IT-Sicherheit «Jeder Schritt nach vorn ist besser als die jetzige Situation»

Die Schweiz braucht dringend griffige Massnahmen, um die Sicherheit von vernetzten Geräten zu garantieren. Nun fordern Experten ein nationales Testlabor, das Hard- und Software auf Herz und Nieren prüfen soll.

Um die Sicherheit von Computern, smarter Unterhaltungselektronik und vernetzten Geräten steht es in der Schweiz häufig schlecht: Schaut mir mein Smart-TV dabei zu, was ich auf dem Sofa davor mache? Gibt mein Internet-Router meine intimsten Geheimnisse preis? Und ist die digitale Steuerung der nächsten Verkehrsampel wirklich sicher gegen Eingriffe von aussen?

So genau kann diese Fragen niemand beantworten, denn in der Schweiz fehlen sowohl allgemein verbindliche Standards als auch eine Prüfstelle, die die Sicherheit von IT-Geräten prüft.

Ein «Labor Spiez» für die IT

In anderen Bereichen des täglichen Lebens ist die Lage deutlich besser: Bevor ein Auto in der Schweiz auf die Strasse darf, muss es Crashtests bestehen. Medikamente werden vor dem Verkaufsstart minutiös geprüft, und auch für Lebensmittel gibt es strenge Vorgaben. Nicht so bei IT-Produkten, denn in der Schweiz fehlen klare Vorgaben für die Sicherheit – dabei lauern hier grosse Gefahren, weil immer mehr Geräte in unseren Heimen und auch weite Teile der Infrastruktur ans Internet angeschlossen sind.

Darum fordert ICTswitzerland, der Dachverband der Schweizer IT-Industrie, nun ein Schweizer Testlabor für Cybersicherheit. In einem Grundlagenpapier zum Thema nennt der Verband als Vorbild das Labor Spiez, das die Schweizer Bevölkerung vor atomaren, biologischen und chemischen Angriffen schützt und sich über die Jahre zu einer weltweit anerkannten Fachstelle entwickelt hat.

Ein Testlabor für IT-Sicherheit ist dringend notwendig, sagt Raphael Reischuk, Vize-Präsident der Sicherheitskommission von ICTswitzerland. Was ein solches Labor kosten würde, ist ungewiss: «Bisher hatten wir nicht mal ein Budget, um diese Frage überhaupt anzugehen».

Ein Gütesiegel für sichere Geräte

Als Head of Cyber Security beim Schweizer Innovationsdienstleister Zühlke beschäftigt sich Reischuk intensiv mit dem Thema – und ist darum selber vorsichtig geworden: «Wenn ich in Hotels bin, ziehe ich grundsätzlich den Stecker des Fernsehers, weil man da nie genau weiss, ob der eine Kamera hat und wer einem allenfalls zuschaut.»

Nicht nur Privatpersonen, auch Unternehmen haben oft kaum eine Möglichkeit abzuschätzen, wie sicher ein IT-Produkt ist. Reischuk schwebt ein Weg vor, der aus diesem Problem herausführt: «Ein Gütesiegel für IT-Sicherheit könnte das Problem deutlich entschärfen.» So könnten sich Kunden leichter einen Überblick über die Qualität eines Produkts verschaffen, ähnlich wie heute das Energiesiegel beim Kauf eines Kühlschranks.

Was für Massnahmen letztlich genau ergriffen werden, muss sich allerdings erst zeigen. Wichtig sei nun, dass die Industrie gemeinsam mit der öffentlichen Hand und Hochschulen erste Schritte für mehr IT-Sicherheit unternehmen. Zwar lasse sich auch so nie absolute Sicherheit erreichen. «Aber derzeit stehen wir bei null – und jeder Schritt nach vorn ist besser als die jetzige Situation», mahnt Reischuk.

Mehr Sicherheit dank Zwei-Faktoren-Anmeldung

Weitere 13 Bilder ansehen

Konten mit Zwei-Faktor-Anmeldung absichern

Mit der Zwei-Faktor-Authentisierung (2FA) lassen sich die eigenen Accounts bei zahlreichen Internet-Diensten zuverlässig vor Eindringlingen schützen.

Bild: iStock

Google bietet zur Sicherung von Konten die «Aufforderung von Google» an. Aktivieren lässt sie sich in den Google-Konto-Einstellungen unter «Sicherheit» --> «Bestätigung in zwei Schritten».

Bild: dj

Nun muss ein Smartphone ausgewählt werden, dass für die Aufforderung verwendet wird.

Bild: dj

Bei jeder neuen Anmeldung in einem Google-Dienst bekommt man nun auf diesen Smartphone etwa in der Gmail-App ein Aufforderung, diese Anmeldung zu bestätigen.

Bild: dj

Google bietet daneben noch eine Reihe weiterer 2FA-Methoden an, die anhand anderer Dienste erklärt werden.

Bild: dj

Facebook etwa bietet bei 2FA ebenfalls den Google Authenticator an. Einrichten lässt sich das in den Einstellungen unter «Sicherheit und Login» --> «Verwende die zweifstufige Authentifizierung».

Bild: dj

Nun muss man mit dem Google Authenticator einen QR-Code einscannen.

Bild: dj

Die App erzeugt nun ständig neue Codes.

Bild: dj

Die man dann zum Anmelden bei Facebook zukünftig eingeben muss.

Bild: dj

Auch Instagram bietet 2FA an. Diese findet sich in den Einstellungen unter «Privatsphäre und Sicherheit» --> «Zweistufige Authentifizierung».

Bild: dj

Bei Instagram kann man etwa SMS nutzen. Einfach die Telefonnummer eingeben und die Einrichtung abschliessen.

Bild: dj

Wichtig bei allen 2FA-Methoden sind die Wiederherstellungscodes. Diese sollte man sich notieren, um auch bei Verlust eines Geräts oder einer Telefonnummer noch auf einen Dienst zugreifen zu können.

Bild: dj

Kurz noch zu Apple. Die 2FA wird bei Einrichtung eines neues iOS-Gerät eingeschaltet und lässt sich in der Regel auch nicht wieder abschalten. Loggt man sich auf einem neuen Gerät in den Apple-Account ein, kommt auf einen bestehenden Gerät ein Popup mit der Bitte um Bestätigung. Die Ortslokalisierung ist hier allerdings nicht immer ganz zuverlässig.

Bild: dj