Die Cyber Security der Armee behandelte 2022 über 600 Vorfälle
Über 600 Cyber-Vorfälle wurden 2022 aktiv behandelt, welche die IT-Systeme der Armee betrafen. Dabei fiel keiner in die Kategorie „kritisch“.
Im Vergleich zum Jahr 2020 ist die Anzahl Vorfälle massiv gestiegen. Ein paar Angriffstypen sind letztes Jahr in den Bereichen Malware und Data Leak zahlenmässig hervorgestochen.
„Tief“, „mittel“, „hoch“, „kritisch“: in diese vier Kategorien werden Vorfälle im Bereich Cyber eingeteilt. Im Jahr 2022 wurden über 600 sogenannter „Incidents“ von der Cyber Security der FUB und des Projekts Kommando Cyber bearbeitet. Vor zwei Jahren waren es noch rund 250. Dieser markante Anstieg ist einerseits auf die verstärkten Aktivitäten im Cyberraum zurückzuführen, andererseits wurden seit 2020 die Detektionsmittel und -methoden massiv erweitert und laufend der stetig ändernden Bedrohungslage angepasst.
Kein kritischer Incident verzeichnet
Rund 30 Incidents fielen in die Kategorie „tief“ und hatten wenig bis gar keine Wirkung auf die Sicherheit der Systeme der Armee. Die meisten Vorfälle fielen in die Kategorie „mittel“, rund 580 und ein einziger fiel 2022 in die Kategorie „hoch“. In Bezug auf die Log4j-Schwachstelle wurden ausgehende Internetverbindungen gefunden, welche nicht den Sicherheitsvorgaben entsprachen. Log4J ist eine Bibliothek – ein Programmteil, der in andere Softwares eingebunden wird – welche in der Programmiersprache Java geschrieben wurde. Diese Bibliothek ist dafür da, Softwareentwicklern zu helfen, Fehler und Prozesse innerhalb einer Software nachzuvollziehen. Die Sicherheitslücke in Log4j wäre für Angreifer sehr einfach ausnutzbar gewesen. Ausserdem wird Log4j in sehr vielen Programmen und Services benutzt, was die Anzahl der potenziellen Opfer des Angriffs in die Höhe treibt. Aus diesem Grund hat die Cyber Security die betroffenen Internetverbindungen umgehend mittels Anpassungen korrigiert.
Die Armee verzeichnete letztes Jahr kein kritischer Vorfall in der Cyber Security, das ist sehr gut! Relativ viele Vorfälle hatten mit potenziellen Datenabflüssen zu tun. Das heisst, Daten wurden von Mitarbeitenden auf Cloud-Dienstleistungen publiziert, was für höher klassifizierte Informationen nicht erlaubt ist. Dies hätte zu unautorisiertem Zugriff auf diese Informationen führen können. Mitarbeitende werden laufend auf solches Fehlverhalten und die damit verbundenen Gefahren sensibilisiert.
Schwachstellen und forensische Analysen
Rund 135 Mal wurde per Malware versucht, von aussen an den Schutzmechanismen der Armee vorbeizukommen. Rund 60 Mal rückte das Security Operation Center aus, um „Suspicious User Activities“ zu überprüfen. Dabei wird analysiert, warum es bei Benutzenden der Gruppe Verteidigung zu ungewöhnlichen Aktivitäten kommt, welche durch die Überwachungsplattform detektiert werden.
Im Jahr 2022 wurden insgesamt acht kritische Schwachstellen entdeckt und notfallmässig behoben. Insgesamt wurden weitaus mehr Schwachstellen, welche durch öffentliche Publikationen bekannt wurden, auf ihre Relevanz überprüft und behoben. Bei 25 der über 600 Vorfällen wurden durch das Military Computer Emergency Response Team (milCERT) vertiefte forensische Analysen durchgeführt.
Mensch als erste Verteidigungslinie
In der Cyber Security bildet der Mensch die erste Verteidigungslinie, wenn es um die Abwehr von Phishing- oder Spam-Mails geht. Aus diesem Grund wird jedes Jahr eine Sensibilisierungskampagne durchgeführt, um Mitarbeitende der Gruppe Verteidigung zu schulen, verlockende oder gefälschte E-Mails zu erkennen und zu melden. Dabei wird die Kampagne an die laufenden Bedrohungen angepasst und die fiktiven Angriffe intensiviert bzw. mehr ausgeklügelt. Weiter wurde mit einem hausinternen Adventure-Room die integrale Sicherheit für die Mitarbeitenden fühl- und fassbarer gemacht.
Quelle: Schweizer Armee
Bildquelle: ©VBS/DDPS, Jonas Kambli