Cyberangriffe können nicht mehr ignoriert werden

Hiobsbotschaften: Ein Viertel der Schweizer KMU wurde bereits Opfer eines schweren Cyberangriffs und knapp 13‘000 Unternehmen erlitten finanzielle Schäden! Jeder zehnte Angriff führt zum Reputationsschaden oder zum Verlust von Kundendaten. Warum haben nur wenige Unternehmen ein Sicherheitskonzept zur Krisenbewältigung? Nur zwei Drittel der Unternehmen führen regelmässig Mitarbeiter-Schulungen durch oder verfügen über ein Notfallkonzept.
 
Cyber- und Datenschutz-Risiken sind digitale Gefahren und werden aufgrund der zunehmenden Digitalisierung, dem Internet, IoT, den neuen Technologien, der Vernetzung von Geräten und Applikationen übers WLAN und der Softwareorientierung von Steuerungssystemen unterschätzt. 
 
 
(Symbolbild: Maksim-Kabakou-AdobeStock)
 
 

Wenige sind sich der digitalen Gefahren bewusst

Die Erkenntnis, dass digitale Gefahren real sind und die Wahrnehmung derselben sind erste, aber wesentliche Schritte zur Sicherheit. Das mangelnde Bewusstsein, dass auch das eigene Unternehmen Angriff einer Cyberattacke werden kann, wird von der Hälfte der Menschen verdrängt; nur 47 % der befragten CEO sind über sicherheitsrelevante Themen informiert. Cyberkriminelle finden im IoT durch die zahlreichen Schnittstellen immer neue Angriffspunkte. Viele Verantwortliche sind sich dieser Gefahr nicht bewusst. 
 
Das folgende Beispiel eines Industrieunternehmens verdeutlicht, welche Gefahren die Digitalisierung mit sich bringen kann:
 
Nachdem ein lokaler Kontrollraum des Unternehmens ausgefallen war, stand schnell fest: Die Rechner waren mit einer Ransomware infiziert, obwohl die PCs des lokalen Kontrollraums nicht mit dem Internet verbunden waren. Alle PCs wurden neu aufgesetzt. Doch nur wenige Tage später trat das Problem erneut auf, die Geräte waren wieder infiziert. Nach langer Suche konnten die Verantwortlichen das Einfallstor der Schadsoftware schliesslich finden. 
 
 

IT-Schwachstelle Kaffeemaschine 

Auslöser der Vorfälle war tatsächlich die neue «smarte» Kaffeemaschine*. Das Modell ist mit dem Internet verbunden und kann Nachbestellungen selbstständig auslösen. Anstatt nur mit einem isolierten Wi-Fi-Netzwerk verbunden zu sein, war das Gerät auch mit demjenigen des Kontrollraums verbunden. So konnten Hacker die Schadsoftware einschleusen. 
 
Doch was können IT-Verantwortliche tun, um die Infrastrukturen ihres Unternehmens optimal zu schützen?
 
  • Für den Schutz der Endgeräte braucht es eine Sicherheitssoftware, die Endpoint Security. In Unternehmen gehört sie bei den meisten digitalen Geräten bereits zum Standard. Diese sollte mindestens ein Anti-Malware-Programm, eine Personal-Firewall aber auch eine Intrusion Prevention-Software umfassen.
  • Die Netzwerksegmentierung ist ein zusätzlicher Baustein im IT-Sicherheitskonzept: Das Unternehmensnetz wird in einzelne Bereiche unterteilt, die nicht oder nur noch bedingt miteinander verknüpft sind. Der Vorteil: jeder einzelne Bereich kann überwacht und verwaltet werden. Bei einer Infektion ist dann nicht mehr das komplette Netzwerk betroffen, sondern nur noch ein Teil davon. 
  • Ein umfassender Netzwerkschutz sichert eine Reihe von miteinander verbundenen Geräten mit einer geeigneten Firewall und einer Softwarelösung zur Überwachung. Sie dient als Filter für ankommende und abgehende Daten. Anhand vordefinierter Ausschlusskriterien sucht der Mechanismus an einem Prüfpunkt beispielsweise nach Daten, die nicht mit dem verwendeten Protokoll übereinstimmen und identifiziert dadurch Viren, Spam oder Eindringlinge. (*Quelle: Redaktion IoT, Uwe Gries)
 
 

Erhöhte Risiken für Cybervorfälle durch Home-Office

Warum ist das Home-Office gefährlich? Die E-Mail-Kommunikation und der Datenaustausch werden zumeist nur mit einem VPN-Tunnel geschützt. Der VPN-Tunnel stellt die Transportverschlüsselung dar. Die elektronische Post ist die unsicherste Form der Kommunikation, was nicht nur das Speer-Phishing durch versteckte Schadcodes im Link der E-Mails beweist.
 
Sicher verschlüsselt ist die E-Mail nur mit einer zusätzlichen Inhaltsverschlüsselung durch ein innerhalb einer «Public Key Infrastructure» (PKI) ausgestelltes Zertifikat, um auch den «Man-in-the-Middle» Angriff auszuschalten. 
 
Wollen Sie die geforderte Datenschutz-Rechtskonformität zum revidierten Datenschutzgesetz (DSG) und der DSGVO sicherstellen, gibt es noch viele weitere technische Details und organisatorische Massnahmen, die individuell auf das Unternehmen abgestimmt und umgesetzt werden müssen. So z.B. die unternehmensinterne Datenschutzrichtlinie, u.a. die Nutzung privater Endgeräte in Ausnahmefällen, die Erreichbarkeit der Beschäftigten über verschiedene Kommunikationskanäle im Falle eines Angriffs (z. B. Ausweichen auf Telefon) und eine Leitlinie für die sichere Passwortgestaltung beinhalten sollte.
 
Was ist mit der Cloud-Lösung (inkl. Backup-Funktionen)? Ist der Anbieter in den USA ansässig? Laut EuGH Urteil vom 16.7.2020 wurde das E-Privacy Shield für den Datenaustausch zwischen dem EWR und den USA sowie anderen Drittstaaten für ungültig erklärt. Der Datentransfer muss dem europäischen Datenschutzniveau ebenbürtig sein und kann nur in einer Einzelfallbetrachtung mit Risikoanalyse, der Verwendung der neuen Standarddatenschutzklauseln und ggfs. mit zusätzlichen technischen Sicherheitsmassnahmen gewährleistet werden.
 
Ganz generell erhöhen Sicherheitslücken in der IT-Infrastruktur, die Schatten-IT sowie die private Nutzung von Firmenrechnern die Anfälligkeit für Schadsoftware. Hacker bekommen die Gelegenheit, sich u. a. Zugang zur Unternehmens-IT-Infrastruktur durch «Keylogger» zu verschaffen, die die Tastatureingaben (und damit die Zugangsdaten) des Mitarbeiters aufzeichnen. 
 
Gibt es Richtlinien für den sicheren Umgang mit IT-Geräten und Daten? Werden sie systematisch umgesetzt und überprüft? Verstehen die Mitarbeiter die Richtlinien?
 
 

Vorsorge ist besser als Nachsicht 

Kennen Sie Ihr IT-System und können Sie seine Schwachstellen sowie die Angriffsvektoren der Cyberkriminellen auch analysieren? Wie ist das System von Aussen technisch geschützt, um dem Angreifer den Zugang zu verwehren?
 
Sind die Mitarbeiter gut trainiert und informiert, damit sie es nicht zulassen, dass sich mittels einer gefälschten E-Mail Adresse eine Schadsoftware im System installiert? Dann sind sie eine Ihrer stärksten und verlässlichsten Cyber-Abwehrmassnahme. Oder öffnet der Mitarbeiter dem Hacker die Tür, weil er Phishing, CEO Fraud oder Baiting – Köderversuche wie «Sie haben ein Smartphone gewonnen!» – nicht erkennt? Können die Mitarbeiter in ihren Handlungen aus der Bahn geworfen werden, indem es dem Hacker gelingt, diese gezielt unter Druck zu setzen durch die angebliche Behauptung des CEO, die kurzfristige Auslösung einer Zahlung zu verlangen? 
 
Cyberrisiken stehen immer noch auf Platz 1 der Gefahren, die vielen Unternehmen die grösste Sorge bereitet. Sind Sie auf den «worst-case» vorbereitet? Wie sieht Ihr Notfallkonzept, der Incident Response Plan, aus, wenn die Monitore plötzlich schwarz bleiben? Ist es dann auch für alle Mitarbeiter griffbereit oder nur im PC gespeichert? Wurde er mit Ihrem Management schon einmal erprobt, damit keiner im Ernstfall kopflos und panisch reagiert? 
 
Folgende Mindest-Bestandteile sollte dieser Plan für ein strukturiertes und effizientes Vorgehen aufweisen, damit das Unternehmen in kürzester Zeit wieder betriebsbereit «online» gehen kann:
  • Die Funktionen und Verantwortlichkeiten aller Beteiligten und Betroffenen (Stakeholder) müssen bestimmt sein mit: ihre Funktion sollte genannt werden und wenn möglich auch ihre Namen, Adresse sowie Telefonnummern
  • Kritische Ressourcen müssen für die Schutzstrategie identifiziert sein, um das Ausmass und die Folgen eines Angriffs bestimmen zu können
  • Die (Fern)Überwachung der Systeme und der Kommunikation unter Einsatz von verhaltensbasierter Technologie und KI-Bedrohungsindikatoren ist vorhanden, um alle Arten von Cyber-Angriffen auf Client, Server Systemen und Netzwerk betriebs-übergreifend zu stoppen, damit auch sicherheitsrelevante Ereignisse aufgedeckt werden können. 
  • Geeignete Vorkehrungen und Wiederherstellungsvorgehen (Back-up/Recovery) sind zu implementieren und redundante Systeme (Energie, ICT-Systeme) zur Verfügung zu stellen
  • Maximale Transparenz in der Zusammenarbeit herstellen zur Gewährleistung des kontrollierten Ablaufplans 
  • Die richtigen Analysetools und Zugriffskontrollen zur Verfügung stellen
  • Technische und organisatorische Akut-Massnahmen festlegen
 
Die Lösung liegt im Optimum gezielter technischer und organisatorischer Schutzmassnahmen in Kombination mit sensibilisierten und handlungsfähigen Mitarbeitenden. Die Sensibilisierung für Betrugsversuche muss regelmässig trainiert und überprüft werden durch Schulungen und Tests. 
 
Nebeneffekt: die Vorgaben des revidiertem DSG und DSGVO gewährleisten bereits viele Voraussetzungen der Informationssicherheit und erfüllen zugleich die Obliegenheitsvorschriften der Versicherer für die Cyberversicherung.  
 
 
 

Die Autorin

 
Monika Wehr ist zertifizierte externe Datenschutzbeauftragte, -auditorin und Risk Manager. Ihre praxisorientierten Kenntnisse und Erfahrungen überzeugen durch stichhaltige Argumentation; ihr ganzheitlicher, risikobasierter Ansatz verbindet Strategie, Rechtskonformität, IT-Technik und Organisation. www.cyberwehr-rms.ch
 
 
 
Der Artikel entstand in Zusammenarbeit mit
 
 
 
 

Der Beitrag erschien im topsoft Fachmagazin 22-1

 

Das Schweizer Fachmagazin für Digitales Business kostenlos abonnieren

Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.