print preview Zurück zur Übersicht Startseite

Das Jahr 2020 im Bereich Cyber Security der Armee

Rund 250 Cyber-Vorfälle wurden im Jahr 2020 aktiv behandelt, welche die IT-Systeme der Armee betrafen. Keiner der Vorfälle fällt in die Kategorie «kritisch». Der Austausch mit den Partnern, die internen Prozesse und die Sensibilisierung der Mitarbeitenden werden ständig gepflegt und verbessert. Einzelne, besondere Vorfälle werden hier dargelegt.

22.03.2021 | Kommunikation Verteidigung

Cyber-Security-web
Bei einer Cyberübung werden wertvolle Erkenntnisse gewonnen. © VBS/DDPS, Anna Muser

Die Vorfälle im Bereich Cyber Security in der Armee werden in vier Kategorien eingeteilt: «tief», «mittel», «hoch» und «kritisch». In der Kategorie «tief» wurden 40 Vorfälle erfasst, einzelne davon waren Spam- oder Phishing-Mails, die mehr Handlungsbedarf als üblich erforderten. Rund 44'610 solcher Nachrichten gingen in den Posteingängen der Mitarbeitenden der Gruppe Verteidigung ein. Es handelte sich dabei oft um massenweise versandte Nachrichten und die Angriffsmuster dahinter waren nicht sehr ausgeklügelt so dass keine vertiefte Behandlung notwendig war. Bei gewissen Mails mit schädlichem Inhalt, hatte der jeweilige Absender jedoch klar zum Ziel, eine Malware auf den Rechnern der Empfänger zu platzieren.

Sensibilisierung der Mitarbeitenden

Da bei Phishing- oder Spam-Mails die Mitarbeitenden an der Frontlinie stehen, ist die Sensibilisierung seit 2014 ein zentrales Thema in der Führungsunterstützungsbasis (FUB). Jährlich werden im Rahmen von Awareness-Kampagnen verlockende E-Mails anonym an die Mitarbeitenden versendet. Vor und nach den simulierten Angriffen werden Fortbildungsinhalte und Lernhinweise zur Unterstützung des Lerneffekts angeboten. Die Kampagnen zeigen auf, wo Verbesserungspotential besteht und lenken die Sensibilisierungsaktionen im Folgejahr. Dabei verschliesst sich die Gruppe Verteidigung auch nicht vor neuen Ideen und didaktisch spannenden Ansätzen: So werden Hacking-Demos durchgespielt und den Mitarbeitenden ein hausinterner Adventure-Room angeboten, mit dem Ziel, die integrale Sicherheit fühl- und fassbarer zu machen.

Personalisierte Angriffe

Es sind nicht immer nur die .admin.vtg-Mailadressen das Ziel, sondern die VBS-Mitarbeitenden sind auch auf öffentlichen Plattformen im Visier. Ein solcher Angriffe gelang teilweise im Frühling 2020. Einem Mitarbeitenden wurde via LinkedIn ein Jobangebot offeriert. Der Mitarbeitende öffnete das Word-Dokument, das ihm von der unbekannten Person via LinkedIn Messenger zugeschickt wurde. Mit dem Aktivieren der Makros im Word-Dokument installierte er unwissentlich eine Malware auf seinem Geschäfts-Notebook. Weiter lud der Mitarbeitende das Dokument auch auf seinem Geschäfts-Handy herunter, ohne zu wissen, dass es infiziert war. Der Angreifer versuchte, über dieses Vorgehen Schwachstellen auszunutzen und weitere Schadsoftware nachzuladen, wurde jedoch von den Schutzmechanismen der IT-Systeme daran gehindert. Auch andere Stellen hatten dieses Vorgehen festgestellt und darüber informiert. Weil bei diesem Vorfall der Angreifer bis auf das Gerät eines Nutzenden gelangte, wurde der Vorfall in der Kategorie «hoch» eingestuft. Insgesamt gab es in dieser Kategorie acht Vorfälle, knapp 200 fielen in die Kategorie «mittel». Hätte sich der Angreifer vom Geschäfts-Notebook aus noch auf weitere Geräte bewegen oder sensible Daten exfiltrieren können, wäre der Fall in der Kategorie «kritisch» einzuteilen. Im Jahr 2020 gab es keine Vorfälle in dieser höchsten Kategorie.

Forensische Untersuchung von Mobiltelefonen

Ein wertvoller Hinweis für die genaue Analyse des Vorgangs kam in diesem LinkedIn-Fall aus der Analyse der Handydaten. Im Jahr 2020 wurden im Military Computer Emergency Response Team (MilCert) rund 15 Mobiltelefone von Bundesangestellten forensisch untersucht. Dies wird entweder gemacht, wenn ein anderes Gerät des Besitzers infiziert wurde, oder wenn die Besitzer eines Telefons das Gefühl haben, dass auf ihrem Gerät etwas nicht stimmt. Insgesamt und auf allen Endgeräten zusammen meldeten im 2020 rund 90 Mitarbeitende den Verdacht einer Infektion mit einer Malware.

Verschlüsselungstrojaner

Ein weiterer Vorfall aus der Kategorie «hoch» wurde Ende 2020 abgewehrt. Eine IT-Laborumgebung wurde durch einen Verschlüsselungstrojaner kompromittiert. Daten wurden verschlüsselt und Zugänge blockiert. Eine Verbindung zu einem produktiven System der Armee bestand nicht, eine weitere Testumgebung war jedoch erschlossen, wurde aber nicht kompromittiert. Für den Angriff nutzten die Akteure eine Schwachstelle in der Laborumgebung. Die laufende Untersuchung klärt den Ursprung der Schwachstelle und wie dies in Zukunft verhindert werden kann.

Zusätzliche Sensorik

Die Erkenntnisse des Jahres 2020 haben einmal mehr die hohe Bedeutung der Sensorik aufgezeigt. Auch hier wurden zusätzliche Massnahmen getroffen, um das Schutzdispositiv noch dichter und breiter aufzusetzen. Nicht nur die technische Sensorik ist zentral, sondern auch der Austausch mit anderen Stellen.

Mit der Melde- und Analysestelle Informationssicherung des Bundes (MELANI) im Nationalen Zentrum für Cyber Sicherheit (NCSC) ist die Abteilung Cyber Security im regen Austausch. Das Teilen von Informationen ist ein wichtiger Faktor in der Cybersicherheit. Wer Informationen und Erkenntnisse von Angriffen mit anderen Institutionen und Firmen teilt, erhält wiederum wertvolle Hinweise für die eigene Sicherheit. So kann gemeinsam etwas gegen die stets wachsende Bedrohung unternommen werden.

Cyber-Radar
Auf dem Cyberradar werden in regelmässigen Reportings die registrierten Vorfälle eingeteilt. (Grafik: Cyber Fusion Center)