Simon Seebeck, Leiter des Kompetenzzentrums Cyber Risk beim Versicherungsunternehmen Mobiliar. Bild: Mobiliar
Wer über Cybersecurity spricht, denkt kaum an Nachhaltigkeit. Dabei ist sie ein wesentlicher Bestandteil eines zeitgemässen Risikomanagements und damit ein unerlässlicher Faktor nachhaltiger Unternehmensführung. KMU sollten daher wissen, mit welchen Herausforderungen sie bei Angriffen zu kämpfen haben, welche Massnahmen sie treffen können – und wo es Unterstützung gibt.
7 Min. • • Roberto Stefano, Sustainable Switzerland Editorial Team
Bereits jedes dritte Schweizer KMU ist Opfer eines Cyberangriffs geworden – mit zum Teil verheerenden Konsequenzen: Neben massiven Reputationsschäden entstehen in der Regel auch hohe finanzielle Aufwendungen. Manche Unternehmen treiben die Attacken sogar in den Konkurs, wenn beispielsweise die Produktion während mehrerer Wochen lahmgelegt ist. Trotz solcher Vorfälle und der laufend steigenden Bedrohung durch Internetkriminelle unterschätzen viele Verantwortliche nach wie vor das Thema. Das hat mehrere Gründe, wie das Beispiel der Food AG, ein Engrosunternehmen für Gastrobetriebe, dessen richtiger Name nicht genannt werden soll, zeigt.
Wenn die Frühschicht der Food AG am Samstagmorgen um 5 Uhr jeweils ihre Computer hochfährt, befinden sich die letzten Partygänger erst auf dem Heimweg – oftmals noch aufgeregt von der durchgefeierten Nacht. Eine ganz andere Art der Nervosität überfiel die Mitarbeitenden des Engroshändlers, als sie realisierten, dass ihnen gewisse Daten auf den Rechnern nicht mehr zur Verfügung standen. Schnell avisierten sie ihren IT-Partner, mit dessen Hilfe sie Teile des Firmennetzwerks entkoppeln, die Anwendungen und Programme stoppen und das System partiell herunterfahren konnten, um die Ausbreitung der schadhaften Software zu unterbinden.
Firmen häufig unvorbereitet
Die Reaktion der Food AG auf die Cyberattacke erfolgte schnell und zielgerichtet. Doch das ist nicht immer der Fall, vor allem wenn kleine und mittlere Unternehmen betroffen sind, die keine vielköpfige IT-Abteilung beschäftigen. Noch allzu häufig sind sich die Betriebe nicht bewusst, welchen Gefahren sie durch einen Hackerangriff ausgesetzt sind und wie sie sich in einem solchen Fall verhalten sollten. Oder sie machen sich erst dann Gedanken über nötige Massnahmen und Prozesse, wenn sie von einem Ereignis bereits betroffen sind.
Entsprechend unvorbereitet reagieren sie, wenn sie attackiert werden. «Oftmals sind sie hilflos, wenn die Systeme nicht mehr richtig funktionieren», hat Simon Seebeck, Leiter des Kompetenzzentrums Cyber Risk beim Versicherungsunternehmen Mobiliar, festgestellt. Dabei sind durchdachte Abwehrreaktionen und ein ausgereiftes Krisenmanagement im Falle einer Cyberattacke ein wesentlicher Bestandteil des Risikomanagements und damit auch eine Grundvoraussetzung für eine langfristige, verantwortungsvolle und nachhaltige Unternehmensführung.
Es gibt keine wertlosen Daten
Begründet werden die fehlenden IT-Sicherheits- und Vorsorgemassnahmen bei kleineren Betrieben häufig mit der geringen Grösse der Firmen und der mangelnden Attraktivität für potenzielle Angreifer. «Das ist ein Trugschluss: Solche Unternehmen sind für Hacker vielmehr leichte Ziele, deren Daten sie praktisch ohne Aufwand abziehen können», weiss Seebeck. Und zu holen gebe es für Kriminelle immer etwas: «In jedem Betrieb sind zum Beispiel Bankver-bindungen oder Abrechnungen gespeichert. Informationen, die auch für einen weiteren Angriff – dann vielleicht auf ein anderes, grösseres Unternehmen – genutzt werden könnten. Kurzum, es gibt keine wertlosen Daten», erklärt der IT-Sicherheitsexperte.
Die nach wie vor eklatanten Sicherheitslücken in manchen Firmennetzwerken erstaunen, hat sich doch die Sensibilität für das Thema – nicht erst seit der Corona-Pandemie und der zunehmenden Verbreitung der Remote-Arbeit – erheblich verbessert. Allerdings besteht das Know-how in vielen Fällen nur oberflächlich: Wenn es darauf ankommt, wissen die Mitarbeitenden nicht, was wann zu tun ist.
Nötige Sicherheitsvorkehrungen werden aus Zeitgründen oder aufgrund der erwarteten Kosten auf die lange Bank geschoben. Dabei ist heute weithin bekannt, dass die IT-Sicherheit nicht nur von technologischen Massnahmen abhängig ist, sondern wesentlich von der Ausbildung der Mitarbeitenden und ihrem Verhalten.
Zu den gängigen technischen Vorkehrungen zählt inzwischen ein regelmässiges Back-up der Firmendaten. Mit automatisierten Datensicherungen sowie mithilfe einer Firewall und einer aktuellen Virensoftware fühlen sich zahlreiche Kleinbetriebe auf der sicheren Seite. Was viele nicht wissen: Allein mit der Datensicherung ist es heute nicht mehr getan. Das musste auch die Food AG erfahren:
Noch am gleichen Samstag begannen die vom Engroshändler engagierten IT-Spezialisten, die Backups des Unternehmens zu analysieren – und kamen zu einem unschönen Ergebnis: Auch die Sicherungskopien waren zum Teil verunreinigt. Nur mit Glück konnte eine ältere Backup-Version gefunden werden, mit deren Hilfe die Food AG nach fünf Tagen ihren Betrieb wieder aufnehmen konnte. Bis dahin war die gesamte Firma grösstenteils lahmgelegt.
Hacker agieren subtil und leise
Während früher Hackerattacken noch eher einem Bankraub glichen, bei dem ein Angreifer schnell in ein System eindrang, die Daten verschlüsselte und danach eine Lösegeldforderung stellte, gehen die heutigen Kriminellen subtiler vor: Sie agieren leiser, nisten sich in den Netzwerken ein, suchen nach Berechtigungen, Zugangscodes oder Backups und verschlüsseln oder stehlen die Informationen erst zu einem späteren Zeitpunkt. «Durch dieses Vorgehen ist meist auch die Datensicherung betroffen. Gleichzeitig wissen die Unternehmen gar nicht genau, welche Daten gestohlen oder verändert wurden», erklärt Mobiliar-IT-Sicherheitsexperte Seebeck.
Die Ungewissheit stellt die Verantwortlichen in den Unternehmen vor zusätzliche Herausforderungen, was die Meldung von Cyberangriffen betrifft: Wer soll informiert werden? Müssen alle Lieferanten und Kunden angegangen werden oder genügen die direkt betroffenen Unternehmen? Zudem zeigt sich das ganze Ausmass der Attacke oftmals erst einige Tage später, wenn die Firmendaten nach einer Lösegeldforderung im Darknet landen.
Mit einer Datenveröffentlichung wurde auch der Food AG gedroht, sollte sie nicht auf die Lösegeldforderung der Hacker eingehen. Laut den Angreifern waren unter anderem Finanzdaten, Kundenlisten, Offerten und Mitarbeiterdaten entwendet worden. Zudem machten die Kriminellen geltend, dass sie die Daten entschlüsseln könnten, wenn eine Zahlung erfolgen sollte.
Externe Hilfe bei Erpressung
Weil viele Unternehmen mit kriminellen Angriffen, Lösegeldforderungen und Verhandlungen mit Erpressern überfordert sind, wenden sie sich an externe Vertrauenspartner. Dazu gehören auch Versicherungsunternehmen wie die Mobiliar, die ein umfangreiches Präventions- und Versicherungsangebot zum Thema anbietet. Das Cyber-Leistungspaket deckt neben den Dienstleistungen bei einer Hackerattacke zahlreiche Gefahren aus der digitalen Welt ab wie Kreditkartenmissbrauch, Datenverlust – nicht nur aus Cyberangriffen – sowie bei Persönlichkeits- und Urheberrechtsverletzungen. Auch eine IT-Assistance für alltägliche Probleme mit vernetzten Geräten gehört dazu.
Noch während des Erpressungsfalls konnte die Food AG das Tagesgeschäft auf einer Ersatzinfrastruktur wieder aufnehmen. Gleichzeitig musste ihre IT-Infrastruktur gereinigt und neu konfiguriert werden. Erst mit der Zeit konnten die geprüften Daten wieder auf die Rechner eingespielt werden. Für diese Arbeiten konnte die Food AG auf einen technischen Partner der Mobiliar zählen, der den IT-Dienstleister des Kunden bei den Wiederherstellungsarbeiten unterstützte. Ein weiterer Partner des Versicherers analysierte die Back-ups und prüfte, wo und wie weit die Angreifer ins Netzwerk eingedrungen waren. Ein externer Krisenmanager schliesslich betreute den Engroshändler bei der Kommunikation mit den internen und externen Anspruchsgruppen sowie den Erpressern.
Zum Glück versichert
Aufwendungen für die Wiederherstellung der Systeme, die Prüfung und Rückführung der Daten sowie die Kosten für den Betriebsunterbruch können schnell einen namhaften, zum Teil sechsstelligen Betrag in Franken ausmachen. Zum Glück für die Food AG hatte das Unternehmen eine Cyberversicherung der Mobiliar abgeschlossen, wodurch der beachtliche Schaden gedeckt war.
Nach den nervenaufreibenden Tagen der Hackerattacke konnte sich die Food AG schon bald wieder auf ihr Tagesgeschäft konzentrieren – nicht ohne gleichzeitig ihre IT-Sicherheitsvorkehrungen auf den neusten Stand zu bringen, um für mögliche zukünftige Attacken gewappnet zu sein.
Die richtigen Schlüsse ziehen
Tatsächlich ist eine sorgfältige und detaillierte Aufarbeitung eines Cyberangriffs von grösster Bedeutung. Nur so lassen sich die richtigen Schlüsse für die Zukunft ziehen und gezielt prophylaktische Massnahmen ergreifen sowie die nötige Sensibilisierung im Unternehmen erreichen. Denn je besser die Prozesse bei einer neuerlichen Attacke funktionieren, desto geringer werden die Schäden des Angriffs ausfallen – und umso schneller wird der Betrieb nach einem nächsten Angriff wieder normal funktionieren.
1. Anzeichen einer laufenden Cyberattacke erkennen: Ein langsames System, fehlende Daten, Passwörter, die nicht mehr funktionieren, oder scheinbar selbständige Aktionen des Computers sind Hinweise auf eine Attacke. Unmissverständlich wird es, sobald Lösegeldforderungen auf dem Bildschirm erscheinen.
2. Sofort handeln: Nehmen Sie alle Systeme vom Netz und schalten Sie das WLAN aus. Informieren Sie die interne oder externe Person für IT-Sicherheit und/oder die Notfallorganisation sowie anschliessend die Mitarbeitenden.
3. Problem analysieren und Schaden bewerten: Analysieren Sie das Problem und die entstandenen Schäden, wenn nötig zusammen mit weiteren Fachpersonen. Falls vorhanden, kontaktieren Sie Ihre Cyberversicherung. Nutzen Sie die Unterstützung der Versicherung und ihrer spezialisierten Partnerfirmen.
4. Arbeiten Sie mit der Polizei zusammen: Bei grösseren Angriffen warten Sie auf die Spurensicherung durch die Polizei, bevor Sie die Systeme reinigen und wiederherstellen. Informieren Sie zudem das Nationale Zentrum für Cybersicherheit (NCSC) über den Vorfall. Meldungen an die Behörden helfen bei der Prävention und tragen zur Sensibilisierung potenzieller Opfer bei. Zahlen Sie kein Lösegeld, da dies Ihr Unternehmen für Hacker attraktiver machen kann.
5. Sorgen Sie vor und schützen Sie sich aktiv vor Cyberkriminalität: Ergreifen Sie – unter Einbezug von Fachpersonen – Massnahmen, welche die Angriffswahrscheinlichkeit verringern. Bereiten Sie sich mithilfe einer Checkliste für den Notfall vor. Füllen Sie alle wichtigen Informationen ein, drucken Sie die Liste aus und hängen Sie diese gut sichtbar fürdie Mitarbeitenden auf.
Deklaration: Dieser Inhalt wurde vom Sustainable Switzerland Editorial Team im Auftrag der Mobiliar erstellt.
Werbung
Energie
Ist E-Mobilität wirklich nachhaltiger als der Einsatz herkömmlicher Treibstoffe?3 Min. •
89
Biodiversität
Weisse Haie im Mittelmeer: Vom vermeintlichen Monster zur Ikone des modernen Artenschutzes?6 Min. •
65
