DDoS-Angriffe zählen zu den häufigsten Cyberbedrohungen für Schweizer Unternehmen. Das Zuger Softwareunternehmen Papers AG hat mit Obsidio eine Plattform entwickelt, die solche Angriffe mithilfe von über 232’000 echten Smartphones weltweit realistisch simuliert. Alessandro de Carli, CEO der Papers AG, erklärt, wie die Technologie funktioniert, warum sie auch für KMU relevant ist und was sie von herkömmlichen Sicherheitstests unterscheidet.
Eine ungewöhnliche Idee mit System
Wie kommt man auf die Idee, DDoS-Angriffe mit Smartphones zu simulieren? Die Antwort liegt in der bestehenden Infrastruktur der Acurast-Plattform, die Papers AG bereits entwickelt hatte. «Obsidio musste nicht selbst ein solches Netzwerk aufbauen, sondern konnte auf der bestehenden Infrastruktur von Acurast aufbauen», erklärt de Carli. Diese Infrastruktur funktioniert wie ein Cloud-Anbieter, der jedoch komplett dezentral über Smartphones in der ganzen Welt aufgebaut ist. «Der Papers AG wurde bewusst, dass diese Dezentralisierung im Umfeld der Resilienztests das fehlende Puzzleteil war.»
Technisch gesehen erlaubt Obsidio einem Unternehmen, Angriffsszenarien auf spezifischen Systemen selbst zu konfigurieren und durchzuführen. Das interne Sicherheitsteam wählt die gewünschten Parameter, im Hintergrund werden die nötigen Geräte aus dem weltweiten Netzwerk ausgewählt und das Angriffsszenario ausgeführt. Während und nach der Simulation liefert das System einen detaillierten Bericht über die Widerstandsfähigkeit der getesteten Infrastruktur.
Was Obsidio von herkömmlichen Tests unterscheidet
Klassische Last- und Stresstests laufen über zentrale Lastgeneratoren in einem Rechenzentrum eines Cloud-Anbieters. Das Problem dabei ist strukturell: Der Traffic stammt aus nur wenigen IP-Adressen und erzeugt ein leicht erkennbares Muster. «Solche Tests sagen letztlich kaum etwas darüber aus, wie sich die eigene Abwehr gegen einen echten, breit gefächerten Angriff verhält», so de Carli.
Obsidio geht einen anderen Weg. Die Plattform spiegelt die Realität eines echten Angriffs, indem Attacken aus tausenden echten, geografisch verstreuten Endgeräten simuliert werden. Diesen Datenstrom kann eine Abwehrlösung nicht einfach als bekanntes Muster aussortieren. Das macht den Unterschied: Unternehmen erfahren, wie ihre Infrastruktur unter realen Bedingungen reagiert, nicht unter Laborbedingungen.
NSA-Immunität: Was dahintersteckt
Einer der auffälligsten Begriffe in der Beschreibung von Obsidio ist die sogenannte «NSA-Immunität». Dahinter steckt ein konkretes technisches Konzept. «Daten und Code werden direkt in den abgesicherten Hardware-Bereichen der Smartphones verarbeitet und dezentral verteilt», erklärt de Carli. «Dadurch existiert kein grosser, zentraler Cloud-Anbieter, der unter extraterritorialem Recht, etwa dem US CLOUD Act, zur Herausgabe gezwungen werden könnte.»
Für Schweizer Unternehmen, die auf digitale Souveränität und Datenschutz angewiesen sind, ist dieser Aspekt besonders relevant. Wer kritische Sicherheitstests durchführt, hinterlässt sensible Daten über die eigene Infrastruktur. Dass diese Daten nicht bei einem amerikanischen Cloud-Anbieter landen, ist für viele Finanzinstitute und Behörden keine Nebensache.
Warum Banken überzeugt wurden
Die ersten Kunden von Obsidio waren Schweizer Banken. Was hat diese Institute überzeugt? «Die Institute waren sofort von einer Lösung überzeugt, welche die Realität exakt widerspiegelt», sagt de Carli. Ein entscheidender Faktor war die Flexibilität: Teams können Tests eigenhändig konfigurieren und ausführen, um die Auswirkungen getroffener Massnahmen selbst zu überprüfen.
Darüber hinaus ermöglicht Obsidio die Simulation unterschiedlichster Angriffsszenarien, die kontinuierlich an die neusten Entwicklungen bei Cyberangriffen angepasst werden. Für Banken, die unter strengster Aufsicht stehen und regelmässig nachweisen müssen, dass ihre Systeme widerstandsfähig sind, ist das ein erheblicher Vorteil.
FINMA, DORA, NIS2: Regulatorischer Druck als Treiber
Die regulatorischen Anforderungen an Unternehmen in der Schweiz und Europa verschärfen sich stetig. FINMA, die Schweizer Finanzmarktaufsicht, verlangt von Banken und Versicherungen den Nachweis operationeller Resilienz. Der europäische Digital Operational Resilience Act DORA und die Richtlinie NIS2 erhöhen den Druck auf weitere Branchen.
Obsidio ist gezielt auf diese Anforderungen ausgerichtet. «Jeder Test erzeugt kryptografisch attestierte, manipulationssichere Berichte, die als Audit-Beleg dienen», erklärt de Carli. Damit lässt sich lückenlos bestätigen, welche Simulationen unter echten Bedingungen durchgeführt wurden und wie widerstandsfähig die Infrastruktur tatsächlich war.
Die Gefahr für KMU ist grösser als gedacht
Viele KMU glauben, für Hacker kein attraktives Ziel zu sein. Diese Einschätzung ist laut de Carli gefährlich falsch. «Während spektakuläre Rekordangriffe die Medien dominieren, besteht die Realität aus vielen kleinen Angriffen, und genau diese sind für KMU verheerend», sagt er. «Schon wenige Gigabit pro Sekunde reichen, um eine typische Applikation vollständig lahmzulegen.»
Die Entwicklung der letzten Jahre hat die Bedrohungslage grundlegend verändert. Mithilfe von künstlicher Intelligenz ist es heute mit geringem Aufwand möglich, Ziele automatisiert zu identifizieren und kostengünstig auszuschalten. «Damit wird jedes Unternehmen unabhängig von Branche und Grösse zum potenziellen Ziel, wobei KMU selten über die massiven Abwehrkapazitäten grosser Institute verfügen», so de Carli.
Blockchain als Rückgrat der Sicherheit
Die technische Grundlage von Obsidio ist die Acurast-Infrastruktur, die auf Blockchain-Technologie basiert. Die Rechenleistung kommt von echten, weltweit verteilten Smartphones. Die Blockchain von Acurast übernimmt dabei die Koordination, die Vergütung der Rechenleistung sowie die sichere Attestierung der Hardware.
Der Sicherheitsvorteil dieser Dezentralisierung lässt sich auf drei Kernpunkte reduzieren. Erstens der Realismus: Der Traffic kommt aus tausenden echten Quellen statt aus einem Rechenzentrum. Zweitens die Verifizierbarkeit: Jede einzelne Aktion ist hardwareseitig attestiert und nachweisbar. Drittens die Unabhängigkeit: Es besteht keinerlei Abhängigkeit von einzelnen grossen Cloud-Anbietern.
Skalierbare Lösung auch für KMU
Eine häufige Annahme ist, dass professionelle Cybersicherheitslösungen nur für Grossunternehmen erschwinglich sind. Obsidio ist bewusst anders konzipiert. «Mit Obsidio behält jedes Unternehmen die volle Kontrolle darüber, welche Angriffsszenarien getestet werden sollen», erklärt de Carli. «Die Bandbreite reicht von einer einfachen Simulation mit wenigen Geräten bis hin zu einem komplexen Szenario mit tausenden Geräten aus spezifischen Ländern.»
Dadurch ist der Zugang zu Obsidio mit unterschiedlichen Budgets skalierbar. KMU können mit kleineren Tests beginnen, die eigene Abwehrlage einschätzen und schrittweise erweitern.
Ausblick: Was als nächstes kommt
Papers AG arbeitet bereits an mehreren Erweiterungen für Obsidio. Geplant ist unter anderem die Möglichkeit, die eigene Applikation auch von aussen zu beobachten, während ein Test läuft. So lässt sich prüfen, ob eine Applikation aus einem benachbarten Land noch erreichbar ist, während ein Angriff simuliert wird.
Darüber hinaus sollen sogenannte Playbooks eingeführt werden, mit denen mehrere Tests automatisiert aneinandergereiht und wiederholt ausgeführt werden können. Eine KI-basierte intelligente Beurteilung der generierten Testresultate ist ebenfalls in der Entwicklungspipeline. Obsidio wird laufend um neu auftauchende, verbreitete Angriffsvektoren erweitert, damit die Plattform stets am Puls der aktuellen Bedrohungslage bleibt.
Für Schweizer KMU, die ihre digitale Widerstandsfähigkeit ernst nehmen, bietet Obsidio einen praxisnahen Einstieg in professionelle Sicherheitstests, ohne dafür das Budget eines Grosskonzerns zu benötigen.
Häufig gestellte Fragen
Was ist Obsidio und wofür wird es eingesetzt?
Obsidio ist eine Plattform der Zuger Papers AG, die realistische DDoS-Angriffe mithilfe einer dezentralen Infrastruktur aus über 232’000 Smartphones weltweit simuliert. Sie dient Unternehmen dazu, ihre Widerstandsfähigkeit gegen Cyberangriffe proaktiv zu testen und regulatorische Nachweispflichten gegenüber FINMA, DORA und NIS2 zu erfüllen.
Ist Obsidio auch für KMU geeignet?
Ja. Die Plattform ist skalierbar und erlaubt Simulationen von einfachen Tests mit wenigen Geräten bis hin zu komplexen Szenarien mit tausenden Geräten. KMU können damit mit überschaubarem Budget professionelle Sicherheitstests durchführen, die bisher grossen Finanzinstituten vorbehalten waren.
Was bedeutet «NSA-Immunität» bei Obsidio?
Der Begriff beschreibt, dass Daten und Code direkt in den abgesicherten Hardware-Bereichen der Smartphones verarbeitet werden, ohne dass ein zentraler Cloud-Anbieter involviert ist. Dadurch unterliegt die Infrastruktur keinem extraterritorialen Recht wie dem US CLOUD Act und bleibt vollständig unter Schweizer Datenschutzstandards.
