma mit einem Geschäftsmodell, um mit Daten Geld zu verdienen. Hier lassen wir unsere Hosen runter und werden selbst zum Produkt. Die Corona-Pandemie hat die digitalen Services stärker denn je in den Vordergrund gerückt. Sind dabei Schwachstellen zu Tage gekommen? Unternehmen mussten schnell reagieren, sind schnell auf Cloud- Dienste wie ‹Microsoft Office 365› umgestiegen – bzw. mussten das tun, damit sie mit ‹Microsoft Teams› Videokonferenzen abhalten können. Dabei waren sich die Unternehmen teilweise gar nicht bewusst, welche Risiken damit verbunden sein können. Entsprechend machte man sich häufig auch wenig Gedanken über ein Sicherheitskonzept. Die Gefahr ist durchaus real, denn Angriffe auf grosse Plattformen, auf denen sich viele Menschen registrieren, nehmen massiv zu (siehe Infobox). Dort werden Identitäten gestohlen – im Idealfall Kombinationen aus Mailadressen und Passwörtern. Das kann grosse Unternehmen genauso treffen, wie kleine. Zudem versuchen Angreifer, sich mit diesen gestohlenen Identitäten bei anderen Portalen wie den jetzt stärker genutzten Clouddiensten anzumelden. Ist das erfolgreich, können sich Täter schnell auf einem ganz neuen Level schlau machen: herausfinden wer in diesem Unternehmen arbeitet, welche Leute im Finanzbereich tätig sind. Sie kennen die Korrespondenzen des gehackten Postfachs und sind im Bild über aktuelle Geschäftsvorgänge. Und sie können einfacher Computerviren ins Unternehmen bringen und die meisten Anti-Malware-Lösungen aushebeln. Sie bewegen sich auf dem Unternehmensportal wie ein Mitarbeitender. Einem international tätigen Medizintechnikunternehmen kostete das im August diesen Jahres 2,4 Millionen Franken. Diese wurden an eine falsche Kontoverbindung überwiesen. Cyberkriminelle schafften es kurz vor der Überweisung, Mitarbeitenden die geänderte Verbindung glaubhaft zu machen. Man liest und hört nicht sehr häufig von solchen Vorfällen. Herrscht hier mitunter noch eine gewisse Schamgrenze? In der Vergangenheit vermutlich schon, ja. Ich habe jedoch den Eindruck, dass diese Grenze gerade etwas aufweicht. Mit der Professionalität, mit der Angreifer heutzutage auftreten, muss man sich keine grossen Vorwürfe machen, wenn es einen trifft. Wird man sich dessen bewusst, ist man auch eher bereit, sich nach einem Angriff miteinander auszutauschen. Ich würde mir wünschen, dass die Erfahrungen aus Vorfällen öfter geteilt werden. Davon profitieren wir alle. Herzlichen Dank für das Gespräch.

FACHTHEMA «Siebenundzwanzignull-null-eins» ISO 27001: Warum wir auf die Königsklasse der Sicherheitsstandards setzen FACHTHEMA Cyber-Angriffe nehmen zu, die Methoden werden immer perfider. In Zeiten radikaler Schutzmodelle wie Zero Trust* ist Vertrauen in Informationssicherheit eine echte Seltenheit geworden. Wie kann ein Lieferant von Systemen für kritische Infrastrukturen das Vertrauen in seine Lösungen und Dienstleistungen rechtfertigen? Wie kann ein möglichst sicher entwickeltes Produkt entstehen? Als erster Schweizer Hersteller in der Wasser- und Energiewirtschaft ist Rittmeyer nach ISO 27001 zertifiziert, um darauf eine Antwort zu bieten. Aber was bedeutet diese Zahl eigentlich genau? 02| 2020 14 | 15

So könne man Angriffe schnell erkennen, umgehend reagieren und sich möglichst rasch von einem Cyber-Angriff erholen. «Genau dafür gibt es Richtlinien wie den IKT- Minimalstandard, das amerikanische NIST Cyber Security Framework oder die zertifizierbare ‹Königsklasse›: ISO 27001», stellt der Berater klar. Gefahren im Bereich der Informationssicherheit werden damit auf operationeller und prozessualer Ebene reduziert. Der Standard umfasst einerseits die technische Sicherheit. Er versucht zudem jedoch, das Bewusstsein von Mitarbeitenden nachhaltig zu schärfen. Deshalb sei es auch wichtig, den richtigen Mix zu finden, der zur Kultur des jeweiligen Unternehmens passt, unterstreicht Roland Hürlimann, CIO von Rittmeyer und der BRUGG GROUP, der den Prozess gemeinsam mit Michel Herzog etabliert hat. Was laut dem Sicherheitsberater oft missverstanden wird: Trotz der Zertifizierung darf ein Unternehmen Lücken in der Sicherheit zulassen. Es gehe vor allem um einen bewussten Entscheid des Management-Teams, wie man mit einem Risiko umgehen möchte: «Man kann es reduzieren, akzeptieren, transferieren. Hauptsache nicht ignorieren.» Gut Ding braucht Weile Zwei Jahre bereitete ein bereichsübergreifendes Team aus dem Unternehmen mit externer Begleitung die Zertifizierung vor. Roland Hürlimann: * Grundsatz des Zero-Trust-Modells ist es, keinem Gerät, Nutzer oder Dienst zu vertrauen – weder innerhalb noch ausserhalb des eigenen Netzwerks. Deshalb verlangt dieses Sicherheitskonzept die Authentifizierung aller Anwender und Dienste sowie die Überprüfung jeglichen Datenverkehrs im Netzwerk. → «Bei ISO 27001 geht es nicht nur um die technische Sicherheit von System A oder Computer B. Es geht auch darum, das Bewusstsein von Mitarbeitenden auf allen Ebenen zu ändern.» Michel Herzog, Senior Cyber Security Consultant, Infoguard AG Money, money, money Ein Cyberkrimineller will Geld machen. Er will Daten stehlen, die er danach in Geld umwandeln kann. Die Angriffsmethoden werden immer ausgefeilter und betreffen inzwischen teilweise ganze Lieferketten. Ein mögliches Bedrohungsszenario: Ein Lieferant des Betreibers einer kritischen Infrastruktur wird erfolgreich angegriffen. Der Angriff bleibt monatelang unerkannt, ein kompromittiertes Produkt wird ausgeliefert. In der Zwischenzeit wurden Unmengen an Daten gesammelt, Profile von Mitarbeitenden erstellt, ein gezielter Angriff auf die Anlage wird vorbereitet. In einem ungeschützten Moment schlagen die Täter zu. Im Bereich kritischer Infrastrukturen besonders heikel, da hier nicht nur Daten geschützt, sondern vor allem die Systeme sicher verfügbar sein müssen. Am attraktivsten für Angreifer seien allgemein diejenigen Unternehmen und Personen, die am schlechtesten geschützt sind. Deshalb müsse man die Eintrittsbarriere am ‹Point of Entry› so hoch setzen, dass der Aufwand zu hoch und damit der Angriff weniger lukrativ ist, stellt Michel Herzog klar. Als externer Cyber Security Consultant begleitete er Rittmeyer bei der Einführung eines nach internationalem Sicherheitsstandard ISO/IEC 27001:2013 zertifizierten Informationssicherheits-Managementsystems (ISMS). Wie aber schützen? Mit heute häufig gewünschten Features wie Fernwartung sowie ans Internet angebundene Teilsysteme erhöht sich die Zahl der potenziellen Einfallstore. Deshalb müsse man davon ausgehen, dass man früher oder später erfolgreich angegriffen wird. Entscheidend sei, die Widerstandsfähigkeit mit einer ganzheitlichen Cyber-SecurityStrategie zu stärken, so Herzog.

FACHTHEMA | APPLIKATION «Früher haben wir einzelne Steinchen optimiert, jetzt das ganze Mosaik.» Roland Hürlimann, CIO, Rittmeyer AG / BRUGG GROUP «Informationssicherheit ist uns ein echtes Anliegen. Würde diese allein intern getrieben werden, besteht immer ein gewisses Risiko, dass man andere Dinge höher priorisiert und wichtige Entscheidungen aufschiebt.» Das Mandatsverhältnis mit einem externen Anbieter und Überprüfungen im Wochenrhythmus gab dem Thema Informationssicherheit die nötige Aufmerksamkeit. Einerseits werden die Mitarbeitenden dadurch laufend mit den entsprechenden Fragestellungen konfrontiert. Wichtiger jedoch: Massnahmen für potenzielle neue Bedrohungsszenarien können früh definiert, geplant und zeitgerecht umgesetzt werden. Begonnen hat man 2018 mit einer Gap-Analyse bei der organisatorischen und technischen Sicherheit. Auf dieser Basis wurden ab Mitte 2019 auf Rittmeyer zugeschnittene Prozesse und Richtlinien entwickelt. «Bei Rittmeyer waren neben VertreterInnen der verschiedenen Unternehmensbereiche auch regelmässig CEO und CFO mit im Boot. Das ist nicht immer so», ist Herzog erfreut. Dadurch konnte einerseits der sportliche Zeitrahmen eingehalten werden. Vor allem habe man dadurch aber sichergestellt, dass nicht nur etwas ‹on top› gebaut wird, sondern das Thema Informationssicherheit vom obersten Management unterstützt und somit tief in die Organisation hineingetragen wird, so der Berater. Ein Voraudit im darauffolgenden Jahr gab Aufschluss über den aktuellen Stand der organisatorischen Sicherheit. Diese Vorbesprechung dient dazu, letzte Verbesserungen vor dem eigentlichen Zertifizierungsaudit umsetzen zu können. Im Juli dieses Jahres wurde das Audit dann von der Schweizerischen Vereinigung für Qualitäts- und Management-Systeme (SQS) durchgeführt und erfolgreich bestanden. Viele kleine Steinchen? Ein ganzes Mosaik. Cyber Security war Rittmeyer seit den Anfängen des Internets ein grosses Anliegen. Risikobewertungen und entsprechende Investitionen in einzelne Systeme wurden deshalb bereits vor der Zertifizierung kontinuierlich durchgeführt. «Vor der Einführung des Standards haben wir jedoch eher einzelne Steinchen optimiert. Jetzt optimieren wir das ganze Mosaik, das Zusammenspiel dieser Steine», macht Hürlimann klar. Rittmeyer liefert Systeme in kritische Infrastrukturen. Die ISO 27001 berücksichtigt in einem eigenen Kapitel die Sicherheit bereits in der Entwicklung. «Unter anderem setzen wir auf das Vier-Augen-Prinzip. Am Ende jedes Entwicklungszyklus wird ein abschliessender Sicherheits-Check durchgeführt. Entwicklungs-, Test- und Produktivumgebung sind selbstverständlich ohnehin strikt voneinander getrennt», so Hürlimann. Selbst das Supply Chain Management ist in das Regelwerk integriert, gibt Herzog Aufschluss: «Rittmeyer ist genauso wie seine Kunden auf Lieferanten angewiesen. Der Standard stellt sicher, dass auch an deren Sicherheit gewisse Mindestanforderungen gestellt werden.» Endlich zurücklehnen? Es sei schon anspruchsvoll, die Motivation bei allen Beteiligten über diesen langen Zeitraum zu halten, muss Hürlimann eingestehen. Die Vorteile sichtbar zu machen, mit Abwehrhaltungen umzugehen, weil bislang fixe Prozesse geändert werden. «Aber heute kann ich stolz sagen: Wir haben unseren Job in Bezug auf Informationssicherheit gemacht.» Das sei jedoch nur eine Seite der Medaille, gibt Herzog abschliessend zu bedenken: «Rittmeyer kann seinen Beitrag zur Sicherheit nur bis zu einer gewissen Grenze leisten.» Es sei vor allem auch das Verhalten der Kunden und deren Mitarbeitenden, das für nachhaltige Informationssicherheit im laufenden Betrieb kritischer Infrastrukturen ausschlaggebend ist. 02| 2020 16 | 17

Die Genossenschaft Wasserversorgung Rapperswil- Jona (WVRJ) beliefert rund 27 000 Menschen mit Wasser. Seit vielen Jahren setzt sich der Versorger intensiv mit Massnahmen zum Schutz seiner Infrastruktur vor Cyber-Angriffen auseinander. ABSTRAKTE WELT IKT-Sicherheit beim Wasserversorger APPLIKATION «Das Risiko eines Cyber-Angriffs auf eine Wasserversorgung schätzen wir grundsätzlich als sehr hoch ein», sagt Martin Büeler, Projektleiter bei der Wasserversorgung Rapperswil- Jona. Dabei sieht er weniger die Gefahr, dass ein Angreifer Pumpen oder Schieber manipuliert. Er fürchtet eher, dass dieser das IKT-System, also die Informations- und Kommunikationstechnologie, lahmlegen und damit die Wasserversorgung erpressen könnte. Selbst wenn man den Betrieb im Notfall zumindest über einige Tage im Handbetrieb sicherstellen könne, im Büro laufe ohne die Unterstützung der Informationstechnik nichts mehr. Standortbestimmung Man berücksichtigte zwar seit jeher den technischen IKT-Schutz bei allen Installationen. Dennoch beauftragte die Genossenschaft im Frühjahr dieses Jahres einen externen Dienstleister mit einer Standortbestimmung, um mit einem neutralen Blick den Status ihrer Systeme zu beurteilen. «Diese hat uns aufgezeigt, dass wir den Minimalstandard noch nicht ganz erreichen, wir wohl auf einem guten Weg sind, aber noch Aufgaben zu erledigen haben», fasst Büeler zusammen. Da zur selben Zeit auch das Betriebssystem der Leitechnik ersetzt werden musste, veranlasste dies die WVRJ, die technische Installation gesamthaft zu überprüfen. Martin Büeler: «Unser Ziel war es, die identifizierten Massnahmen möglichst optimal umsetzen zu können.» Rückhalt im Verwaltungsrat Die technische Komplexität der Informations- und Kommunikationstechnik, selbst in einer kleinen Wasserversorgung wie der ihren, habe alle überrascht. Büeler meint, dass dies wohl der «Hauptkiller» für die meisten kleinen Betriebe sei, weil man in den eigenen Reihen einfach die fachliche Themenkompetenz nicht haben könne. Auch das Regelwerk, der IKT-Minimalstandard, sei keine konkrete Hilfe gewesen. «Ohne einen Partner wie Rittmeyer, der uns zu Beginn in der Interpretation half, hätten wir daraus nur wenig lesen können», sagt der Projektleiter. →

APPLIKATION «Auch finanziell ist der Umbau ein grosser Aufwand und bleibt eine nicht leicht überschaubare Aufgabe», stellt Michael Reiser, Geschäftsführer der WVRJ, fest. Deshalb zähle das Vertrauensverhältnis zum Lieferanten, der aufzeigen müsse, was er wirklich tut. Wichtig sei die Unterstützung innerhalb der Organisation durch die Verantwortlichen in der Führung: «Unser Vorteil ist sicher, dass wir genossenschaftlich organisiert sind mit einer grossen Nähe zum Verwaltungsrat, der sich der Risiken der Internetkriminalität sehr bewusst ist. So konnten wir die notwendigen Massnahmen fachlich argumentieren und hatten von deren Seite volle Unterstützung.» Auf allen Ebenen Zur Optimierung der IKT-Sicherheit setzte die WVRJ in Folge auf verschiedenen Ebenen an. Um die unterschiedlichen Anforderungen an die Sicherheit und Verfügbarkeit von Büro-IT und Betriebstechnik besser erfüllen zu können, trennt man zukünftig die beiden Netze mit einer definierten Schnittstelle komplett. Alle Aussenstationen sind über dedizierte Glasfaserverbindungen des lokalen Elektrizitätswerks angeschlossen und machen die WVRJ unabhängig von öffentlichen Kommunikationsnetzen. Ein Notstromsystem puffert Elektrizität für die wichtigsten Anlagenteile. Die Leitstelle wird zukünftig über zwei unterschiedliche Zugänge eines Providers an das Internet angebunden: «Dies sichert die Verfügbarkeit, denn das Steuerungspikett ist auf einen stabilen Zugang angewiesen, um nötigenfalls auch von aussen auf die Anlage zugreifen zu können», erklärt Martin Büeler. Sensibilisierte Mitarbeitende Der wichtigste Faktor sei aber definitiv das Personal, sind sich Reiser und Büeler sicher. Es brauche das Bewusstsein für die IKT-Sicherheit in der gesamten Organisation, denn sonst könne dies absolut zur Achillesferse werden. «Wir haben Richtlinien, und trotzdem ist sich der einzelne Mitarbeiter der Wichtigkeit oft noch zu wenig bewusst», sagt Michael Reiser. Deshalb könne IKT-Schutz keine Einmalsache sein. Der Geschäftsführer setzt auf Sensibilisierung, auf Workshops, in denen man die wichtigsten Massnahmen immer wieder in Erinnerung rufe. «Die Mitarbeitenden müssen von sich aus erkennen können, dass all das wichtig ist.» Auch an einen ‹Live-Test› denke man, um zu prüfen, wie gut man die Sache beherrsche. Überdies brauche es fürs Personal klare Weisungen, deren strikte Einhaltung man einfordern müsse. «Das ist vergleichbar mit der Arbeitssicherheit. Bei dieser gilt es «Rittmeyer half uns zu Beginn bei der Interpretation des IKTMinimalstandards. Für einen ‹ Nicht-IT-Spezialisten› waren die Vorgaben zu abstrakt.» Martin Büeler, Projektleiter bei der Wasserversorgung Rapperswil-Jona 02| 2020 18 | 19

genauso, sie immer wieder zum Thema zu machen. Und so ist das auch bei der IKT-Sicherheit», meint Büeler. Die Balance finden Eine der Herausforderungen im Prozess sei es gewesen, eine geschickte Balance zu finden zwischen Schutzmassnahmen und damit einhergehenden Einschränkungen im Betrieb, beispielsweise für den Pikett-Dienst. Und man habe erkennen müssen, dass die Massnahmen exponentiell teurer würden, je sicherer man werden möchte. «Man muss sich letztlich einfach bewusst sein, und entscheiden, mit welchen Risiken man leben will», hält Geschäftsführer Michael Reiser fest. «Das absolut sichere System wird es nie geben, auch technisch nicht.» Tatsache sei, so Büeler, dass sich niemand vor einem Angriff sicher sein kann, jeder könne betroffen sein. Allein schon die tägliche Flut von Spam-Mails und die mitunter professionell aufbereiteten Phishing-Versuche dahinter sind für Martin Büeler Beweis genug: «Man darf sich dem Thema IKT-Sicherheit nicht verschliessen und muss das angehen.» Sicherheit immer im Blick Die IKT-Sicherheit ist in der Wasserversorgung Rapperswil- Jona inzwischen im «normalen Prozess» verankert und die damit verbundenen Fragestellungen werden immer wieder aufgegriffen: «Die Wichtigkeit wird zunehmen im Vergleich zu anderen Themen. Mit den Zugängen über das Internet macht man sich unweigerlich angreifbarer. Früher war das doch alles eher ein geschlossenes System. Das ist bei vielen immer noch nicht auf dem Radar – und könnte zu einem Problem werden», schliesst Michael Reiser. m l «Man muss sich letztlich einfach bewusst sein, und entscheiden, mit welchen Risiken man leben will.» Michael Reiser, Geschäftsführer der Wasserversorgung Rapperswil-Jona

INTERVIEW INTERVIEW Nein zur digitalen Mafia Cyber-Angriffe früh erkennen und schnell agieren «Angegriffen wird, was schlecht geschützt ist. Was das ist, ist Angreifern egal.» Daniel Gerber, Chief Information Security Officer (CISO), Axpo 02| 2020 20 | 21 transfer

Axpo ist die grösste Schweizer Produzentin von erneuerbarer Energie. Mit über 5 000 Mitarbeitenden entwickelt sie in mehr als 30 Ländern Europas, in Asien und in den USA innovative Energielösungen auf Basis modernster Technologien. Wie schützt sich ein Unternehmen dieser Grösse erfolgreich gegen Cyber-Angriffe? Chief Information Security Officer Daniel Gerber gibt Einblicke in das Modell, das die Axpo verfolgt. Herr Gerber, was sind die Herausforderungen der heutigen Bedrohungslage für einen CISO, den Chief Information Security Officer? Daniel Gerber: Viele Unternehmen sind heute noch der Ansicht, dass sie im Bereich der OT – also der Operational Technology bzw. der Prozessinformatik – nicht von Cyber-Crime betro�en wären. Im Bereich der IT – also der Wirtschaftsinformatik – finden weitaus häufiger erfolgreiche Angri�e statt, dort ist man sich der Gefahr bewusster. Vorfälle wie das Blackout in der Ukraine 2015 helfen uns CISOs aber zunehmend, die Notwendigkeit für entsprechende Schutzmassnahen im Bereich der OT zu argumentieren. Die Angreifer arbeiteten sich über mehrere Monate vom Verwaltungsnetz, also der IT, in die Netzleittechnik vor und verursachten einen Stromausfall. Drei Stromversorger und 225 000 Kunden waren betro�en. Als Chief Information Security O�cer ist man verantwortlich, das Unternehmen auch auf solche Szenarien vorzubereiten. Und wie macht man das? Eine erste Grundregel ist, dass man IT und OT strikt trennt und die Netze klar in Zonen segmentiert, in der Fachliteratur «Defense-in- Depth-Strategie» genannt. Zudem schützen wir mit einer mehrschichtigen Cyber-Security-Strategie die Mittel, die zur Ausführung kritischer Geschäftsprozesse notwendig sind. Diese Cyber-Security-Strategie akzeptiert, dass es keinen vollständigen Schutz gegen Cyber- Bedrohungen geben kann. Stattdessen ist man sich der eigenen Verwundbarkeit bewusst und entwickelt Strategien und Massnahmen: Um die eigene Exposition gegenüber Cyber-Risiken zu identifizieren, sich bestmöglich dagegen zu schützen, Sicherheitsverletzungen zu erkennen, darauf zu reagieren und schnellstmöglich wieder den Normalzustand zu erreichen. Das Business möchte sich vernetzen, um e�zienter arbeiten zu können. Die Kollaboration mit Teams soll einfacher sein. Das macht man dann auch, und das führt unweigerlich zu einer Aufweichung dieser Defense-in-Depth- Strategie. Die klassische Prävention – dass ich eine Mauer um mich baue und mich einschliesse – fällt dadurch teilweise weg. Auch durch die heute oft angestrebte vorausschauende Wartung bei Kraftwerken und Netzen müssen wir uns ö�nen. Ohne zusätzliche Schutzmassnahmen muss man hier mit einer erhöhten Eintrittswahrscheinlichkeit rechnen. Daher kann ich sagen, das eine tun (strikte Trennung von IT und OT) und das andere auch (IT und OT besser vernetzen). Wie gehen Angreifer dabei vor? Angreifer verfolgen heute einen Business Case. Cyber-Kriminalität ist ja ein Millionen- oder sogar Milliarden- Geschäft. Sie greifen meist nicht gezielt eine Wasserversorgung an. Sie schlagen zu, wenn sie eine Firma finden, die von aussen gesehen mögliche Schwachstellen hat. Sobald Angreifer etwas erpressen können und es Geld gibt, machen sie das auch. Das ist exakt das Geschäftsmodell der Mafia, übernommen in Cyber-Crime: Wenn du Schutzgeld zahlst, mache ich nichts. Und falls nicht, mache ich dein Unternehmen kaputt. Die Zeiten der Brechstangen sind vorbei, Angreifer gehen sehr subtil und langsam vor, die Tools dafür →

RkJQdWJsaXNoZXIy NTkxNzY=