Cybersicherheit

Jedes dritte KMU war schon einmal Opfer eines Cyberangriffs und das Risiko steigt immer weiter, wie das Bundesamt für Cybersicherheit (BACS) mitteilt. Wie kann man sein Unternehmen bestmöglich vor diesem Risiko schützen?

Diebstahl, Erpressung, Sabotage... Cyberangriffe sind die Ausweitung der Kriminalität aus der physischen Welt auf eine dematerialisierte Umgebung. Das Ausmass des Risikos, das diese Angriffe darstellen, wird von den Geschäftsführungen der Schweizer KMU, die 99,7% der Unternehmen des Landes ausmachen, jedoch immer noch häufig unterschätzt. Während die Initiative digitalswitzerland einen Schnelltest anbietet, der speziell für KMU entwickelt wurde, die ihren Gefährdungsgrad bewerten wollen, gibt es auch einige gute Reflexe, die man entwickeln sollte, um sowohl das Risiko wie auch die Schwere eines Angriffs zu reduzieren.

1. Inventare erstellen und regelmässige Back-ups durchführen
2. Mitarbeitende für die Nutzung sicherer Passwörter sensibilisieren
3. Einige technische Massnahmen beachten
4. Sicherheitsverfahren auslagern
5. Typische Handlungsweisen von Hackern kennen
6. Gute Reflexe für den Notfalls parat haben

1. Inventare erstellen und regelmässige Back-ups durchführen

Die erste Massnahme zur Verringerung der Risiken besteht darin, die gesamte Hardware (PC, Tablets, Smartphones, Drucker, externe Festplatten, USB-Sticks usw.), Software und zu schützende Daten zu erfassen. Nur mit einem solchen Inventar, das mindestens einmal pro Jahr zu erstellen ist, kann man wissen, was geschützt werden muss, und die wesentlichen Elemente für den reibungslosen Betrieb des Unternehmens identifizieren. Die Geschäftsführer müssen sich ausserdem vergewissern, dass ihre Nutzungslizenzen gültig sind, was sowohl in rechtlicher Hinsicht als auch für die Wartung von Bedeutung ist. Ein weiterer unerlässlicher Schritt ist die Auflistung der Zugangsrechte, mit der bestimmt werden kann, wer auf welchen Bereich zugreifen kann, und verschiedene Zugangsstufen (Gast, Nutzer oder Administrator) mit immer strengeren Genehmigungen vorgesehen werden können, um die gefährdete "Fläche" zu reduzieren. Je höher die Zugangsstufe ist, auf der ein Hacker-Angriff erfolgt, desto grösser sind die Schäden.

Jedes KMU muss zudem sicherstellen, dass seine Daten regelmässig gesichert werden, um bei einem Vorfall eine schnellere Wiederaufnahme des Betriebs zu gewährleisten, besonders bei einem Angriff durch Ransomware. Zwar hängt es von der Aktivität des Unternehmens ab, welche Daten besonders wichtig sind, aber einige sind immer wesentlich: Kundendateien, Mailprogramme, Verträge, Buchhaltungsdaten usw. Der Rhythmus für die Back-ups sollte individuell festgelegt werden, je nachdem, wie viele Informationen produziert werden. Darüber hinaus ist es wichtig, Online- und Offline-Back-ups zu kombinieren. Erstere erlauben eine schnelle Wiederherstellung, doch sie sind selbst nicht vor möglichen Angriffen geschützt. Letztere wie beispielsweise eine externe Festplatte sind zwar auch nicht vor Störungen sicher, aber nicht mit dem Netz verbunden.

2. Mitarbeitende für die Nutzung sicherer Passwörter sensibilisieren

Viele IT-Angriffe sind deshalb erfolgreich, weil die Passwörter der Beschäftigten zu einfach sind. Laut einer Studie der AXA-Versicherung hat nur jedes zweite KMU entsprechende Richtlinien definiert.

Es ist sinnvoll, seinen Teams in Erinnerung zu rufen, wie die Hacker vorgehen. Am häufigsten wird das Brute-Force-Prinzip ("rohe Gewalt") eingesetzt: Der Angreifer probiert eine Vielzahl von Kombinationen, bis er die richtige gefunden hat. Er kann den Versuch auch eingrenzen, indem er sich auf gängige Möglichkeiten wie Eigennamen, eine Zahlenfolge (0000) oder Buchstaben (qwertz) konzentriert. Und schliesslich kann er Lösungen testen, die von online verfügbaren Informationen, insbesondere auf den persönlichen Accounts der Beschäftigten, inspiriert sind, indem er versucht, einen Spitznamen, die Vornamen von Freunden und Familie oder den Namen eines Haustiers zu erraten.

Das BACS ist der Ansicht, dass ein starkes Passwort aus mindestens zwölf Zeichen (fünfzehn für kritische Zugänge) bestehen und Sonderzeichen (wie "&", oder "£"), Zahlen sowie Gross- und Kleinbuchstaben enthalten muss. Es darf kein personenbezogenes Element (Geburtsdatum, Vorname usw.) verwendet werden. Ausserdem ist es wichtig, nicht dasselbe Passwort für den Zugang zu verschiedenen Programmen oder Websites zu verwenden. Dank dieser Vorsichtsmassnahme können die Zugangsdaten im Fall eines erfolgreichen Angriffs isoliert werden. Es ist auch unverzichtbar, die Beschäftigten darauf hinzuweisen, im beruflichen Rahmen nicht dieselben Passwörter zu verwenden wie im Privatleben.

Eine Alternative ist eine grundsätzliche 2-Faktor-Authentifizierung (2FA): Wenn diese eingerichtet ist, reicht das Passwort allein nicht mehr und der Nutzer muss eine weitere Information liefern, um Zugriff auf seinen Account zu haben, zum Beispiel indem er einen per SMS erhaltenen Code eingibt oder einen einmaligen Zugangslink erhält.

3. Einige technische Massnahmen beachten

Firewalls und Antivirus-Programme

Virenschutzprogramme und Firewalls ermöglichen es, Malware und bösartige Dateien zu identifizieren. Aus diesem Grund sind ihre Installation und permanente Aktualisierung unerlässlich, da jeden Tag hunderttausende Viren und schädliche Programme in Umlauf kommen. Die meisten auf dem Markt erhältlichen Antivirus-Programme bieten automatische Updates und Scans des Netzwerks an. Diese Funktionen sollten also bei der Konfiguration in den Parametern sofort aktiviert werden.

Remote Access

Mit der zunehmenden Verbreitung von Telearbeit oder ortsflexiblem Arbeiten wird das Thema Remote-Zugang umso wichtiger, als viele Beschäftigte an öffentlichen Orten oder in Verkehrsmitteln arbeiten, wo spezielle Risiken bestehen, die sich mit bestimmten bewährten Verhaltensweisen reduzieren lassen. Das Wichtigste ist, niemals seine persönlichen Geräte oder die von Dritten an seine beruflichen Geräte anzuschliessen. Es ist ausserdem besser, seinen Computer nicht mit einem Captive Portal (Geschäfte, Hotels usw.) zu verbinden, sondern stattdessen den mobilen Hotspot des eigenen Mobiltelefons zu benutzen. Und schliesslich muss das Unternehmen bei einem Diebstahl sofort gewarnt werden.

Mailprogramme schützen

E-Mails bleiben die wichtigste Schwachstelle für Hacker, sei es, um über einen Anhang eine Betrugssoftware einzuschleusen oder um einen Klick auf einen Link zu provozieren, der zu einer bösartigen Website führt. Wenn man seine Mitarbeitenden für bestimmte Reflexe sensibilisiert, wie die Überprüfung, ob der Absender bekannt und die Adresse glaubwürdig ist und sich der Betreff der Nachricht in einem normalen Rahmen bewegt, senkt man das Risiko eines Angriffs. In Zweifelsfällen kann es hilfreich sein, die Echtheit der Nachricht über einen anderen Kanal (Telefon, SMS usw.) beim Absender zu überprüfen. Andere Massnahmen sind technischer Natur, beispielsweise die Einrichtung einer Anti-Spam-Software und eines Anti-Phishing-Systems, um die Fähigkeiten zum Erkennen von Phishing-Versuchen zu erhöhen. Das BACS stellt auch eine Liste von als riskant geltenden Dateiformaten zur Verfügung.

4. Sicherheitsverfahren auslagern

Anders als viele Grossunternehmen entscheiden sich KMU häufig dafür, sich an einen spezialisierten Dienstleister zu wenden, um sich vor einem Cyberangriff zu schützen. Das ist zwar ein guter Reflex, besonders für das Management der Server und der E-Mail-Programme, doch es kommt dabei auf die Wahl des richtigen Dienstleisters an. Diese hängt von den Bedürfnissen, Prioritäten und Mitteln des jeweiligen KMU ab. Die Internetriesen bieten schlüsselfertige Lösungen an, die meistens günstiger sind als diejenigen der lokalen Partner, doch bei Letzteren werden die kritischen Daten in der Schweiz gehostet und häufig ist im Bedarfsfall auch die Reaktionszeit kürzer. Mehrere Labels helfen dabei, anerkannte Dienstleister zu erkennen, zum Beispiel die Labels CyberSeal oder Cyber-safe, das vom Schweizer Verband für das Cybersecurity Label eigens für KMU entwickelt wurde. Dank dieser Labels oder Zertifizierungen kann man sich vergewissern, dass der ausgewählte Dienstleister die anerkannten Standards in den Bereichen Datenschutz (siehe Neues Datenschutzgesetz (revDSG)) und Sicherheit einhält und über das erforderliche Know-how verfügt.

5. Typische Handlungsweisen von Hackern kennen

Um in das Firmennetzwerk einzudringen, setzen die Hacker Tools ein, die menschliche oder technische Schwachstellen oder auch beides ausnutzen. Am häufigsten hat man es mit folgenden Angriffen zu tun:

Manipulation

Beim Social Engineering, einer psychologischen Hacker-Technik, werden Beschäftigte dazu gebracht, eine schädigende Entscheidung zu treffen, indem sie auf verschiedene Arten und Weisen manipuliert werden. Durch die Nutzung von Informationen, die auf der Website des Unternehmens oder auf den Social-Media-Accounts eines Beschäftigten frei zugänglich sind, kann ein Hacker die Aufmerksamkeit unter Ausnutzung von Emotionen und Empathie auf sich ziehen. Er kann den Mitarbeiter auch beruhigen, indem er sich als Vertrauter ausgibt, beispielsweise als ein Bekannter oder Kollege.

Malware

Mit Malware wird eine Reihe von Programmen wie Viren und anderen bezeichnet, die mit dem Ziel entwickelt werden, einem IT-System zu schaden und dessen Ressourcen (Daten, Speicher, Netzwerk) anzuzapfen. Diese Programme nutzen alle verfügbaren Mittel, um zum Ziel zu gelangen: Mailprogramme, File-Sharing, Betrugs-Websites, USB-Sticks usw.

Phishing

Ein Phishing-Versuch ist eine Technik, bei der sensible Informationen durch eine gefälschte Mail/SMS mit scheinbar unschuldigem Inhalt abgegriffen werden: Paketlieferung, Empfangsbestätigung oder Identitätsbestätigung. Indem der Mitarbeiter auf einen Link oder Download klickt, verbreitet er, ohne es zu merken, eine Malware im Netzwerk der Firma.

Whaling (Fake President)

Diese Masche ist eine Cyberversion der Unterschlagung von Geldern, die darin besteht, eine Person, die potenziell über sensible Bankinformationen verfügt, zu bitten, eine als dringlich oder vertraulich dargestellte Überweisung zu tätigen, indem die Identität eines führenden Managers genutzt wird.

Denial-of-Service-Angriff (DDoS)

Indem sie die Informatik-Server mit Verbindungsanfragen überfluten, können Cyberkriminelle die Bandbreite des Servers an ihre Grenzen bringen und die Ressourcen eines Systems ausschöpfen, sodass der Zugriff darauf nicht mehr möglich ist.

Ransomware (Lösegeld-Trojaner)

Mit Ransomware können die Computer oder zentrale Dateien, die für den Betrieb eines Unternehmens unverzichtbar sind, gesperrt werden. Anschliessend fordert der Cyberkriminelle ein Lösegeld für die Entsperrung. Eine Infektion mit einem solchen Programm kann durch das Öffnen eines manipulierten Anhangs oder beim Surfen auf manipulierten Websites erfolgen oder auch durch einen Angriff auf das System.

6. Gute Reflexe für den Notfalls parat haben

Ist es zu einem Angriff gekommen, besteht die erste Handlung darin, alle Geräte des Unternehmens vom Netz zu trennen (per LAN-Kabel oder WLAN), ohne jedoch die betroffenen Computer auszuschalten. So können die Handlungen des Angreifers und vor allem der Datenabfluss im Rahmen gehalten werden. Bei einer Ransomware gilt als wichtigste Regel, nicht einfach aus Verwirrung das geforderte Lösegeld zu zahlen, denn es gibt auch Lösungen für die Entschlüsselung der blockierten Daten.

Bei jeder Art von Angriff ist es zudem entscheidend, seine Partner zu informieren, um eine Ausbreitung der Schäden zu verhindern – in der Annahme, dass es den Angreifern gelungen sein könnte, weiter nutzbare Informationen wie Passwortmanager oder sensible Daten abzugreifen.

Man sollte auch jeden Vorfall beim Bundesamt für Cybersicherheit (BACS) melden, selbst wenn es nicht zu einem Schaden kam oder es sich nur um einen Angriffsversuch handelt. Durch diese Massnahmen wird die Aufgabe der Sachverständigen und der Ermittler im Fall einer Beschwerde erleichtert. Man ist nicht verpflichtet, Cyberangriffe gegenüber den zuständigen Behörden anzuzeigen, doch das BACS ruft dazu auf, die Bedeutung dieser Meldungen für die strafrechtliche Verfolgung und die langfristige Bekämpfung von Cyberbedrohungen nicht zu unterschätzen.