Auf der ganzen Welt gibt es in Unternehmensnetzwerken immer wieder Schlupflöcher. Durch diese können hochprofessionelle cyberkriminelle Gruppen oder Einzelpersonen an vertrauliche Unternehmensdaten gelangen. Werden erstmal Daten erbeutet, kommt es oft zu Erpressung und Lösegeldforderungen. Für betroffene Unternehmen können die Folgen gravierend sein.
Cyberangriffe auf die grösste Ölpipeline in den USA (Mai 2021) sowie den grössten Fleischlieferanten der Welt (Juni) zeigen, dass weitaus nicht nur bei Startups oder kleinen und mittleren Unternehmen Lücken in der IT-Security bestehen können. Auch die ganz Grossen sind also manchmal verwundbar.
Zielscheibe: Schweizer Unternehmen und KMU
Mindestens 4799 Unternehmen in der Schweiz sind in den vergangenen fünf Jahren (August 2016 – August 2021) bereits Cyberkriminellen zum Opfer gefallen. Über die Hälfte der Fälle soll weniger als 12 Monate alt sein. Fälle mit Lösegeldforderungen, die von den Firmen aus Angst vor Konsequenzen oft still und leise akzeptiert und gezahlt werden, sind in dieser Statistik nicht einmal erfasst. Das Nationale Zentrum für Cybersicherheit NCSC beobachtete derweil im Herbst 2021 mehrere erfolgreiche Angriffe gegen Schweizer Unternehmen mit Lösegeldforderungen. Mittels eines Verschlüsselungstrojaners (=Ransomware) sollen die Kriminellen die Unternehmensdaten codiert und erfolgreich Lösegeld eingefordert haben.
Fazit: Unternehmensnetzwerke in der Schweiz sind nicht immer gleich gut vor Angriffen gesichert und IT-Sicherheitsstandards werden vielerorts unzureichend eingehalten. Massnahmen zur Risikominderung sind aus oben genannten Gründen für jedes Startup, KMU und Grossunternehmen unumgänglich.
Wie gehen Kriminelle vor?
Sehr oft spielen sogenannte «Social Engineers» (= Kriminelle, die versuchen, das Vertrauen ihrer Opfer zu gewinnen, um an persönliche Daten zu kommen), bei ihren Angriffen auf Unternehmen mit den Emotionen von Mitarbeitenden:
-
Anteilnahme: Emotionale Ansprache des Opfers; der Aufruf Missstände zu beseitigen
-
Gier / Neugier: Versprechen eines Gewinnes oder einer Überraschung, beim Anklicken eines Weblinks
-
Angst / Wut: Falsche Aussagen als Anreiz für das Opfer die Forderung zu erfüllen; Drohung mit Konsequenzen bei Nicht-Erfüllen der Aufforderung
-
Zeitdruck: Opfer werden Zeitdruck ausgesetzt und sollen dazu gebracht werden, schnell zu handeln
-
Hierarchie: Auch Hierarchien am Unternehmen können ausgenutzt werden: Vortäuschen einer hierarchisch übergeordneten Identität (z.B. CEO oder der eigene Vorgesetzte) & Aufbau von Handlungsdruck; Forderung der Informationspreisgabe oder einer Geldüberweisung
Was tun für die IT-Sicherheit in Unternehmen?
Am besten ist es, wenn es gar nicht zu Cyberangriffen und Lösegeldforderungen kommt. Falls doch: sich erpressen lassen und Lösegeld zahlen ist definitiv der falsche Weg. Mit dem Zahlen unterstützt man nämlich die Infrastruktur der Hacker. Damit das Problem aber gar nicht erst aufkommt, ist es ratsam, die kritische Auseinandersetzung mit möglichen Cybergefahren zu fördern und auf einige wichtige Punkte zu achten.So schützen Sie Ihre Daten
Zur Erhöhung der Sicherheit Ihrer IT-Infrastruktur sollten Unternehmerinnen und Unternehmer folgende Massnahmen ins Auge fassen:1. Bewusstsein für potentielle Cybergefahren bei sich selbst und bei den Mitarbeitenden schärfen
Es ist nie zu spät damit anzufangen, dem Thema IT-Sicherheit die Bedeutung beizumessen, die es verdient. Bilden Sie sich selbst und Ihre Mitarbeitenden in diesem Bereich weiter und schärfen Sie das Bewusstsein für potentielle Cybergefahren in Ihrem eigenen Unternehmen. Es ist wichtig zu wissen, wie potentielle Stolperfallen aussehen können, wie Kriminelle vorgehen (Achtung: Social Engineering & Phishing!) und wie man sich dagegen wappnen kann. Beispielsweise kann man zum Schutz der Unternehmensinfrastruktur weitgehend auf privates Surfen mit Firmengeräten verzichten. Dies und andere Verhaltensregeln können Sie in entsprechenden Schulungen vermitteln. Ebenfalls sind Kenntnisse über die Anforderungen des Datenschutzgesetzes (DSG) an Ihr Unternehmen wichtig. Ein Beispiel: Artikel 7 des DSG fordert, dass Personendaten durch angemessene technische und organisatorische Mass-nahmen gegen unbefugtes Bearbeiten geschützt werden müssen.2. Schützenswerte Daten in Unternehmen evaluieren
Machen Sie eine Bestandesaufnahme und definieren Sie die Daten, die in Ihrem Unternehmen besonders wichtig sind und daher besonderen Schutz brauchen (z.B. Personendaten, Buchhaltung, etc.). Welche Systeme verarbeiten die Daten und welche Prozesse und Gewohnheiten herrschen im Umgang damit? Oft gibt es hier noch Verbesserungspotential. Ein Beispiel: Manchmal reicht es, wenn nur einzelne Mitarbeitende Zugriff zu manchen Systemen haben, insofern es die Arbeitsprozesse nicht anders vorgeben. Ein weiterer Punkt: verschiedene Geräte mit welchen Ihre Mitarbeitenden arbeiten. Schenken Sie nicht nur der Sicherheit von PCs und Laptops, sondern auch der allenfalls für die Arbeit genutzten iOS- oder Android-Geräte entsprechende Aufmerksamkeit.3. Zusammenspiel organisatorischer und technischer Massnahmen
Bei der Definition der Massnahmen können Ihnen Checklisten und Merkblätter verschiedener Institutionen (z.B. dieses Merkblatt (pdf) des Nationalen Zentrums für Cybersicherheit) behilflich sein. Es gibt sowohl organisatorische Massnahmen (Verhaltenskultur, Verantwortlichkeiten, Etablierung einer Passwort-Policy, sichere Abläufe und Prozesse bei kritischen Anwendungen, Zugriffsberechtigungen, Schulung der Mitarbeitenden u.v.m.) als auch technische Massnahmen, die zu treffen sind (Datensicherung / Backups, Virenschutz, Sicherheitsupdates & Co.) Alle wichtigen Massnahmen sind im erwähnten Merkblatt nachzulesen. Besonders relevant sind diese für Mitarbeitende, die sich um die IT-Sicherheit in Ihrem Unternehmen kümmern.
4. Nicht an guten Sicherheitslösungen sparen
Für einen guten Virenschutz lohnt es sich etwas tiefer in die Tasche zu greifen. Denn immerhin geht es ja um Ihre wertvollen Daten – und, noch wichtiger, um die Ihrer Kundinnen und Kunden. Auf jedem Computer sollten ein guter Virenschutz und installiert sein, mit welchem sich regelmässig vollständige Systemscans durchführen lassen. Auch sollten die genutzten Cloudlösungen sicher sein. Wichtig dabei: die Serverplatzierung: Befinden sich die Daten auf Servern im Ausland, so unterstehen sie ausländischem Recht, das Sie in diesem Fall gut kennen sollten.5. Schwachstelle Homeoffice
Spätestens seit der Pandemie hat die ortsunabhängige Arbeit eine immer grössere Verbreitung gefunden. Immer öfter arbeiten Mitarbeitende von Zuhause. Doch die Risiken der Arbeit im Homeoffice werden gerne unterschätzt. Regelmässige Sicherheitsschulungen der Mitarbeitenden oder ein entsprechendes Sicherheitskonzept für die Nutzung vom Netzwerk des Unternehmens fehlen leider noch vielerorts. Dabei ist vor allem der Remote-Verbindung von Mitarbeitenden grosse Beachtung zu schenken. Ist diese ungenügend gesichert, ist der Weg für Cyberkriminelle geebnet. Arbeitgeber sollten um das Risiko zu minimieren also unbedingt eine Virtual Private Network (VPN) mit Zwei-Faktor-Authentifizierung einrichten.Sicherheit in Ihrem Unternehmen: Nützliches für KMU's
- Merkblatt Informationssicherheit für KMUs des Nationalen Zentrums für Cybersicherheit (NCSC) (pdf)
- NCSC-Kurzfilm «Im Visier» (Teil des Präventions- und Sensibilisierungsprogramms Prophylax des Nachrichtendienstes des Bundes, Länge: etwa 20 Minuten)
- EBAS-Zoom-Online-Kurs für KMU (nächster Termin: 17.5.2022 19:00-21.30 Uhr, Kosten: 80 CHF)
3 Fragen an Michael L. Baumberger, Leiter KMU, Basler Kantonalbank
Herr Baumberger, das Thema IT-Sicherheit ist für jedes KMU von grösster Relevanz. Ist die Basler Kantonalbank bezüglich ihrer Cybersecurity selbst gut aufgestellt?
Die Gewährleistung höchstmöglicher Sicherheit ist seit jeher eine sehr wichtige Voraussetzung für alle Banken. Insbesondere natürlich im Interesse ihrer Kundinnen und Kunden. Selbstverständlich ist IT-Sicherheit auch für uns ist ein strategisch wichtiges Thema: Alle IT-Systeme werden laufend den neusten Sicherheits-Anforderungen angepasst. Dies wird regelmässig mit darauf spezialisierten Unternehmen überprüft.
Auch wir Mitarbeitende werden immer wieder geschult und sensibilisiert. So können wir in jeder Situation adäquat agieren. Und sorgen so tagtäglich dafür, dass Ihre Daten und Ihr Geld bei uns sicher sind. Im Bereich E-Banking engagieren wir uns auf der Plattform "eBanking aber sicher!" (https://www.ebas.ch), welche sowohl für Banken wie auch Bankkundinnen und -kunden wertvolle Hinweise für den sicheren Umgang mit dem E-Banking gibt.
Müsste im Prinzip jedes KMU einen Security-Verantwortlichen bzw. eine Security-Verantwortliche im Betrieb haben?
Kommt drauf an, was die Firma als Geschäftszweck hat. Ein kleines bis mittleres Unternehmen, welches nicht direkt im IT-Dienstleistungs- oder Anwendungsbereich tätig ist, eher nicht. Hier ist es jedoch sinnvoll, dass der Datensicherheit der IT-Infrastruktur grosse Beachtung geschenkt wird. Dazu gehört die regelmässige Sensibilisierung der Mitarbeitenden in der täglichen Nutzung betrieblicher IT-Technologien.
Das Thema sollte – auch schon bei kleinen KMU – für die Geschäftsleitung und den Verwaltungsrat im Rahmen der Risikobeurteilung ein zentrales Thema sein. So kann jedes Unternehmen für sich definieren, wo die Prioritäten liegen und was in welcher Form und Reihenfolge angegangen werden soll. Hier helfen sicher auch die Empfehlungen der unterschiedlichen Branchenverbände.
Viele Unternehmerinnen und Unternehmer sehen einen Optimierungsbedarf in Bezug auf ihre IT-Infrastruktur. Wie kann die Basler Kantonalbank sie dabei unterstützen?
