Wie man ein KMU auf Cyberangriffe vorbereitet

An einem Samstag gegen fünf Uhr in der Früh stellen die Beschäftigten eines Unternehmens für den Lebensmittelgrosshandel fest, dass einige digitale Daten nicht mehr verfügbar sind: Cyberkriminelle sind in das Informatiksystem eingedrungen, um sensible Informationen zu stehlen und Lösegeld für deren Rückgabe zu fordern.

Das ist nur einer der Fälle, mit denen Simon Seebeck, Experte für Cyberschäden bei der Mobiliar, zu tun hat. "Für ein Unternehmen stellt sich nicht die Frage, ob es Opfer eines Cyberangriffs wird, sondern nur wann das passiert", macht er deutlich.

Doch obwohl das Thema deutlich sichtbarer geworden ist, konnten in jüngster Zeit keine Fortschritte bei den sicherheitstechnischen und organisatorischen Massnahmen festgestellt werden, sagt Nicole Wettstein, Leiterin des Programms Cybersicherheit an der Schweizerischen Akademie der Technischen Wissenschaften (SATW), mit Bedauern. "Die KMU sind sich der Gefahr von Cyberangriffen zwar bewusst, doch sie unternehmen keine zusätzlichen Schritte dagegen."

Dabei war bereits ein Drittel aller KMU mit weniger als 50 Beschäftigten schon einmal Opfer eines Cyberangriffs, wie aus einer neuen Erhebung der Allianz Digitale Sicherheit Schweiz hervorgeht. Man muss sagen, dass unser Land ein beliebtes Ziel für Hacker ist, sei es wegen Industriespionage oder weil es wirtschaftlich gut aufgestellt ist.

Zufällig ausgewählte Unternehmen

Alle Unternehmen sind betroffen – vom KMU bis zum multinationalen Konzern, stellt Simon Seebeck fest. "Meistens suchen sich Cyberkriminelle ihr Ziel nicht bewusst aus, sie greifen die IT-Systeme mit automatisierter Software an und nutzen bestehende Schwachstellen aus. Ausserdem muss man wissen, dass jedes gestohlene Datenpaket an sich schon einen Wert hat, sei es für eine Lösegeldforderung bei dem Opfer oder für den Weiterverkauf von Informationen an Dritte."

Die beliebteste Methode der IT-Kriminellen bleibt aber der Identitätsdiebstahl, durch den sie sich beispielsweise als Lieferant ausgeben und um eine dringende Überweisung auf ein neues Bankkonto bitten. Daher ist es so wichtig, auch die Mitarbeitenden regelmässig für dieses Thema zu sensibilisieren.

Risiken antizipieren

Die Expertin Nicole Wettstein beobachtet mehrere Punkte, die Aufmerksamkeit erfordern, damit die Schweizer Unternehmen besser werden: Einerseits herrscht ein Mangel an Investitionen oder Fachkräften, andererseits zu viel Optimismus bezüglich der Wahrscheinlichkeit eines Angriffs. "Ausserdem sind viele KMU im Bereich der Digitalisierung relativ weit fortgeschritten, ihr Geschäftsmodell ist also von einem funktionierenden IT-System abhängig. Ein Cybervorfall kann daher erhebliche finanzielle Folgen haben."

Und wie sollte man bei einem Angriff reagieren? "Das Erste ist, alle Systeme vom Netz zu nehmen und auch das WLAN-Netz abzuschalten, wobei man sich Bedarf an seinen IT-Anbieter wenden kann. Dann ist es wichtig, im Fall einer Lösegeldforderung nicht mit den Kriminellen in Kontakt zu treten, denn in der Regel lassen diese ab der ersten Kommunikation eine Frist laufen und erhöhen kontinuierlich den Druck", führt Simon Seebeck aus. Auch das neue Gesetz über den Datenschutz (s. Monatsthema) enthält einige neue Bestimmungen, die man im Kopf haben sollte.

Cybersicherheit sei nichts, was man delegieren könne, warnt Simon Seebeck. "Das ist Sache der Geschäftsleitung, die regelmässig nicht nur die technischen, sondern auch die organisatorischen Massnahmen überprüfen muss. Insbesondere geht es darum zu wissen, wer zu welchen Daten im Unternehmen Zugang hat, aber auch darum, die Aufmerksamkeit der Mitarbeitenden auf ein angemessenes Verhalten in den sozialen Netzwerken im Zusammenhang mit ihrer Arbeit zu lenken. Idealerweise sollte man mindestens einmal pro Jahr einen Cyberangriff simulieren, um genau zu wissen, was passiert, wenn E-Mails ihren Empfänger nicht mehr erreichen oder wenn der Server zurückgesetzt werden muss." Zur Erinnerung: Die Behebung eines Cyberangriffs dauert meistens bis zu eine Woche, wenn aktuelle Backups zur Verfügung stehen, und deutlich länger, wenn das nicht der Fall ist...