Cyber Security an der Uni Bern
Prävention allein reicht nicht mehr
Philipp Liechti erklärt, warum die Universität Bern trotz diversen präventiven, organisatorischen und technischen Sicherheitsmassnahmen immer von einem möglichen Cyberangriff ausgeht. Neben der Prävention liegt der Fokus zunehmend auf einer frühen Identifizierung, Eindämmung und Neutralisierung von Cyberbedrohungen im operativen Betrieb.
Philipp Liechti, was ist Cyber Security, und wann kommen Sie und Ihr Team ins Spiel?«Cyber Security» ist ein Begriff, der marketingtechnisch gut klingt. Vor 15 Jahren nannte man das Gebiet noch Informationssicherheit oder IT-Sicherheit. Mein Job ist es, sicherzustellen, dass die Universität Bern über die nötige Struktur, Organisation und Ressourcen verfügt, um die Informationssicherheit zu managen. Dafür müssen Risiken identifiziert und eingeschätzt werden, damit wir basierend darauf geeignete Massnahmen für die Organisation definieren können. Ein Grossteil der Umsetzung erfolgt dann in den jeweiligen IT-Bereichen der Institute und Fakultäten, nicht bei mir.
Was machen Sie konkret, um die Uni Bern zu schützen?
Momentan mache ich sehr viel Aufbauarbeit. Ich arbeite stark daran, eine Governance in der Universität zu etablieren und die Reaktionsfähigkeit bei Cyberbedrohungen zu verbessern: Das bedeutet, Rollen, Regeln und Verantwortlichkeiten zu definieren, damit die Sicherheit in unserer Institution bestmöglich gewährleistet werden kann.
Warum ist das wichtig?
Nur mit einer funktionierenden Governance sind wir als Organisation fähig, die komplexen Herausforderungen in der Cyber Security stufengerecht anzugehen. Heutzutage geht man davon aus, dass trotz präventiven Sicherheitsmassnahmen wie Firewalls oder Virenschutz bereits ein Angriff stattgefunden hat. Deshalb konzentrieren wir uns vermehrt darauf, frühe Angriffe im Netzwerk zu identifizieren und einen potenziellen Schaden abzuwenden. Zu diesem Zweck sind wir daran, mit Partnern ein Security Operation Center (SOC) an der Universität Bern aufzubauen.
Was tun Sie dafür, um präventiv Angriffe zu verhindern?
Präventionsmassnahmen sind zum Beispiel Passwortschutz, Schwachstellenmanagement und Sensibilisierungsarbeit im Allgemeinen. Ein grosser Prozentsatz von Cyber-Angriffen, egal welcher Art, startet mit einer Phishing-Mail. Die Sensibilisierung dazu ist ein sehr wichtiger Bereich, den wir zukünftig noch mehr ausbauen möchten. Vor eineinhalb Jahren habe ich deshalb für den Zentralbereich eine Awareness-Kampagne ins Leben gerufen. Dabei werden während des ganzen Jahres bewusst Phishing-Mails an die Mitarbeitenden der Universität verschickt. Sobald jemand den Link in diesen Mails anklickt, wird er oder sie direkt über die Gefahren von Phishing aufgeklärt.
Zur Person
Philipp Liechti
ist ausgebildeter Elektriker/Fernmeldespezialist mit Weiterbildung zum Techniker TS (HF) in Wirtschaftsinformatik, CAS/MAS Information Security, CAS Cyber Security Defense & Response sowie Certified Information Security Manager (CISM/ISACA). Er ist seit 18 Jahren in der Informationssicherheit und IT-Sicherheit tätig. Er ist zudem Prüfungsexperte für das Berufsbild ICT Information Security Manager (früher ICT Security Expert). Seit 2022 hält er die neu geschaffene Stelle des CISO/IT-Sicherheitsbeauftragten an der Universität Bern inne.
Wenn jemand an der Universität trotzdem Opfer eines Cyberangriffes wird, sollte das sofort gemeldet werden; entweder direkt mir, dem Service Desk oder der vorgesetzten Person.
Phishing
Phishing ist ein Betrugsversuch, bei dem Kriminelle versuchen, über gefälschte E-Mails, Webseiten oder Nachrichten persönliche Daten wie Passwörter oder Kreditkarteninformationen zu stehlen. Sie geben sich dabei oft als vertrauenswürdige Quelle aus, um die Opfer zu täuschen.
Eine der prominentesten Bedrohungssituationen heutzutage ist die sogenannte «Ransomware»: Das sind Verschlüsselungstrojaner. Dabei verschlüsseln Hacker den Zugang zu den eigenen Daten und verlangen Geld, um sie wieder freizugeben. Je nachdem, wer davon betroffen ist, kann dies fatal sein. Es gibt Beispiele, bei denen ganze Firmen nicht mehr auf ihre Daten zugreifen konnten. Unter Umständen bedeutet dies der Untergang einer Firma. Künstliche Intelligenz ist ein weiteres Thema mit grossem Bedrohungspotential, insbesondere wenn es um das Fälschen von Inhalten oder den Missbrauch von Videos und Fotos zur Identitätsfälschung geht. Da weiss ich noch nicht genau, wohin uns die Reise führen wird. Sind Cyberattacken also immer technologiebasiert?
Nein. «Social Engineering» ist ein typisches Beispiel dafür, wie Menschen unbewusst beeinflusst werden. Angreifer nutzten soziale Netzwerke wie beispielsweise Facebook, um sich mit Verantwortlichen von Firmen anzufreunden und ihr Vertrauen zu gewinnen. Sie versuchen so, an vertrauliche Informationen oder Dokumente zu gelangen, die für einen gezielten Angriff genutzt werden können. Im Umgang mit sozialen Medien sollte man deshalb vorsichtig sein, da sie als Eingangstor für solche Attacken missbraucht werden können.
«Ein grosser Prozentsatz von Cyber-Angriffen, egal welcher Art, startet mit einer Phishing-Mail.»
Phillipp Liechti
Gab es an der Uni Bern auch schon solche Fälle?In den letzten zwei Jahren gab es keinen bedeutenden Angriff auf die Uni Bern, von denen ich Kenntnis habe. In der Vergangenheit gab es einen Vorfall, bei dem SWITCH die Uni Bern unterstützte, um grösseren Schaden abzuwenden. Kleinere Vorfälle wie ein gehacktes E-Mail-Konto gibt es immer wieder. Wichtig ist es zu wissen, dass es eine hundertprozentige Sicherheit sowieso nie gibt. Man muss sich darauf konzentrieren, was man schützen will und wie viel Ressourcen sowohl personell wie auch finanziell zur Verfügung stehen. Was mögen Sie an Ihrer Arbeit?
Mir gefällt die Vielfalt. Es geht um Technik, Organisation, Strategie und die Zusammenarbeit mit Menschen. Ich habe die Möglichkeit, etwas Neues aufzubauen, was herausfordernd, aber auch spannend ist. Die Abwechslung und die Gestaltungsmöglichkeiten machen den Reiz aus, auch wenn ich mir manchmal wünsche, dass die Umsetzung von Projekten schneller gehen könnte.
Passwort und Verschlüsselung
Ein Passwort sollte mindestens zwölf Zeichen lang sein. Im geschäftlichen und privaten Bereich sollten nicht dieselben Passwörter verwendet werden. Bei vielen Passwortzugängen ist es sinnvoll, einen Passwortmanager zu benutzen und für jeden Zugang ein eigenes Passwort zu wählen. Bei sensiblen Angelegenheiten wie zum Beispiel E-Banking ist es empfehlenswert, eine 2-Faktoren Authentifizierung zu verwenden.
Wenn möglich sollte man sensible Daten verschlüsseln, damit der Schutz gewährleistet ist. Dazu gibt es auch einige kostenlose Tools, oder die einfachste Methode ist per ZIP-File.
Eine Institution wie die Uni Bern kann nicht das gleiche technologische Wissen und Sicherheitsniveau erreichen wie ein grosser Provider. Firmen wie beispielsweise Microsoft haben grosse Ressourcen und investieren viel Geld in die Sicherheit ihrer Produkte. Es liegt in ihrem Interesse, ihre Kunden zu schützen. Im Vorfeld der Teams Migration wurde viel Zeit in Abklärungen zum Datenschutz investiert. Wir mussten den Datenschutzbeauftragen des Kantons Bern aufzeigen, wie der Datenschutz und die Informationssicherheit in M365 umgesetzt wird. Dennoch ist die Nutzung von Microsoft auch eine Vertrauensfrage, da wir nicht mit letzter Bestimmtheit wissen, was mit den Daten passiert. Deshalb ist die Speicherung von besonders schützenswerten Personendaten an der Uni Bern auf M365 auch nicht zugelassen. Bisher haben wir unsere Daten auf einem eigenen Server abgelegt, aber auch da können wir keine hundertprozentige Sicherheit garantieren. Obwohl wir alles daransetzen, die Sicherheit zu gewährleisten, ist es immer ein Abwägen von Risiken: Was ist Sicherheit und gegen welche Risiken schützen wir uns? Ist es der böse Hacker oder die Firma, der ich nicht vertraue?
«In der Cyber Security gibt es nie eine hundertprozentige Sicherheit. »
Philipp Liechti
Was macht Ihnen derzeit die meisten Sorgen?Auf der Ebene der «klassischen» Bedrohung ist es ganz klar «Ransomeware». Auf institutioneller Ebene ist es die dezentrale und heterogene Organisation und IT-Landschaft an der Uni Bern: Bei 150 Instituten, von denen viele ihre eigene IT haben, ist es eine Herausforderung, den Überblick und die Kontrolle zu behalten, um ein angemessenes Sicherheitslevel bei allen zu erreichen. Der Fokus sollte auf der Zentralisierung und der Standardisierung von allgemein genutzten IT-Services sowie auf der engen Zusammenarbeit aller Beteiligten liegen. Nur so ist es möglich, mit den knappen Ressourcen die aktuellen und zukünftigen Herausforderungen im Bereich Cyber Security an der Uni Bern zu meistern.