Firmen häufig unvorbereitet
Die Reaktion der Food AG auf die Cyberattacke erfolgte schnell und zielgerichtet. Doch das ist nicht immer der Fall, vor allem wenn kleine und mittlere Unternehmen betroffen sind, die keine vielköpfige IT-Abteilung beschäftigen. Noch allzu häufig sind sich die Betriebe nicht bewusst, welchen Gefahren sie durch einen Hackerangriff ausgesetzt sind und wie sie sich in einem solchen Fall verhalten sollten. Oder sie machen sich erst dann Gedanken über nötige Massnahmen und Prozesse, wenn sie von einem Ereignis bereits betroffen sind.
Entsprechend unvorbereitet reagieren sie, wenn sie attackiert werden. «Oftmals sind sie hilflos, wenn die Systeme nicht mehr richtig funktionieren», hat Simon Seebeck, Leiter des Kompetenzzentrums Cyber Risk beim Versicherungsunternehmen Mobiliar, festgestellt. Dabei sind durchdachte Abwehrreaktionen und ein ausgereiftes Krisenmanagement im Falle einer Cyberattacke ein wesentlicher Bestandteil des Risikomanagements und damit auch eine Grundvoraussetzung für eine langfristige, verantwortungsvolle und nachhaltige Unternehmensführung.
Es gibt keine wertlosen Daten
Begründet werden die fehlenden IT-Sicherheits- und Vorsorgemassnahmen bei kleineren Betrieben häufig mit der geringen Grösse der Firmen und der mangelnden Attraktivität für potenzielle Angreifer. «Das ist ein Trugschluss: Solche Unternehmen sind für Hacker vielmehr leichte Ziele, deren Daten sie praktisch ohne Aufwand abziehen können», weiss Seebeck. Und zu holen gebe es für Kriminelle immer etwas: «In jedem Betrieb sind zum Beispiel Bankver-bindungen oder Abrechnungen gespeichert. Informationen, die auch für einen weiteren Angriff – dann vielleicht auf ein anderes, grösseres Unternehmen – genutzt werden könnten. Kurzum, es gibt keine wertlosen Daten», erklärt der IT-Sicherheitsexperte.
Die nach wie vor eklatanten Sicherheitslücken in manchen Firmennetzwerken erstaunen, hat sich doch die Sensibilität für das Thema – nicht erst seit der Corona-Pandemie und der zunehmenden Verbreitung der Remote-Arbeit – erheblich verbessert. Allerdings besteht das Know-how in vielen Fällen nur oberflächlich: Wenn es darauf ankommt, wissen die Mitarbeitenden nicht, was wann zu tun ist.
Nötige Sicherheitsvorkehrungen werden aus Zeitgründen oder aufgrund der erwarteten Kosten auf die lange Bank geschoben. Dabei ist heute weithin bekannt, dass die IT-Sicherheit nicht nur von technologischen Massnahmen abhängig ist, sondern wesentlich von der Ausbildung der Mitarbeitenden und ihrem Verhalten.
Zu den gängigen technischen Vorkehrungen zählt inzwischen ein regelmässiges Back-up der Firmendaten. Mit automatisierten Datensicherungen sowie mithilfe einer Firewall und einer aktuellen Virensoftware fühlen sich zahlreiche Kleinbetriebe auf der sicheren Seite. Was viele nicht wissen: Allein mit der Datensicherung ist es heute nicht mehr getan. Das musste auch die Food AG erfahren:
Noch am gleichen Samstag begannen die vom Engroshändler engagierten IT-Spezialisten, die Backups des Unternehmens zu analysieren – und kamen zu einem unschönen Ergebnis: Auch die Sicherungskopien waren zum Teil verunreinigt. Nur mit Glück konnte eine ältere Backup-Version gefunden werden, mit deren Hilfe die Food AG nach fünf Tagen ihren Betrieb wieder aufnehmen konnte. Bis dahin war die gesamte Firma grösstenteils lahmgelegt.
Hacker agieren subtil und leise
Während früher Hackerattacken noch eher einem Bankraub glichen, bei dem ein Angreifer schnell in ein System eindrang, die Daten verschlüsselte und danach eine Lösegeldforderung stellte, gehen die heutigen Kriminellen subtiler vor: Sie agieren leiser, nisten sich in den Netzwerken ein, suchen nach Berechtigungen, Zugangscodes oder Backups und verschlüsseln oder stehlen die Informationen erst zu einem späteren Zeitpunkt. «Durch dieses Vorgehen ist meist auch die Datensicherung betroffen. Gleichzeitig wissen die Unternehmen gar nicht genau, welche Daten gestohlen oder verändert wurden», erklärt Mobiliar-IT-Sicherheitsexperte Seebeck.
Die Ungewissheit stellt die Verantwortlichen in den Unternehmen vor zusätzliche Herausforderungen, was die Meldung von Cyberangriffen betrifft: Wer soll informiert werden? Müssen alle Lieferanten und Kunden angegangen werden oder genügen die direkt betroffenen Unternehmen? Zudem zeigt sich das ganze Ausmass der Attacke oftmals erst einige Tage später, wenn die Firmendaten nach einer Lösegeldforderung im Darknet landen.
Mit einer Datenveröffentlichung wurde auch der Food AG gedroht, sollte sie nicht auf die Lösegeldforderung der Hacker eingehen. Laut den Angreifern waren unter anderem Finanzdaten, Kundenlisten, Offerten und Mitarbeiterdaten entwendet worden. Zudem machten die Kriminellen geltend, dass sie die Daten entschlüsseln könnten, wenn eine Zahlung erfolgen sollte.
Externe Hilfe bei Erpressung
Weil viele Unternehmen mit kriminellen Angriffen, Lösegeldforderungen und Verhandlungen mit Erpressern überfordert sind, wenden sie sich an externe Vertrauenspartner. Dazu gehören auch Versicherungsunternehmen wie die Mobiliar, die ein umfangreiches Präventions- und Versicherungsangebot zum Thema anbietet. Das Cyber-Leistungspaket deckt neben den Dienstleistungen bei einer Hackerattacke zahlreiche Gefahren aus der digitalen Welt ab wie Kreditkartenmissbrauch, Datenverlust – nicht nur aus Cyberangriffen – sowie bei Persönlichkeits- und Urheberrechtsverletzungen. Auch eine IT-Assistance für alltägliche Probleme mit vernetzten Geräten gehört dazu.
Noch während des Erpressungsfalls konnte die Food AG das Tagesgeschäft auf einer Ersatzinfrastruktur wieder aufnehmen. Gleichzeitig musste ihre IT-Infrastruktur gereinigt und neu konfiguriert werden. Erst mit der Zeit konnten die geprüften Daten wieder auf die Rechner eingespielt werden. Für diese Arbeiten konnte die Food AG auf einen technischen Partner der Mobiliar zählen, der den IT-Dienstleister des Kunden bei den Wiederherstellungsarbeiten unterstützte. Ein weiterer Partner des Versicherers analysierte die Back-ups und prüfte, wo und wie weit die Angreifer ins Netzwerk eingedrungen waren. Ein externer Krisenmanager schliesslich betreute den Engroshändler bei der Kommunikation mit den internen und externen Anspruchsgruppen sowie den Erpressern.
Zum Glück versichert
Aufwendungen für die Wiederherstellung der Systeme, die Prüfung und Rückführung der Daten sowie die Kosten für den Betriebsunterbruch können schnell einen namhaften, zum Teil sechsstelligen Betrag in Franken ausmachen. Zum Glück für die Food AG hatte das Unternehmen eine Cyberversicherung der Mobiliar abgeschlossen, wodurch der beachtliche Schaden gedeckt war.
Nach den nervenaufreibenden Tagen der Hackerattacke konnte sich die Food AG schon bald wieder auf ihr Tagesgeschäft konzentrieren – nicht ohne gleichzeitig ihre IT-Sicherheitsvorkehrungen auf den neusten Stand zu bringen, um für mögliche zukünftige Attacken gewappnet zu sein.
Die richtigen Schlüsse ziehen
Tatsächlich ist eine sorgfältige und detaillierte Aufarbeitung eines Cyberangriffs von grösster Bedeutung. Nur so lassen sich die richtigen Schlüsse für die Zukunft ziehen und gezielt prophylaktische Massnahmen ergreifen sowie die nötige Sensibilisierung im Unternehmen erreichen. Denn je besser die Prozesse bei einer neuerlichen Attacke funktionieren, desto geringer werden die Schäden des Angriffs ausfallen – und umso schneller wird der Betrieb nach einem nächsten Angriff wieder normal funktionieren.