Noch ist das Bewusstsein ungenügend, aber auch NGOs sind Ziele von Cyberattacken. Francesca Bosco, Senior Advisor Strategy and Partnerships vom CyberPeace Institute, erläutert, wie sie das ändern können und weshalb humanitäre NGOs ins Visier von Cyberkriminellen geraten.
Das CyberPeace Institute wurde im Jahr 2019 gegründet. Was genau gab den Anstoss?
Es war der Gesundheitssektor, der bereits wegen der COVID-19-Pandemie unter enormem Druck stand. Dieser sah sich mit Cyberangriffen und ‑bedrohungen konfrontiert, die die Fähigkeit des Sektors untergruben, erfolgreich auf Bedürfnisse der Menschen in der Gesundheitsversorgung zu reagieren. Vermehrt wurde kritische Infrastruktur angegriffen. Das waren Angriffe auf die Funktionstüchtigkeit unserer Gesellschaft. Das CyberPeace Institute wurde als neutrale NGO in Genf gegründet, mit dem Ziel, den Schaden durch die Attacken zu begrenzen, um vulnerable Communities zu unterstützen und um das verantwortungsvolle Verhalten im Cyberspace zu fördern. Damals wurde erkannt, dass die eskalierenden Angriffe nicht nur Computer betreffen, sondern Menschenleben bedrohen und den Zugang zu grundlegenden Diensten wie der Gesundheitsvorsorge gefährden.
Wer steht dahinter?
Gestartet sind wir mit einer Anschubfinanzierung aus dem privaten Sektor. Seed Money kam unter anderem von Microsoft, Mastercard und der William and Flora Hewlett Foundation.
Der Name ist speziell für ein Institut, das sich im Wesentlichen mit Datensicherheit beschäftigt. Verstehen Sie sich als Friedensorganisation?
Der integrierte Ansatz hat mich und auch viele andere inspiriert, für das CyberPeace Institute zu arbeiten. Sich als Friedensorganisation betätigen und gleichzeitig einen umfassenden analytischen Ansatz im Thema Cybersicherheit entwickeln stellt eine doppelte Herausforderung dar. Wir verfolgen den Grundgedanken eines positiven Cyberfriedens.
Das ist?
Frieden bedeutet für uns nicht nur, keine Konflikte zu haben, sondern auch, mögliche Brandherde proaktiv und vorausschauend zu verhindern. Denken wir darüber nach, dass der Cyberspace fast alle Aspekte unserer Existenz umfasst, wird klar, er beinhaltet ebenso faszinierende Möglichkeiten wie tiefe Abgründe. Deshalb haben wir einen integrierten Ansatz gewählt. Von Anfang an war klar, der Cyberspace birgt nicht nur Gefahren, er bietet auch Chancen. Er ermöglicht bei sachdienlicher Anwendung Sicherheit. Unser Angebot achtet auf Menschenwürde und Gleichberechtigung. Und es stellt sicher, dass Cyberattacken keine Menschenleben bedrohen.
Also eine Friedensorganisation.
Ja, wir sind eine Friedensorganisation, und sogar eine sehr aktive. Vieles ist zurzeit im Wandel. Deshalb haben wir einen sehr konkreten und praktischen Ansatz gewählt: Wir untersuchen, wir unterstützen und wir setzen uns ein.
Das heisst konkret?
Wir unterstützen vulnerable Communities, NGOs, die im humanitären Sektor und in der Entwicklungszusammenarbeit tätig sind. Wir recherchieren, analysieren und informieren die Politik in den jeweiligen Ländern. Und wir antizipieren disruptive Technologien, die eine Bedrohung für die vulnerablen Communities sein können.
«Der Cyberspace beinhaltet ebenso faszinierende Möglichkeiten wie tiefe Abgründe.»
Francesca BOSCO,
Senior Advisor Strategy and Partnerships, CyberPeace Institute
In wie vielen Ländern sind Sie aktiv?
Unser Netzwerk ist global und erstreckt sich auf rund 120 Länder. Unser Team besteht aus 27 Vollzeitbeschäftigten aus zwölf Ländern. 50 Prozent davon sind Frauen. Darauf sind wir stolz. Die Vielfalt ist eine unserer grössten Stärken, vor allem wenn man bedenkt, dass wir uns für Cyberfrieden einsetzen. So kombinieren wir ein breites Spektrum an Kompetenzen bei der Cybersicherheit mit den sehr unterschiedlichen kulturellen Hintergründen unseres Teams. Von Genf aus arbeiten wir mit den regionalen CyberPeace Buildern in Nairobi (Kenia) und Bogotà (Kolumbien) eng zusammen. Wir unterstützen NGOs
in 120 Ländern direkt. Diese NGOs sind ebenfalls international tätig, was unseren Impact deutlich vergrössert. Unser Ziel ist, global tätig zu sein.
Welche Stiftungen und Verbände sind besonders gefährdet?
Das ist eine interessante Frage – und keine einfache. Wie unsere Erfahrung zeigt, hängt es von unterschiedlichen Faktoren und den Bedingungen bei den Organisationen ab. In der Covidpandemie haben wir den Gesundheitssektor als einen der verletzlichsten identifiziert. Zurzeit fokussieren wir uns auf zivilgesellschaftliche Organisationen und auf solche mit einem humanitären Kontext.
Weshalb genau auf diese Themenbereiche?
Humanitäre Organisationen setzen für ihre Aktivitäten zunehmend auf IT-Technologien. Eine gute Sache, denn so erhöhen sie ihre Reichweite. So können sie Menschen in Not kritische Dienste liefern. Die neuen Technologien bieten wunderbare Möglichkeiten. Sie erweitern aber gleichzeitig die Angriffsoberfläche. Es wird überlebenswichtig, sich über einen physischen Angriff hinaus mit dem Schutz der Daten zu befassen. Dabei geht es um die verwendete Software. Ein sehr wichtiger Punkt ist, zu verstehen, dass Cyberattacken auch physische Konsequenzen haben können. Dabei denke ich vor allem an die humanitären Organisationen. Was sie online tun, etwa auf Social Media, kann grosse Auswirkungen in der realen Welt haben.
Das IKRK erlebte vor einem Jahr eine Attacke …
Ja, das war ein Weckruf für die internationale Gemeinschaft. Es wurden hochsensible persönliche Daten im Zusammenhang mit dem Programm zur Zusammenführung von Familien gestohlen. Die Transparenz, die das IKRK mit der Veröffentlichung von Informationen über den Cyberangriff ermöglicht hat, ist wichtig. Dies, weil
es Menschenleben betrifft. Der Schaden, den solche Angriffe anrichten, ist unermesslich und wird noch jahrzehntelang nachwirken. Der Angriff auf das IKRK machte Schlagzeilen
in den Medien, Die Hilfsorganisation ist mit diesem Vorfall nicht allein.
Warum sind die Daten von humanitären Organisationen für Cyberkriminelle so attraktiv?
Häufig sind NGOs Opfer von Angriffen, die auf kritische Dienste abzielen. Cyberangriffe auf humanitäre Organisationen verfolgen das Ziel, die Fähigkeit ihrer Aktivitäten zu beeinträchtigen. Cyberkriminelle zielen auf die Daten von Begünstigten und sie stehlen Gelder, Daten und Informationen. Auch bösartige Informationen und politisch motivierte Botschaften werden verbreitet, durch Verunstaltung von Webseiten oder den Missbrauch von Identitäten. Gestohlene Daten werden manipuliert für Desinformationskampagnen. Der humanitäre Sektor sammelt jährlich über 30 Milliarden Dollar für Schutz und Unterstützung. Zynischerweise sehen Cyberangreifer:innen dies wahrscheinlich als eine lukrative Geschäftsmöglichkeit. NGOs gelten für Cyberangreifer:innen als risikoarm und lukrativ. Ersteres, weil sie in technischer Hinsicht ein leichtes Ziel sind, und Letzteres, weil sie durch Lösegeldforderungen, betrügerische Überweisungen usw. an Geldmittel gelangen können.
Gibt es weitere Beispiele?
Ja, leider. Im Sommer 2021 haben Cyberkriminelle den Instagram-Account der Union for International Cancer Control (UICC) gekapert. Sie haben am Weltkrebstag 2021 eine Phishingmail versendet mit falschen Reklamationen. Viele Follower des Accounts dachten, die Mitteilung stamme von der Organisation. Und zwei Tage später gelangten die Kriminellen an die Organisation, bekannten sich zur Übernahme des Accounts und verlangten Lösegeld. Die UICC vertritt die Interessen der Krebs-Community. Ihr Hauptanliegen ist es, einen fairen Zugang zu Vorsorgeuntersuchungen und Präventionsmassnahmen zu gewährleisten. Zu diesem Zeitpunkt hatten die Cyberkriminellen die mit dem Konto verknüpfte E‑Mail-Adresse, das Passwort und die Telefonnummer geändert und das Konto deaktiviert. Es dauerte mehrere Wochen, bis die UICC wieder Zugang zu ihrem Instagram-Account hatte.
Wo werden gestohlene Daten gehandelt?
Beispielsweise im Darknet. Dort gibt es einen Markt für gestohlene Identitäten. Das Ausmass zu quantifizieren ist sehr schwierig. Es gibt kaum Daten dazu, was ein grosses Problem ist. Deshalb arbeiten wir am CyberPeace Institut an einer Methode, den Organisationen das wirkliche Ausmass von möglichen Langzeitschäden zu vermitteln. Denn viele haben bei einer Attacke nur gerade den unmittelbaren Vorfall im Auge, denken aber nicht an den möglichen Umfang des Schadens: Wie viele Daten wurden effektiv gestohlen oder wie hoch sind die Kosten, die über den unmittelbar entstandenen Schaden hinausgehen? Denn der Effekt der Langzeitkosten ist schwierig zu quantifizieren.
«NGOs sind häufig Opfer von Angriffen, die auf kritische Dienste abzielen.»
Francesca BOSCO
Was ist im Falle eines Angriffs zu tun?
Der Vorfall sollte sofort den Behörden gemeldet werden. Ich weiss, das kann schwierig sein. Aus Scham teilen Betroffene die Cyberattacken den Behörden oft nicht mit oder sie wissen schlicht nicht, was zu tun ist, wohin sie sich wenden sollen. Ich arbeite seit 2006 im Bereich Cybercrime. Eines der grössten Probleme ist seit jeher der Fakt, dass Cybervorfälle extrem selten dokumentiert werden. Die wenigen Daten machen es schwierig, die Vorfälle einheitlich zu dokumentieren. Zum Glück haben heute viele Länder eine Stelle, die sich um Cyberkriminalität kümmert und versucht, die Vorfälle zu dokumentieren. Was die Behörden weniger tun ist, die Cyberspaces überprüfen und Unterstützung bei der Wiederherstellung von Daten leisten.
Was würden Sie einer Organisation, die nur wenige Ressourcen und möglicherweise keine Mitarbeitenden hat, konkret empfehlen, um sich zu schützen?
Um NGOs zu unterstützen, wurde das Programm «CyberPeace Builders» ins Leben gerufen. Es ist ein weltumspannendes Netzwerk mit Cybersicherheitexpertinnen und ‑experten. Ein echtes Bedürfnis der zivilgesellschaftlichen Organisationen. Dies, weil sie oft zu wenig personelle Ressourcen haben, keine Kompetenzen vor Ort, oder schlicht, weil das Budget fehlt. Und es kommt auch vor, dass NGOs ihre Spendengelder nicht für diesen Zweck verwenden dürfen. Bei den Mitgliedern der Cybersicherheits-Community besteht ein riesiger Wille zu helfen. Es ist ein Freiwilligenprogramm mit Expert:innen, die in privaten Unternehmen arbeiten. Für NGOs ist das Angebot gratis, sie können jederzeit um Hilfe bitten. Was wir noch nicht tun können, ist Soforthilfe leisten. Wir helfen den NGOs in der Prävention und darin, ihre Cyberkompetenzen zu verbessern. Oder wir unterstützen sie nach der Attacke auf dem Weg zurück in den digitalen Alltag. Mit dem Start des Cybersecurity Centers (HCC) am 27. Februar 2023 schaffen wir die Möglichkeit, Soforthilfe zu leisten.
Bringt eine Cyberversicherung etwas?
Es ist wichtig, dass auch kleinste Organisationen Zeit reservieren und sich mit ihrer Cyberresilienz befassen. Wir sensibilisieren die Organisationen dahingehend, selbst Kapazitäten und Fähigkeiten aufzubauen.
Wie sieht die Sensibilisierung aus?
Etwas vom Ersten, was wir dem Führungsteam in kleinen Organisationen zeigen, ist, wie die Multi-Faktor-Verifikation oder ein Passwortmanager funktionieren. Das ist einfach und effektvoll. Wichtig ist dabei, dass die gesamte Organisation die Massnahmen anwendet, nicht nur die IT-Mitarbeitenden.
«Es ist wichtig, dass sich auch kleinste Organisationen Zeit reservieren und sich mit ihrer Cyberresilienz befassen.»
Francesca BOSCO
Was braucht es weiter, um die Cyberwelt noch sicherer zu gestalten?
Nicht nur NGOs müssen ihr Wissen erweitern, auch die Gönner:innen und Spender:innen sollten ein Verständnis für die Gefahren im Netz entwickeln. Im besten Fall unterstützen sie die Entwicklung der Cybersicherheit bei ihren Förderpartnern mit Geld. Denn die Entwicklung einer Kultur der Sicherheit bedarf Investitionen. Leider ist dieses Bewusstsein heute noch nicht vorhanden. Die meisten meinen, mit einem Antivirusprogramm sei es getan. Der technische Dienst ist nur ein Teil der Schutzmassnahmen. Es braucht verschiedene Komponenten für den guten Schutz. Und genau das ist der Grund, weshalb wir das Center so vorantreiben.
Wer nimmt Ihre Dienste in Anspruch?
Die Bedürfnisse sind je nach Weltregion sehr unterschiedlich. Deshalb haben wir regionale Berater:innen in Afrika und Lateinamerika. Wir haben zum Ziel, bis Ende 2022 über 100 NGOs zu unterstützen. In der Schweiz unterstützen wir zurzeit 59, wobei die Spannweite gross ist. Es sind Organisationen aus dem Gesundheitsbereich, aus der humanitären Entwicklungszusammenarbeit und solche, die sich um Kinderrechte oder das Thema Gewalt gegen Frauen kümmern. Und es gibt auch solche, die anonym bleiben wollen.
Sie haben ein erstes Ziel erreicht. Was sind die nächsten Schritte?
Wir wollen die Kräfte bündeln, um den Sektor mit einer Art Plattform zu unterstützen, wo sich Unternehmen, Organisationen und Private zusammentun können, um Hilfe zu leisten. Deshalb ist es auch unser Ziel, auf einer künftigen Plattform die Attacken auf Zivilorganisationen zu tracken, zu visualisieren und zu archivieren. Damit wollen wir humanitäre Akteur:innen unterstützen. Und wir möchten den Organisationen helfen, die Widerstandsfähigkeit zu stärken. Wir sehen die Dringlichkeit der Soforthilfe, möchten aber keine Abhängigkeiten schaffen. Deshalb stärken wir die Betroffenen und helfen, ihre Fähigkeiten zu erhöhen, damit sie sich selber besser wehren können.