Der vermehrte Rückgriff auf Home Office während der Covid-19-Pandemie verlangt von den KMU Massnahmen, um sich gegen Cyberkriminalität abzusichern.
Im Zuge der Covid-19-Pandemie hat die Zahl der Menschen, die im Home Office arbeiten, stark zugenommen. Laut dem Bundesamt für Statistik (BFS) haben im Jahr 2020 44,2% der arbeitenden Bevölkerung mindestens teilweise von zu Hause aus gearbeitet. Ein Jahr zuvor hatte diese Quote noch etwa 30% betragen. Für viele Unternehmen stellt sich angesichts dieses Phänomens die Frage nach Sicherheitsvorkehrungen, um sich in dezentral organisierten Arbeitsplätzen vor Cyberangriffen zu schützen. Einer Studie des Wirtschaftsprüfers Deloitte zufolge hat jeder vierte Arbeitnehmende in der Schweiz während der Pandemie einen Anstieg an Online-Betrügereien und Cyberkriminalität wahrgenommen. Im Interview erläutert Max Klaus, stellvertretender Leiter Operative Cybersicherheit beim Nationalen Zentrum für Cybersicherheit NCSC, die grössten Gefahren in diesem Bereich und gibt Tipps, wie sich KMU dagegen schützen können.
Welche Arten von Cyberkriminalität sind in der Schweiz am häufigsten?
Max Klaus: Dem NCSC werden am häufigsten Fälle zu Betrug oder Phishing (Kombination aus den englischen Begriffen für "Fischen/Angeln" und "Passwort", die sich auf den Diebstahl von persönlichen Daten bezieht) gemeldet. Dabei werden in einer E-Mail zum Beispiel Probleme mit der Kreditkarte des Empfängers vorgetäuscht. Dieser wird, wenn er auf den Link in der Mail klickt, auf eine gefälschte Website geleitet, auf der er aufgefordert wird, seine Passwörter oder PIN-Nummern oder ähnliches anzugeben. Beim Phishing geht es den Kriminellen allgemein darum, an Zugangsdaten für Konten, Applikationen oder Dienstprogramme zu kommen. Neben Phishing-Mails versuchen Angreifer ebenfalls per E-Mail, Schadsoftware auf den Computer des Opfers zu laden, indem dieses verleitet wird, einen Anhang in der E-Mail zu öffnen. Wird dabei zum Beispiel eine Ransomware (Kurzform aus den englischen Begriffen für "Lösegeld" und "Software", die Erpressungssoftware bezeichnet) installiert, werden Daten verschlüsselt. Ist in einem solchen Fall kein Backup vorhanden, sind die Daten verloren. Für die Wiederherstellung dieser Daten soll das Opfer dann ein Lösegeld bezahlen. Das NCSC empfiehlt deshalb, im Umgang mit E-Mails sehr vorsichtig zu sein. Im Falle von Erpressungen sollte zudem nie Lösegeld bezahlt werden, denn dies ist keine Garantie, dass die Daten anschliessend freigegeben werden.
Wie hat sich die Cyberkriminalität während der Covid-19-Pandemie entwickelt?
Klaus: Wir haben beobachtet, dass die Cyberkriminellen bei den Angriffen Bezug zur Pandemie nehmen, zum Beispiel mit falschen Online-Shops oder Phishing-E-Mails, die Themen zur Gesundheit enthalten. In den letzten Jahren ist die Anzahl der Cybervorfälle kontinuierlich gestiegen, während der Pandemie konnte aber kein merklicher Anstieg festgestellt werden. Was hingegen aufgefallen ist, war der Anstieg von Meldungen zu Cybervorfällen. Dies könnte damit zusammenhängen, dass sich viele Personen im Home Office mehr Zeit genommen haben, Fälle zu melden oder dass insgesamt die Sensibilität für das Thema gestiegen ist.
Wie können sich Unternehmen dagegen schützen, wenn sich viele Mitarbeitende im Home Office befinden?
Klaus: Als erster Schritt ist es sinnvoll, für den Zugriff auf das Firmennetzwerk von zu Hause aus mit einer VPN-Verbindung zu agieren und dabei eine sogenannte 2-Faktoren-Authentifizierung anzuwenden, welche für das Login einen zweiten Schritt neben Nutzername und Passwort erfordert. Ein weiterer wichtiger Punkt ist die Sensibilisierung der Mitarbeitenden, damit sie die Gefahren im Internet kennen und wissen, wie sie sich dabei richtig verhalten. Zudem muss definiert werden, wie die Mitarbeitenden mit Informationen bezüglich des Unternehmens umzugehen haben. Welche Dokumente dürfen ausgedruckt werden, welche nicht? Was kann über den Hausmüll entsorgt werden, was sollte geschreddert werden? Informationen sollten klassifiziert werden in Kategorien wie "intern", "vertraulich" oder "geheim" und für jede dieser Kategorien sollte festgelegt werden, wie die Informationen und Daten behandelt werden müssen, etwa wenn diese per E-Mail verschickt werden.
Im Home Office arbeiten viele Mitarbeitende auch auf privaten Geräten. Diese sollten dieselben Mindestanforderungen erfüllen wie Unternehmensgeräte – dazu gehört auch eine entsprechende Schutzsoftware. Zudem sollten Unternehmen Richtlinien erstellen, wie und wann geschäftliche Informationen auf diesen Geräten gelöscht werden müssen.
Wie kann verhindert werden, dass Mitarbeitende absichtlich geschäftliche Daten bei sich zu Hause "bunkern"?
Klaus: Es ist natürlich für Unternehmen schwieriger, die Handlungen ihrer Mitarbeitenden zu verfolgen, wenn diese im Home Office sind. Es gibt Lösungen für Netzwerkmonitoring, mit denen die Datenflüsse im Firmennetzwerk verfolgt werden können, sodass anormale Aktivitäten erkannt werden können. Diese sind jedoch teuer und deshalb eher für KMU ab einer gewissen Grösse geeignet. Den meisten Unternehmen bleibt deshalb lediglich, ihre Mitarbeitenden zu sensibilisieren und sie auf die Konsequenzen von Datendiebstahl hinzuweisen.
Wie sollte bei einem Cyberangriff vorgegangen werden?
Klaus: Bei grösseren Unternehmen mit eigenen IT-Abteilungen sollten alle Mitarbeitenden wissen, an wen sie sich im Notfall wenden können. Generell ist bei Cyberattacken wichtig, dass der Informationsfluss reibungslos verläuft, so dass die zuständigen Personen schnell aktiv werden können, um etwa betroffene Systeme zu analysieren und möglichst rasch zu isolieren. Es ist sinnvoll, diese Prozesse schriftlich festzuhalten und an die Mitarbeitenden zu verteilen. Diese sollten sensibilisiert und mit den Gefahren der Cyberkriminalität vertraut gemacht werden. Generell gilt natürlich in jedem Unternehmen, an den gesunden Menschenverstand der Mitarbeitenden zu appellieren. In jedem Fall sollte nicht überstürzt gehandelt werden, der Absender ungewöhnlicher Nachrichten sollte beispielsweise genau überprüft werden – im Zweifelsfall sollte man sich direkt an einen Kollegen oder eine Vorgesetzte wenden. Hat ein Unternehmen durch einen Cyberangriff finanziellen Schaden erlitten, sollte umgehend Strafanzeige bei der zuständigen Strafverfolgungsbehörde erstattet werden.