2023 waren die Schweizer Unternehmen einer Zunahme der Cyberangriffe um 61% ausgesetzt. Wie kann man sich vor einer solchen Bedrohung schützen? Sandro Nafzger, "ethischer Hacker" und Mitgründer der Firma Bug Bounty Switzerland, klärt auf.
Die Diskussionen bei den Swiss Cyber Security Days, die am 20. und 21. Februar in Bern stattfinden, dürften sicher auch von folgender Tendenz geprägt sein: Zwischen 2019 und 2023 rutschte die Schweiz im National Cybersecurity Index vom 14. auf den 27. Platz ab. Dieser internationale Index misst die Resilienz verschiedener Länder in Bezug auf IT-Bedrohungen. Besonders die Unternehmen sind von dieser rasanten Talfahrt betroffen: Der Cybersecurity-Anbieter Check Point verzeichnete 2023 eine Zunahme der Cyberangriffe um 61%. Ausserdem berichtet jedes dritte KMU, bereits Opfer eines solchen Angriffs gewesen zu sein, wobei es in 11% der Fälle zu ernsten Schäden kam. Wie kann man seine Beschäftigten sensibilisieren und die Risiken eines Angriffs minimieren? Empfehlungen von Sandro Nafzger.
In den Rankings zum Thema Cybersicherheit schneidet die Schweiz immer schlechter ab. Warum?
Sandro Nafzger: Die Herausforderungen im Zusammenhang mit der digitalen Welt entwickeln sich rasant. Durch Technologien wie KI erhöhen sich tendenziell die Häufigkeit und die Schwere der Angriffe. Die Schweiz kommt mit der Anpassung ihrer Reaktionen nicht schnell genug hinterher, zumindest nicht so schnell und agil wie andere Länder. Das ist wahrscheinlich zu einem grossen Teil auf kulturelle Aspekte in Verbindung mit den hohen Qualitätsstandards zurückzuführen. Unsere Angst, Fehler zu machen, führt dazu, dass uns viele Innovationen entgehen oder ihre Umsetzung verlangsamt wird.
Erfolgreiche Angriffe sind oft das Ergebnis eines menschengemachten Fehlers. Inwiefern ist dieser Faktor der grösste Schwachpunkt der Unternehmen?
Nafzger: Es ist zu leicht, den Nutzern die Schuld zu geben. Wenn Angestellte beispielsweise regelmässig auf schädliche Links klicken und das Unternehmen nicht reagiert, handelt es sich auch um ein Problem technischer Natur. Es ist wichtig, dass eine Organisation einen hohen Grad an Resilienz erreicht. Die präventiven Massnahmen müssen über einfache Fortbildungs- oder Sensibilisierungsveranstaltungen hinausgehen.
Schwachstellen, egal ob menschliche oder technische, sind der Nährboden für Cyberangriffe. Es geht darum, ständig vorausschauend zu agieren, um sie zu erkennen und zu beheben. Im Rahmen unserer nationalen Cybersicherheitsstrategie wird ethisches Hacking in Form von "Bug Bounty Programs" empfohlen, das darin besteht, Entwicklern und Experten, die Sicherheitslücken erkennen, bevor die Hacker es tun, Belohnungen zu zahlen.
Warum sind Schweizer KMU besonders beliebte Angriffsziele?
Nafzger: Grosse Unternehmen stellen häufig lukrativere Ziele dar, aber in der Regel verfügen sie über die notwendigen Kompetenzen und Ressourcen, um sich gut zu schützen. Also ist es für Cyberkriminelle interessant, kleinere Unternehmen ins Visier zu nehmen. Ihre idealen Ziele sind Firmen, die genug Geld haben, um sich auf eine Erpressung einzulassen, sich aber noch nicht gut genug schützen. In diese Kategorie fallen viele Schweizer KMU, die daher jeden Tag ein bisschen mehr gefährdet sind.
Sind einige Wirtschaftszweige stärker betroffen als andere?
Nafzger: Die Bedrohung nimmt in allen Bereichen zu. Es wäre also ein schwerer Fehler für ein Unternehmen zu glauben, dass seine Grösse oder seine Branche es vor einem Cyberangriff bewahren würden. Einige Branchen müssen sich allerdings besonders gut schützen. Dies sind unter anderem das Gesundheitswesen, da dort sensible Daten verwendet werden, der öffentliche Sektor sowie Infrastrukturen, die für das Überleben des Landes unverzichtbar sind. Ein weiterer wesentlicher Aspekt betrifft Drittpersonen und Lieferketten. Die Unternehmen müssen ihr gesamtes System absichern, wozu auch ihre Partner und externen Lieferanten gehören. Es geht darum, sich neue Formen der Zusammenarbeit zu überlegen, die über die interne Organisation des Unternehmens hinausgehen.
Die jüngste Zeit war von mehreren Krisen geprägt. Sind sich die Unternehmen bewusst, wie gross die Gefahr ist?
Nafzger: Leider haben die meisten Unternehmen noch nicht erkannt, dass sie immer verletzlicher werden. Sie lernen das oft auf die harte Tour, nach einem Cyberangriff. Bug Bounty Switzerland wurde gegründet, um solche Situationen zu verhindern. Dank der legalen Cyberattacken, die wir mit unseren ethischen Hackern durchführen, fördern wir diese Bewusstseinsbildung, ohne dass dadurch Schaden entsteht.
Ist es für ein KMU möglich, ein gutes Schutzniveau zu gewährleisten?
Nafzger: Absolut. Häufig sind es sogar die Unternehmen mit begrenzten Ressourcen, die zu den intelligentesten Entscheidungen kommen. Mit einer guten Organisation und einem Minimum an technischem Schutz können KMU schon viel machen. Wenn man eng mit seinen Teams zusammenarbeitet und eine kollektive Intelligenz entwickelt, kann man auch jeden Tag etwas besser werden.
Die neuen generativen KI-Tools sind auf dem Vormarsch. Entstehen dadurch neue spezifische Risiken?
Nafzger: Die KI ist ein hervorragender Katalysator für Schnelligkeit und Effizienz. Diese neuen Tools werden natürlich von beiden Seiten genutzt, sowohl für Angriffe als auch für den Schutz der IT-Systeme. Wir nutzen KI auch für unsere kollaborative Plattform zum Thema Sicherheitslücken. Dadurch können wir die Wirkung unserer Lösung immer weiter erhöhen.
