Im Visier der Hacker

Es vergeht inzwischen kaum ein Tag, an dem in der Presse nicht von einem Cyberangriff zu lesen ist. Anfangs Juli sorgte die Hacker-Gruppe «REvil» für weltweite Schlagzeilen. Die IT-Systeme hunderter Firmen wurden lahmgelegt. Um die verschlüsselten Systeme wieder zum Laufen zu bringen, verlangten die Hacker 70 Millionen US-Dollar in Bitcoin. Ein paar Wochen zuvor hatte es den weltgrössten Fleischkonzern JBS erwischt. Kurzzeitig mussten Werke rund um den Globus geschlossen werden. JBS zahlte den Angreifern umgerechnet elf Millionen Dollar Lösegeld in Kryptowährungen.

Solche Ransomware-Attacken stehen bei Cyberkriminellen hoch im Kurs. Sie verlaufen immer nach dem gleichen Schema: In fremde IT-Systeme eindringen, Daten verschlüsseln und Lösegeld für die Entschlüsselung fordern - zu bezahlen in einer Kryptowährung. Seit einiger Zeit wird zusätzlich mit der Veröffentlichung der oftmals sensiblen Daten gedroht.

Hacker haben schon lange erkannt, dass Daten Gold wert sind. Erwischen kann es grundsätzlich jeden. Gewisse Angriffe lassen sich gut automatisieren und damit lohnt es sich für Angreifer auch kleinere Betriebe und Privatpersonen ins Visier zu nehmen. Solange Firmen sich nicht besser schützen und Lösegeld bezahlen, ist nicht mit einer Abnahme solcher Attacken zu rechnen. Dafür ist das Geschäftsmodell aus Sicht der Kriminellen einfach viel zu lukrativ.

Um herauszufinden, wie gut das eigene Unternehmen gegen Cyber-Risiken geschützt ist, bietet sich ein professionell durchgeführtes Security Assessment an. Dabei durchleuchten IT-Sicherheitsexperten das eigene Unternehmen auf Schwachstellen und Sicherheitslücken. Im Anschluss erhalten die Auftraggeber eine Risikoeinschätzung sowie eine Handlungsempfehlung zur Verbesserung der IT-Sicherheit. Um sich einen ersten Eindruck zu verschaffen, gibt es auch anonyme Online-Selbsttests, wie beispielsweise der kostenlose KMU Schnell-Check des Verbandes digitalswitzerland.

Was neben all den technischen Lösungen aber nicht vergessen werden darf, ist der Faktor Mensch.  Er kann sowohl Bollwerk als auch Eintrittstor für Cyberangriffe sein. Ihm wird häufig zu wenig Beachtung geschenkt.  Dies kann fatale Folgen haben, wenn man berücksichtigt, dass in den meisten Sicherheitsvorfällen der Mensch und die Prozesse im Unternehmen, und nicht die Technik, versagt hat. Umso wichtiger ist es, innerhalb des eigenen Unternehmens ein Bewusstsein für Sicherheit – manche sagen dazu Sicherheitskultur – zu etablieren.

Um hierbei langfristig Erfolg zu haben, muss bei sämtlichen Mitarbeitenden, inklusive dem Management, ein Umdenken angestossen werden. Alle im Unternehmen müssen verstehen, wo welche Sicherheitsrisiken im Arbeitsalltag lauern. Zudem müssen sie lernen, Daten so handzuhaben, als würde es sich dabei um ihr Geld handeln. Niemand lässt Geldscheine auf seinem Pult liegen, wenn er das Büro zum Lunch verlässt. Genauso selbstverständlich muss es sein, dass der eigene Rechner beim Verlassen des Arbeitsplatzes gesperrt wird. Auch der vorsichtige Umgang mit E-Mails will gelernt sein. Schliesslich wird Grossteil der Cyberangriffe mittels eines Phishingversuches eingeleitet.

Eine einmalige Mitarbeiterschulung in Sachen Informationssicherheit wird nicht von Erfolg gekrönt sein. Es braucht regelmässige Trainings, um das Risiko für einen Cyberangriff zu minimieren. Schon einfache Massnahmen, wie das Verteilen von Security-Checklisten mit den wichtigsten Verhaltensregeln im Berufsalltag, können helfen, das Bewusstsein der Mitarbeitenden im Umgang mit Daten zu steigern. Zudem ist es wichtig, dass Vorgesetzte mit gutem Beispiel vorangehen und Security Awareness vorleben und diese auch konsequent von ihren Mitarbeitenden einfordern.

Auch positive und negative Praxisbeispiele eignen sich sehr gut, um Mitarbeitende ins Boot zu holen und sie von der Brisanz des Themas Cybersecurity zu überzeugen. Dieses Bewusstsein der Mitarbeitenden ist im Kampf gegen Cyberkriminalität extrem wichtig. Denn technische Abwehrmassnahmen nützen wenig, wenn innerhalb der Firma fahrlässig mit Daten umgegangen wird. Hacker sind sich dessen schon lange bewusst und versuchen Mitarbeitende gezielt für ihre Attacken auszunutzen.