Fotocredit Robert Schischka: Anna Rauchenberger
Robert Schischka, Geschäftsführer von nic.at und Leiter von CERT.at, über die Entstehung des österreichischen CERT, den Wert von Informationsaustausch und warum man aus Beinahe-Vorfällen oft mehr lernt als aus erfolgreichen Angriffen.
Laura Kaltenbrunner: Herr Schischka, wie sind Sie zum Thema Cyber Security und schließlich zu CERT.at gekommen?
Robert Schischka: Ich komme ursprünglich aus der Technikwelt. Schon während meiner Studienzeit habe ich mich intensiv mit Netzwerken beschäftigt und später sieben Jahre an der WU Wien unterrichtet. Danach war ich bei einer Tochter der Nationalbank tätig – und damals noch mit den Ur-Versionen der Signaturen und der Bürgerkarte beschäftigt.
Nach einigen Jahren in der Beratung bin ich schließlich zu nic.at gekommen. Dort betreiben wir eine kritische Infrastruktur, entsprechend groß war immer auch die Bedeutung des Themas Sicherheit.
2008 haben wir uns dann intensiver mit der Frage beschäftigt, warum Österreich eigentlich kein nationales CERT hat. Damals waren wir einer der wenigen Staaten ohne eine solche Einrichtung.
Also hat sich die Eigentümerin der nic.at, eine Stiftung die unter anderem die Förderung des Internets als Stiftungszweck hat, entschlossen, CERT.at zu gründen und mit einer Grundfinanzierung zu versorgen die uns ein unabhängiges Arbeiten ermöglicht. Letztlich ist Vertrauen eine wesentliche Grundlage für den gesamten digitalen Raum – vom E-Commerce bis zur alltäglichen Kommunikation – und somit eine Maßnahme, die die Sicherheit und das Vertrauen stärkt, eine ideale Förderung.
Laura Kaltenbrunner: Österreich hatte damals kein nationales CERT. Warum?
Robert Schischka: Ein nationales CERT ist letztlich ein Cost Center und kein Profit Center. Die Hilfestellungen und Beratungen erfolgen neutral, unabhängig und ohne Verkauf von Produkten. Unter diesen Voraussetzungen ist ein Betrieb für die meisten kommerziellen Anbieter nicht interessant.
In den meisten Ländern sind solche Einrichtungen deshalb aus dem akademischen Bereich oder aus Behördenstrukturen entstanden. Oder sie sind aus Public-Private-Partnership-Modellen herausgewachsen.
Man hat dort einfach gesehen: Da gibt es einen Bedarf, das bräuchten wir – also machen wir das.
Zusätzlich hatten wir in Österreich eine starke Verbindung zur Universität Wien. Dort gab es bereits ein CERT aus dem akademischen Bereich. Die Kollegen haben sich eigentlich nur um Universitäten gekümmert, haben aber trotzdem viele andere Meldungen bekommen, weil sie die Einzigen waren, die nach außen für Themen mit Österreich-Bezug sichtbar waren.
Die Idee hinter CERTs ist auch, dass eine Community ihre eigene Vorfallsbehandlung organisiert. So gibt es heute neben dem ACOnet CERT für den wissenschaftlichen Bereich, auch das Austrian Health CERT für den Gesundheitsbereich, das Austrian Energy CERT für die Energiewirtschaft und GovCERT für den hoheitlichen Bereich in Bund und Ländern. Das nationale CERT ist deshalb auch ein Stück weit der Fallback für alle Fälle, in denen niemand zuständig ist – im Zweifel landen diese Meldung eben bei uns.
Laura Kaltenbrunner: Welche Rolle nimmt CERT.at im österreichischen Cyber-Sicherheits-Ökosystem ein?
Robert Schischka: Das Angenehme an unserer Position ist, dass wir weder Behörde noch kommerzieller Anbieter sind. Wir können niemanden bestrafen. Und wir sind kein Konkurrent zu irgendjemandem, weil wir keine Beratung anbieten und keine Produkte verkaufen.
Für uns sind Information und Vertrauen die wichtigsten Dinge.
Denn für alle Organisationen ist es wichtig zu erfahren, wenn jemand im eigenen Bereich ein Problem hat – noch bevor das Problem bei einem selbst auftaucht. Dafür muss man die Leute aber dazu bringen, über ihre Probleme zu reden und darüber, was schiefgelaufen ist. Das macht man nicht unbedingt gegenüber einer Behörde, die einem Strafen auferlegen kann. Unternehmen denken da an Medienberichte, Rufschädigung oder wirtschaftliche Auswirkungen.
Deshalb verstehen wir uns als Informationsdrehscheibe. Wir bringen Informationen ins Land, bereiten sie auf, anonymisieren sie und verteilen sie wieder. Dabei ist es gar nicht entscheidend, welche konkrete Organisation angegriffen wurde. Interessant ist das Angriffsmuster. Wie wurde angegriffen? Wie erkenne ich das? Wie kann ich den Schaden eingrenzen? Davon können andere profitieren.
Laura Kaltenbrunner: Sie sprechen viel über freiwilligen Informationsaustausch. Wo stoßen klassische Meldepflichten an ihre Grenzen?
Robert Schischka: Bei klassischen Meldepflichten gibt es natürlich eine gewisse Hemmschwelle. Man sieht auch international: Je höher die Hemmschwelle, etwas zu melden, desto öfter wird gefiltert, bevor überhaupt jemand sagt, dass etwas passiert ist.
Ein solches „Vorbild“ war damals die Telekommunikationsrichtlinie. Dort gab es eine Meldepflicht gegenüber der RTR, wenn bestimmte Schwellwerte überschritten wurden.
In der Praxis kam dabei aber so gut wie nie eine wirklich sinnvolle Meldung heraus. Die Informationen wurden durch die Mühlen der Rechtsabteilungen gedreht und auf das absolute Minimum reduziert. Und wenn der Schwellwert nicht erreicht wurde, wurde überhaupt nicht gemeldet.
Was man eigentlich braucht, sind die Beinahe-Vorfälle. Denn wenn 50.000 Leute in Österreich nicht telefonieren können, dann brauche ich keine Meldung – das steht in der Zeitung.
Mich interessiert der Fall, wo jemand den Angriff gerade noch erwischt hat. Da war ein Angriff, der Angreifer wurde erkannt, Gegenmaßnahmen wurden gesetzt und Gott sei Dank ist nichts passiert. Genau daraus kann man lernen.
Genau diese Informationen bekommt man mit Pflichtmeldungen aber oft nicht. Deshalb sehen wir uns als Schnittstelle zwischen Behörden und Betroffenen, um sinnvolle Informationen zeitnahe zu bekommen. Aus denen können andere Unternehmen eventuell etwas lernen und dieselben Fehler vermeiden.
Hier steht nicht ein potenzielles Versagen oder ein Fehlverhalten mit Sanktionsdrohungen im Fokus, sondern die Frage, wie man sich gesamthaft als Branche oder Gesellschaft besser aufstellen kann.
Laura Kaltenbrunner: Wie funktioniert dieser Informationsaustausch konkret?
Robert Schischka: Da gibt es mehrere Möglichkeiten: Den ganz formalen Weg über ein Formular oder Meldeportal, den Weg über E-Mail, oder sehr oft einfach der Griff zum Telefon.
In der Community verwenden wir sehr stark Mattermost als Real-Time-Kommunikationstool. Dort sind beispielsweise die Mitglieder unseres Austrian Trust Circle vertreten. Wenn jemand auffällige Muster sieht, kann er diese dort teilen.
Und wenn jemand sagt: „Ich erzähle euch das jetzt, aber bitte anonym und nennt uns nicht“, dann läuft das natürlich über direkte Kanäle. Sehr viele Dinge passieren tatsächlich über Telefonate oder persönliche Gespräche.
Dazu kommen automatisierte Systeme, Informationen aus internationalen CERT-Netzwerken und externe Quellen.
Eine wichtige Quelle für uns ist beispielsweise Shadowserver. Das ist eine gemeinnützige Organisation, die uns alles schickt, was einen Österreich-Bezug hat. Wir haben dann wiederum eigene Systeme, die diese Informationen anreichern und den betroffenen Organisationen zuordnen.
Gleichzeitig muss man aber auch lernen, Quellen einzuschätzen. Manche Quellen sind für bestimmte Themen hervorragend. Andere geben sich wahnsinnig wichtig, fordern umfangreiche Geheimhaltungserklärungen und schaffen es dann oft nicht einmal, einen korrekten Zeitstempel mitzuliefern. Sehr häufig schwankt auch die Qualität der Daten über den Zeitverlauf stark.
Laura Kaltenbrunner: Vertrauen scheint eine zentrale Rolle in der Tätigkeit des CERTs zu spielen. Wie baut man eine solche Vertrauensumgebung auf?
Robert Schischka: Wir haben einige Initiativen aufgesetzt, darunter den Austrian Trust Circle. Dort geht es um Information Exchange – also darum, aus den Erfahrungen anderer zu lernen und Nutzen daraus zu ziehen.
Wir treffen uns mehrmals pro Jahr physisch. Dort sitzen Menschen aus unterschiedlichsten Branchen zusammen. Dabei geht es nicht darum, die großen Success Stories zu erzählen. Es geht darum, zu erzählen, was passiert ist und was nicht gut gelaufen ist.
Das war allerdings ein langer Prozess. Teilweise haben wir mehrere Jahre gebraucht, bis die Leute bereit waren, ihre Erfahrungen zu teilen.
Ein Schlüsselmoment war für mich der Conficker-Wurm in Kärnten. Damals haben wir den IT-Verantwortlichen der Kärntner Landesregierung dazu gebracht, offen über seine Erfahrungen während der Krise zu sprechen – was passiert ist und wie die Krisenbewältigung funktioniert hat.
Dieser offene Austausch war für viele Teilnehmer ein Schlüsselerlebnis, das den Sinn solcher Austauschrunden für alle greifbar macht. Ganz nach dem Prinzip: Dieses Mal erzähle ich etwas, nächstes Mal erzählst du etwas – und wir beide profitieren davon.
Laura Kaltenbrunner: Wie sieht denn eigentlich der Alltag bei CERT.at aus?
Robert Schischka: Wie wir das Ganze neu aufgesetzt haben, hatten wir natürlich eine gewisse Vorstellung davon, wie unsere Arbeit aussehen wird. Und das hat in manchen Bereichen rückblickend überhaupt nicht gestimmt.
Das echte Incident Handling, wo man wirklich mit dem Notfallkoffer ausrückt und gedanklich über einem Unternehmen abgeworfen wird und dort Leben rettet – das passiert sehr, sehr selten.
Ein großer Teil unserer Arbeit besteht darin, Informationen einzusammeln, zu bewerten und weiterzugeben.
Was sich allerdings bewahrheitet hat: Social Skills sind enorm wichtig.
Wir brauchen Leute mit einem soliden technischen Hintergrund. Aber den Techniker, den ich nicht auf Menschen loslassen kann, kann ich eigentlich nicht wirklich brauchen. Die Leute müssen einem Nicht-Techniker erklären können, was gerade passiert ist und welche nächsten Schritte notwendig sind. Sonst haben wir nichts davon.
Laura Kaltenbrunner: Wann sollte ein Unternehmen CERT.at kontaktieren?
Robert Schischka: Grundsätzlich gerne frühzeitig. Wenn ein Unternehmen künftig unter NIS2 fällt und der Vorfall wesentlich ist, dann muss es das ohnehin melden.
Spannend ist aber auch alles abseits der Meldepflichten. Wenn jemand glaubt, dass es technisch interessante Informationen gibt, die auch für andere relevant sein könnten – gerne. Wichtig dabei ist vor allem, Artefakte einzusammeln und möglichst nichts zu zerstören.
Viele reagieren in Panik und ziehen den Stecker. Das ist verständlich. Selbstschutz geht oft vor Fremdschutz. Aber wenn man die Möglichkeit hat, Artefakte zu sichern und zur Verfügung zu stellen, dann hilft das enorm.
Laura Kaltenbrunner: Warum braucht es heute neben dem allgemeinen CERT.at auch spezialisierte CERTs wie das Energy-CERT?
Robert Schischka: Wenn jemand von kritischer Infrastruktur spricht, denken viele sofort an Energie. Denn ohne Strom wird es relativ schnell finster.
Deshalb wollte man eine Gruppe haben, die sich speziell mit Energie und der OT-Welt beschäftigt. Also mit Produktion, Steuerung und Verteilung. Da braucht man nämlich ein sehr spezielles Verständnis und somit auch ein spezielles CERT.
Viele dieser OT-Systeme sind auf Jahrzehnte ausgelegt. Da gibt es nicht einfach die Möglichkeit zu sagen: Für dieses Ding gibt es keinen Patch mehr, also werfen wir es weg. Wir haben heute noch Geräte im Einsatz, die vor 30 oder 40 Jahren konzipiert wurden.
Und nicht alle Hersteller hatten damals das Bewusstsein für Security, das wir heute haben. Viele Systeme wurden mit der Annahme entwickelt, dass sie ohnehin isoliert betrieben werden. Diesen Inselbetrieb gibt es heute aber de facto nicht mehr. Irgendeine Schnittstelle gibt es immer.
Da kollidieren Safety und Security oft miteinander.
Laura Kaltenbrunner: Cyber Security endet nicht an Landesgrenzen. Wie funktioniert die internationale Zusammenarbeit?
Robert Schischka: Ohne internationale Zusammenarbeit würde das CERT nicht funktionieren.
Uns hat damals geholfen, dass die Universität Wien bereits in einigen internationalen Kreise vertreten war. Außerdem hatten wir eine sehr gute Verbindung zu Kollegen aus der Schweiz. Die haben eine ähnliche Struktur wie wir und waren für uns gewissermaßen Türöffner.
Heute gibt es automatisierte Feeds, Echtzeit-Kommunikation mit Kollegen und verschiedenste Austauschplattformen. Ich leite selbst eine Austauschplattform für den Finanzsektor mit, habe im Energiebereich ähnliche Initiativen mit aufgebaut und bin in unterschiedlichen Communities aktiv.
Daneben gibt es aber auch die informellen Kanäle. Manchmal denkt einfach jemand an dich und sagt: Da ist gerade etwas passiert, das könnte für euch interessant sein.
Das kann man allerdings nicht planen. Die neuen Fälle werden nicht jeden Montag in der Früh geliefert. Meistens eher am Freitagabend.
Und manchmal rechnet man mit der großen Katastrophe – und es passiert nichts. Und dann geht plötzlich die Welt unter.
Laura Kaltenbrunner: Haben Sie ein Beispiel dafür? Robert Schischka: Es gab einmal einen Vorfall, bei dem British Airways vergessen hatte, Visa für Passagiere zu organisieren.
Die Reisenden durften den Flughafen nicht verlassen. Das hat uns einen Shitstorm in der Türkei eingebracht, der schließlich mit Angriffen auf den Flughafen und die Österreichische Nationalbank geendet hat. Dieses Szenario hatte sicher niemand so in seiner Risikoanalyse stehen. Und genau das sind oft die spannenden Fälle.
Laura Kaltenbrunner: Geben Sie uns einen Ausblick: Welche positiven Entwicklungen beobachten Sie aktuell besonders aufmerksam?
Robert Schischka: Das ist schwierig, aktuell Optimismus abzufragen.
Was ich aber schon sehe, ist, dass das Bewusstsein für Sicherheit insgesamt gestiegen ist, und Unternehmen das Thema deutlich ernster nehmen. Zum Teil liegt das natürlich auch an den Compliance Themen aus diversen Vorschriften, die auch die Unternehmensleitung teilweise mit persönlicher Haftung in die Pflicht nehmen.
Es gab Zeiten, da hätte man IT-Sicherheit am liebsten einfach weggeschoben. Gerade bei Themen wie Cloud hat man oft geglaubt, man könne die Verantwortung einfach weiterreichen.
Mittlerweile sickert aber immer stärker durch, dass man Verantwortung nicht abschieben kann und, dass Security wichtig ist. Und, dass man auch in Awareness-Maßnahmen investieren muss.
Die schlechte Nachricht ist allerdings: Awareness-Maßnahmen haben eine Halbwertszeit. Und die Angreifer werden nicht zuletzt auch durch KI-Unterstützung immer besser.
Laura Kaltenbrunner: Viele Diskussionen drehen sich aktuell um KI. Verändert sie die Bedrohungslage grundlegend?
Robert Schischka: In der Praxis sind wir häufig noch weit weg von Deep Fakes und KI-generierten Dingen. Die braucht es meist auch gar nicht.
Die Kombination, jemandem eine Geschichte zu verkaufen, ihn unter Druck zu setzen und Angst zu machen – das funktioniert so gut, dass man eigentlich gar nicht auf besondere technische Mittel wie KI zurückgreifen muss.
Man erwischt die Leute auch so. Am Telefon. Mit Menschen, die gesprächstechnisch geschult sind und mit einer Kaltschnäuzigkeit vorgehen, mit der man oft gar nicht rechnet.
Egal ob KI oder nicht, eines muss einem klar sein: Awareness ist wichtig, aber eine gute Kommunikationskultur ist wichtiger. Bei vielen Betrugsformen – etwa CEO Fraud oder Presidental Fraud – werden bestehende Machtstrukturen in Unternehmen ausgenutzt.
Die entscheidende Frage für eine Unternehmensleitung lautet daher: Habe ich eine Kultur geschaffen, in der Nachfragen honoriert wird? Oder fühlt sich die Buchhalterin schlecht, wenn sie nachfragt, ob ich wirklich möchte, dass sie Samstag um drei Uhr Früh 50.000 Euro nach Polen überweist?
Eigentlich müsste ich mich darüber freuen.
Vielleicht vereinbart man sogar Codewörter oder zusätzliche Kontrollmechanismen. Das ist kein Misstrauen. Es geht darum zu akzeptieren, dass so etwas jedem passieren kann.
Laura Kaltenbrunner: Wo sehen Sie aktuell die größten Gefahren?p> Robert Schischka: Wir sehen z.B. sehr viele Angriffe, die auf Kanäle wie WhatsApp ansetzen. Dabei versucht jemand, den WhatsApp-Account einer anderen Person zu übernehmen. Als nächstes schreibt die vermeintliche Person dann deren Kontakte an. Und weil die Nachricht im richtigen Kontext kommt, wirkt sie glaubwürdig.
Dann steht da plötzlich: „Papa, ich brauche Geld.“ Oder die Standardgeschichte: „Ich habe mein Handy verloren. Das ist meine vorübergehende Nummer.“ Ein paar Tage später hat man vergessen, wie dieser Kontakt gespeichert wurde – und plötzlich wirkt die Nummer vertrauenswürdig.
Jeder von uns ist mit einer guten Geschichte überlistbar.
Wir sehen mittlerweile auch Phishing-Mails und Anrufe auf einem Niveau, das es vor ein paar Jahren noch nicht gegeben hat.
Kollegen in Finnland haben lange gesagt, sie sehen keine vernünftigen finnischen Phishing-Mails. Das stimmt heute nicht mehr. Native Speaker, KI, Übersetzungstools – das funktioniert mittlerweile hervorragend. Wir haben sogar Fälle, in denen Menschen im perfekten steirischen Dialekt angerufen werden unter der Nummer der eigenen Bankfiliale und unter dem Namen eines Mitarbeiters, den es dort auch tatsächlich gibt.
Wir müssen damit leben, dass man sich nicht auf Sprache, Dialekt oder die Telefonnummer am Display verlassen kann. Da sind wir wieder beim Thema Nachfragen und Kommunikationsstrukturen und eine gesunde Portion Misstrauen gegenüber ungewöhnlichen Anfragen oder Angeboten, die zu gut sind, um wahr zu sein. Nicht umsonst ist z.B. derzeit Investment-Fraud einer der größten Betrugssegmente.
Laura Kaltenbrunner: Was möchten Sie österreichischen Unternehmen zum Schluss mitgeben?
Robert Schischka: Einer der wichtigsten Punkte ist, den eigenen Mitarbeiter:innen mitzugeben, dass die mühsamen Prozesse, die man aufsetzt, kein Selbstzweck sind.
Man muss die Mitarbeiter:innen als Verbündete gewinnen. Und man muss eine Fehlerkultur etablieren. Denn es werden Fehler passieren. Das ist unvermeidlich.
Was man erreichen kann, ist etwas anderes: Dass jemand, der einen Fehler gemacht hat, sofort zum Sicherheitsteam geht. Und wenn die Leute dann nicht an den Pranger gestellt werden, wenn sich niemand lustig macht und keine Sanktionen folgen, dann hat man etwas erreicht.
Nämlich die Bereitschaft, über Fehler zu reden und besser zu werden.
Laura Kaltenbrunner: Das klingt sehr ähnlich zu dem, was das CERT macht.
Robert Schischka: Ja, ist es auch.
Es gibt ein gutes Beispiel aus der Luftfahrtindustrie. Dort hat man enorme Fortschritte bei der Sicherheit erzielt, indem man länder- und herstellerübergreifend begonnen hat, über Sicherheitsvorfälle zu sprechen.
Piloten wurden teilweise sogar strafrechtlich geschützt, wenn sie Verstöße oder kritische Situationen gemeldet haben. Dadurch konnte man unglaublich viel lernen.
Ein Beispiel war ein Pilot, der entgegen der Vorschriften in ein Gewitter geflogen ist. Dabei stellte sich heraus, dass sämtliche Sensoren gleichzeitig vereisen können. Aus dieser Erkenntnis wurden Maßnahmen abgeleitet, von denen am Ende die gesamte Branche profitiert hat. Diese Informationen hätte man nie bekommen, wenn dem Piloten sofort ein Strafverfahren gedroht hätte. Dadurch konnte man unglaublich viel lernen.
Und das gilt auch für Unternehmen und für CERTs:
Man muss eine Umgebung schaffen, in der Menschen bereit sind, über Probleme zu sprechen. Denn Information und Vertrauen sind am Ende noch immer die wichtigsten Dinge in der Cyber Security.
