«Wir müssen uns dringend besser vor Cyberangriffen schützen»

Stadler Form, der Zuger Hersteller für Geräte zur Verbesserung des Raumklimas, stellte nach einem Penetration Test ernüchtert fest, dass es noch zahlreiche Sicherheitslücken in der Unternehmens-IT zu schliessen gibt.

Samuel Wyss: Ich habe in letzter Zeit viel über Ransomware-Angriffe auf KMU gelesen und war entsprechend verunsichert. Als IT-Verantwortlicher ist mir die Security unserer Systeme natürlich extrem wichtig, aber leider haben wir nicht genügend Know-how, um uns selbst ausreichend vor Cyberangriffen zu schützen. Als ich gelesen habe, dass wir eine Attacke unter Realbedingungen simulieren können, ohne Schaden zu nehmen, dachte ich: «Das ist unsere Chance!»

Wyss: Die Angreifer haben eine Phishing-Attacke simuliert und versuchten anschliessend, über einen User-Account an weitere Privilegien zu gelangen. Ich selbst war natürlich in die Erarbeitung des Szenarios involviert. Wir wollten wissen, ob die «Hacker» mit diesen Admin-Rechten Systeme beeinflussen oder Daten löschen können. Ausserdem haben wir die Qualität der genutzten Passwörter untersucht und auch dort Verbesserungspotenzial gefunden.

Wyss: Ich muss zugeben, die Resultate waren ernüchternd. Wir haben gesehen, dass wir noch grosses Verbesserungspotenzial haben. Wir müssen sowohl unsere Infrastruktur besser schützen als auch unsere Mitarbeitenden noch besser für IT-Security-Themen sensibilisieren als bisher, zum Beispiel, wenn es um die Kreation von Passwörtern geht. Wir müssen aber auch die Anzahl der Administratoren-Rechte einschränken. Ich habe gemerkt, dass es nicht ausreicht, auf die eigene IT zu vertrauen. Externe Tests zeigen ganz schnell und eindrücklich Sicherheitslücken auf.

Wyss: Wir sind sofort mit unserem externen IT-Partner zusammengesessen und haben besprochen, wie wir die einzelnen Sicherheitslücken schliessen können. Ausserdem diskutierten wir in der Geschäftsleitung intensiv über die strategische Bedeutung der IT. Ich glaube, dass alle einen Aha-Effekt hatten. KMU sind einfache Ziele für Cyberangriffe, deshalb müssen wir uns dringend noch besser schützen. Doch viele KMU behandeln Cybersecurity stiefmütterlich. Wir wissen nun aus erster Hand, dass dies ein grosser Fehler ist. Man sollte IT-Sicherheit aktiv angehen und nicht warten, bis man Opfer eines Angriffs wird. Dabei muss man nicht alles selbst können, schliesslich gibt es externe Spezialisten.

Wyss: Zum Glück ist uns das im grossen Stil noch nie passiert. Doch unsere Mitarbeiter erhalten dauernd irgendwelche Phishing-E-Mails und Dateien, die möglicherweise Schad-Software enthalten. In unserem Namen wurden sogar einmal Spam-E-Mails verschickt, was unsere Distributoren natürlich verunsicherte. Nach dieser Simulation ist uns allen bei Stadler Form viel deutlicher bewusst, dass sich hinter diesen auf den ersten Blick nicht so gravierenden Vorkommnissen grosse Gefahren verbergen. Wir haben nun unsere Infrastruktur verbessert und unsere Mitarbeitenden weiter geschult, sodass wir hoffentlich auch in Zukunft von einem echten Hackerangriff verschont bleiben.