Liebe Leserinnen und Leser
Hier sind die dV-News 08-2024 und eine Auswahl an Artikeln und Links. In dieser Ausgabe schlagen wir erneut Alarm. Zwei jüngste Ereignisse sind Anlass für unseren Apell: die Statistiken zur Cyberkriminalität in der Schweiz und der Fall xz Utils. Diese beiden Themen gestalten diesen 99. Beitrag und zeigen auf, wie dringend die Schweiz eine «Vision für eine sichere, resiliente und souveräne Gesellschaft im Zeitalter der digitalen Mutation» benötigt. Dieser täglich dringlichere Aufruf, stand bereits im Mittelpunkt unseres Kommentars zu SIPOL B 21. Er wurde nicht angehört.
Die Schweiz muss die Debatte hochfahren und sich einen soliden und nachhaltigen strategischen Vorteil verschaffen. Hören wir auf, nur Mitläufer zu sein!
Ist unsere Arbeit für Sie nützlich? Inspirierend? Bitte unterstützen Sie uns mit einer SPENDE
ALARM!
Erst seit 2020 gibt es in der Schweiz eine polizeiliche Statistik über Cyberkriminalität. Anlässlich der ersten Veröffentlichung meldete das Bundesamt für Statistik 24’400 Fälle. Im Jahr 2023 wurden 43’839 Fälle von den Strafverfolgungsbehörden gemeldet, was einem Anstieg von 80% innerhalb von 4 Jahren entspricht. Zwischen 2022 und 2023 betrug der Anstieg 31%. Die meisten Straftaten sind wirtschaftlicher Natur, mit 40’496 erfassten Fällen, was einem Anstieg von 36,5% bis 2023 entspricht. Die Hauptursachen sind die Zunahme von Phishing (+70%), die betrügerische Nutzung von Zahlungssystemen oder falsche Identitäten für Betrügereien (+66%) und Kleinanzeigenbetrug, bei dem bezahlte Objekte nicht geliefert werden (+23,1%).
Riskieren wir die Prognose eines jährlichen Anstiegs der Cyberkriminalität von +5%. Im Jahr 2030 würde der jährliche Anstieg damit +65% betragen, mit fast 740’000 Cyberdelikten. Wenn dieser Anstieg sich bestätigt, dann werden die Zahlen, die in einem Jahr für 2024 veröffentlicht werden, 59’000 Fälle betragen, 83’000 für 2025.
Übertrieben? Panikmachererei? Vielleicht. In Frankreich beträgt der Anstieg seit 2020 400%. Laut Statista werden die weltweiten Kosten für Cyberkriminalität bis 2028 auf 13’820 Mrd. Dollar ansteigen, was mehr als 10% des weltweiten BIP entspricht. Und es sind die reichen Länder, die am stärksten betroffen sein werden. Die deutsche Branchenorganisation Bitkom schätzt, dass 2022 3,8% des deutschen BIPs vernichtet wurden, was 206 Mrd. € entspricht. Bezogen auf die Schweiz ist dies so, als hätten wir 2022 das Fünffache des Militärbudgets aus dem Fenster geworfen. Wie viel davon ist allein auf Kriminalität zurückzuführen und wie viel auf geopolitische Reibungen und Cyber in war? Schwer zu sagen, aber die zunehmenden weltweiten Spannungen werden die Risiken nicht verringern.
Was bedeuten diese Zahlen? Ein Anstieg der Cyberkriminalität oder der Anzeigen? Die Meldung an die Strafverfolgungsbehörden verbessert sich, aber diese Zahlen zeigen zweifelsohne eine Zunahme der Cyberkriminalität. Dies ist jedoch nur die Spitze des Eisbergs, denn die Grauzone ist gross. Es gibt nicht entdeckte Fälle und vor allem nicht gemeldete Fälle. Nach Angaben des US-Justizministeriums wird nur einer von sieben Fällen den Strafverfolgungsbehörden gemeldet. Mindestens 85% der Cyberkriminalität bleibt somit verborgen.
Diejenigen, die diese Zahlen bezweifeln, werden immer Ausreden finden, um sie zu relativieren und notwendige Massnahmen aufzuschieben, aber die Schlussfolgerung ist, dass die Cyberverteidiger kurz davor stehen den Kampf zu verlieren. Eine hohe Rechnung in Sicht! Insbesondere mit der Beschleunigung durch KI und Quantum Computing.
Seit der Gründung von digiVolution wurde immer wieder auf diese Fakten hingewiesen und die Notwendigkeit eines ganzheitlichen und systemischen Ansatzes betont. Die Sicherheitsprobleme der digitalen Gesellschaft sind nicht nur technologischer Art. Sie werden gleichermassen durch politische, personelle, materielle und energetische Probleme verursacht.
Was wird wirklich unternommen, um diese Situation, die alle Symptome einer angekündigten Katastrophe aufweist, unter Kontrolle zu bringen? Was muss getan werden, damit die Schweiz endlich massiv in echte Lösungen für ihre Sicherheit im digitalen Zeitalter investiert? Wir brauchen viel mehr neue Ideen.
Digitales Vertrauen, Resilienz und Souveränität werden nicht durch Schlagworte, sondern durch konkrete Massnahmen geschaffen. digiVolution hat seit ihrer Gründung immer wieder betont, dass dies STRATEGISCHE, LEBENSWICHTIGE und DRINGENDE Themen sind. Und es wurden viele Vorschläge gemacht. Der Westen fürchtet den Ansturm russischer Panzerhorden.
Vielleicht in ein paar Jahren, aber unsere Gesellschaft jetzt angegriffen, und zwar in zunehmendem Masse dort, wo sie am schwächsten ist, in ihren informationellen und digitalen Abhängigkeiten und Verwundbarkeiten. Es ist Zeit, aufzuwachen, den Problemen ins Auge zu sehen und echte Prioritäten zu setzen.
To prevent global catastrophe, governments must first admit there’s a problem [link]
BOOKS & REPORTS
Dies ist eine Liste relevanter Bücher und Publikationen, auf die wir bei unseren Recher-chen der letzten Wochen gestossen sind. Sie finden sie auf dVPedia unter dVLibrary.
Open Source – Wer ist zuständig?
Wir haben oft über das Thema Souveränität gesprochen, d.h. die Fähigkeit einer Einheit (Einzelperson, Organisation, Unternehmen, Staat), selbständig zu entscheiden und zu handeln und somit die volle Verantwortung für ihre Handlungen zu übernehmen. Der jüngste Beinahe-Zwischenfall xz Utils hat uns dazu veranlasst, uns mit dem Thema Open-Source-Software zu befassen.
Dachten Sie, dass hinter jeder Code-Zeile eine rechtlich verantwortliche Instanz steht? Vergessen Sie es! Verschiedene Communities stellen zwar Zeit und Fachwissen zur Verfügung, um Code zu entwickeln, der dann der Öffentlichkeit kostenlos zur Verfügung gestellt wird… ABER!
Wenn Freiwillige einen mit Müll verschmutzten Bach reinigen und dabei ein paar Plastikverpackungen oder -flaschen übersehen, ist das zwar nicht sauber, aber es hat keine systemischen Folgen. Wenn jedoch Freiwillige Code entwickeln, den niemand wirklich kontrolliert, und wenn diese technologischen Bausteine überall zu finden sind, sogar mitten in unserem Leben und ohne unser Wissen über Jahrzehnte hinweg, wer trägt dann die Verantwortung, wenn es schief geht? Die Konsequenzen können enorm sein!
Die Liebhaber des freien Codes argumentieren gerne, dass die Gemeinschaft aufpasst und sich selbst kontrolliert. Aber wer verbirgt sich hinter diesem Begriff? Ein weisser Ritter? Ein fehlerloses Genie? Es kann sich auch um Wölfe im Schafspelz handeln, die den Ehrgeiz haben, ein paar bösartige Zeilen in Softwarebausteine einzufügen, die für das Internet unerlässlich sind und nur wenigen Personen bekannt sind. Dies geschah im Fall von xz Utils.
Die Tech-Giganten beschäftigen Hunderttausende von Menschen, um ihre Produkte zu entwickeln. Sie unternehmen immer grössere Anstrengungen, um fehlerfreien Code zu produzieren. Trotzdem sind ihre Produkte fehlerhaft und die Situation dürfte sich nicht verbessern, sobald die KI ins Spiel kommt. Insbesondere wenn die Tech-Giganten in Bezug auf die Sicherheit selber nachlässig sind. Aber zumindest sind sie rechtlich verantwortlich für ihre Produkte.
Die Schwachstellen werden (in der Regel) von den Herstellern gepatcht, sobald sie gefunden werden. Viele davon wurden von uns, den (zahlenden) Nutzern/Betatestern, entdeckt. Sobald ein Patch veröffentlicht wird, ist es zwingend erforderlich, ihn so schnell wie möglich in der eigenen Infrastruktur umzusetzen, da auch böswillige Angreifer die Veröffentlichungen über Sicherheitslücken und ihre Patches lesen und daher zur gleichen Zeit wie wir wissen, wann unsere Sicherheit kompromittiert ist. Leider ist es üblich, dass sowohl Unternehmen als auch Privatpersonen Tage, Monate, sogar Jahre brauchen, um zu reagieren. Und unterdessen sind die Bösen unterwegs!
Wie sieht es in der Welt der Open Source aus? Wie laufen die Prozesse ab? Wer ist verantwortlich? Es ist sehr wahrscheinlich, dass es niemanden gibt, der am anderen Ende der Leitung sitzt. Und produziert die Community weniger Fehler als die Industrie? Nichts ist weniger sicher. Wie der Fall xz Utils, eine Sammlung von Bibliotheken unter Linux und vielen Unix-Systemen zur Datenkomprimierung, zeigt, ist Open Source nicht gegen Fehler immun und diese können sowohl zufällig als auch beabsichtigt sein.
Der Zufall wollte es, dass ein Programmierer ein Backdoor entdeckte, die von einer vermutlich staatlichen Hand in einem der Softwarebausteine installiert worden war, der der Öffentlichkeit nicht bekannt sind, aber weltweit zur Wartung von Servern eingesetzt wird. Diese von einigen Freiwilligen erstellte Software wurde manipuliert und war nur eine Haarbreite davon entfernt, mit bösartigen Funktionen verbreitet zu werden. Die Entwickler dieser Schwachstelle hätten sich dann ohne Widerstand Zugang zu unzähligen Systemen auf der ganzen Welt verschaffen können.
Wer ist für die Qualität dieser freien Software verantwortlich? Wissen Sie, dass, wenn Sie mit Ihren wichtigsten Prozessen im Internet surfen, diese von einer digitalen Basis abhängen, von der Sie nichts wissen, für die niemand offiziell verantwortlich ist, von niemanden kontrolliert wird und der im Falle eines Vorfalls niemand zur Rechenschaft gezogen wird?
Der «Papst» der Cybersicherheit, Bruce Schneier, sprach in Bezug auf den Fall xz Utils vom Glück, dass die Hintertür rechtzeitig entdeckt wurde. Er schreibt jedoch auch, dass dies sicherlich kein Einzelfall ist. Aber können wir die Sicherheit unserer lebenswichtigen Prozesse von Amateur, dem Zufall oder dem Roulette überlassen?
Und zum Schluss, ein wenig Humor: in der Informatik kennt man die Easter Eggs. Jetzt gibt es auch die Cyberaprilscherze.
Das war’s für diese Ausgabe. Wir wünschen Ihnen viele lehrreiche Erkenntnisse mit den ausgewählten Artikeln und Linksund sehen uns in zwei Wochen wieder.
Bitte registrieren Sie sich für dVPedia und unterstützen Sie damit seine Entwicklung zum Nutzen aller.
Und sobald man von Infrastrukturen spricht, braucht man auch das Betriebspersonal. Die Studie von 
Ist das Gesellschaftsmodell, in dem wir aufgewachsen sind und uns zu befinden glauben, nicht von den technologischen Neuerungen, die wir nicht (genügend) beherrschen, und den Interessen einer Handvoll Unternehmen weitgehend überholt? Wird das gesellschaftliche Risiko angemessen berücksichtigt?
