Aufrufe
vor 9 Monaten

Cybersecurity 2021

  • Text
  • Unternehmen
  • Schweiz
  • Schweizer
  • Mitarbeitenden
  • Sicherheit
  • Angreifer
  • Schwachstellen
  • Malware
  • Firmen
  • Opfer

THREATS Das sind die

THREATS Das sind die Schwachstellen der Swiss-Covid-App Die Sicherheit der Swiss-Covid-App ist mangelhaft. Serge Vaudenay, Professor für Kryptografie an der EPFL, erläutert die Schwachstellen, die er in der Schweizer Contact- Tracing-App gefunden hat. Autor: Yannick Chavanne, Übersetzung: René Jaun Die Swiss-Covid-App hat Sicherheitsmängel und ein Datenschutzproblem. Zu diesem Urteil kamen Cybersicherheitsspezialisten, die sich das Schweizer Tool zur Ermittlung von Kontaktpersonen vergangenen Sommer angeschaut haben. Einer von ihnen ist Serge Vaudenay, Professor für Kryptografie an der ETH Lausanne (EPFL). Er hat dem Computer Security Incident Response Team (CSIRT) des Bundesamts für Informatik und Telekommunikation (BIT) einen Bericht vorgelegt. Vor allem der Einsatz der Bluetooth- Technologie berge Risiken, sagt der Spezialist auf Anfrage. Dritte könnten die Telefone, auf denen die Swiss-Covid-App installiert ist, problemlos zurückverfolgen. «Die Anwendung sendet Kennungen aus, die ständig wiederholt werden und sich alle 12 Minuten ändern. Innerhalb dieses Zeitrahmens wird die gleiche ID etwa 2000 Mal wiederholt. Das ist enorm», sagt Vaudenay. Diese Funktion mache es sehr einfach, ein Telefon mithilfe eines simplen Bluetooth-Scanners zu verfolgen. Bild: 2020 EPFL / Jamani Caillet Daten abgleichen und Nutzer identifizieren Die App berge auch Risiken in Bezug auf die Privatsphäre der Personen, bei denen ein Covid-19-Test positiv ausgefallen ist. Zwar erfolgt die Identifizierung der Benutzer mittels eines Pseudonyms. Gleiche man die Daten jedoch mit weiteren von Drittpersonen ab, lasse sich die Identität des Benutzers herausfinden, sagt der Experte. Diese Verwundbarkeit bestehe aufgrund des dezentralisierten Ansatzes, auf dem Swiss-Covid basiere, ergänzt der EPFL-Forscher. Zu Beginn der Entwicklungsphase habe er deshalb die Programmierer aufgefordert, «weder ein zentralisiertes noch ein dezentralisiertes» System einzuführen, sondern einen Ansatz nach dem Vorbild des kryptografischen Protokolls von Diffie-Hellman zu wählen. Falsche Alarme und gestohlene Codes Wird ein Anwender positiv auf das Coronavirus getestet, erhält er vom Arzt einen einmal gültigen Code. Gibt er diesen in der App ein, werden die Kontaktpersonen der vergangenen Tage benachrichtigt. Diese Codes könnten unter Umständen zu falschen Alarmen führen, wie Vaudenay ausführt. So könnten Hacker in das Computersystem eines Arztes eindringen und sich so die Codes beschaffen, oder ein Unbefugter könnte an die Codes gelangen, indem er einen Arzt oder einen positiv getesteten Patienten erpresst. Falsch-positive Ergebnisse (False Positives) könnten auch durch sogenannte Replay-Angriffe ausgelöst werden. Hierbei schneidet ein Angreifer die ausgesendeten Handy-IDs potenziell positiv getesteter Anwender mit, etwa auf einem Testgelände. Dann sendet er dieselben IDs in einer anderen Umgebung wieder aus und täuscht so weitere Kontakte vor. Schliesslich greift die Swiss-Covid-App auf Programmschnittstellen (APIs) von Google und Apple zurück. Mit diesen werde die eigentliche Kontaktverfolgung implementiert. Da die Schnittstellen jedoch nicht Open Source seien, sei ein entscheidender Teil der Anwendung nicht quelloffen verfügbar. Allerdings schreibt die kürzlich vom Parlament verabschiedete Rechtsgrundlage zur Swiss-Covid-App ausdrücklich vor, der Programmcode müsse öffentlich zugänglich sein. Den Artikel finden Sie auch online www.swisscybersecurity.net 44

Das etwas andere Virus für die IT Das Coronavirus kommt – und plötzlich arbeiten (fast) alle im Homeoffice. Zu plötzlich mancherorts. Da die Umstellung schnell und ohne grosse Vorarbeit geschehen musste, wurde die IT-Security vielerorts vergessen. Wie man trotzdem seine Angestellten schützen kann, sagt Enrico Lardelli, Mitglied der Geschäftsleitung und Leiter der Geschäftseinheit Digital Banking & Services bei der Graubündner Kantonalbank. Interview: Coen Kaat THREATS Wie hat sich das Coronavirus auf den Arbeitsalltag bei der Graubündner Kantonalbank ausgewirkt? Enrico Lardelli: Die grösste Auswirkung auf den Alltag zeigte sich im ausgedehnten Homeoffice und den damit verbundenen fehlenden physischen sozialen Kontakten. Die ganze Organisation lernte sehr schnell, die digitalen Möglichkeiten effizient zu nutzen. Hatten Sie vorher bereits einen IT-Notfallplan für so einen Fall? Die Graubündner Kantonalbank hatte alle notwendigen Prozesse und Weisungen in place, die im Falle einer Pandemie notwendig sind. So hatten wir das Pandemieteam und den Krisenstab schon zwei Wochen vor dem Lockdown einberufen und frühzeitig Vorbereitungen für den Fall eines Worst Cases getroffen. Dieser ist ja dann auch eingetreten. Was müssen Unternehmen bei der Sensibilisierung ihrer Mitarbeitenden besonders beachten? Wir setzen auf ein hohes Mass an Vertrauen in unsere Mitarbeitenden, dass sie die Möglichkeiten des Homeoffice in jedem Fall bestmöglich nutzen. Entscheidend ist der Appell an die Selbstverantwortung und an den gesunden Menschenverstand. Unsere Mitarbeitenden sind aber seit Jahren gut geschult auf die Verwendung und ihr Verhalten im Zusammenhang mit Sicherheit. Was ist das grösste Risiko, wenn plötzlich so viele Mitarbeitende ins Homeoffice wechseln? Eine Grundvoraussetzung war, dass unsere hochsichere technische Lösung, die nur für einen Bruchteil der Belegschaft ausgelegt war, schnell und einfach nach oben skaliert werden konnte. Diese Homeoffice-Lösung musste so granular aufgebaut sein, dass es dem Need-to-know-Prinzip Rechnung trug. Gleichzeitig sollte das Daily Business perfekt unterstützt werden. Ansonsten werden in solchen Situationen Umgehungslösungen gesucht und meist gefunden, welche die hohen Sicherheitsanforderungen einer Bank unterlaufen. Hier kamen uns die Erkenntnisse unseres Business Continuity Managements mit den branchenüblichen Notfallplänen zugute. Enrico Lardelli, GL-Mitglied und Leiter Digital Banking & Services, GKB. Voraussetzung dafür ist ein stabiler, leistungsstarker Netzwerkanschluss über ein passwortgeschütztes WLAN mit einer Mehrfach-Authentisierung. Für den Zugriff auf das Firmennetzwerk empfiehlt sich ein virtuelles privates Netzwerk (VPN). Idealerweise verwenden Mitarbeitende dazu ein Firmengerät. Auf diese Weise ist gewährleistet, dass die Sicherheitssoftware stets auf dem aktuellen Stand ist. Welche langfristigen Veränderungen erwarten Sie aufgrund des erzwungenen Trends zum Homeoffice während des Lockdowns? Homeoffice oder eben das mobile Arbeiten wird definitiv in unsere Bank Einzug halten. Unsere Mitarbeitenden und ihre Vorgesetzten wissen inzwischen, verantwortungsvoll damit umzugehen. Welche technischen Sicherheitsmassnahmen sind unabdingbar im Homeoffice? Im Homeoffice müssen die gleichen Sicherheitsstandards eingehalten werden wie in den Räumlichkeiten des Unternehmens. Das Interview finden Sie auch online www.swisscybersecurity.net 45

Archiv

Specials