Cyberangriffe auf KMU nehmen zu
Viele KMU haben gerade andere Prioritäten als die IT-Sicherheit. Doch die Gefahren werden komplexer und vielfältiger, die Risiken höher und die Kriminellen immer professioneller. Welche Bedrohungen sind besonders aktuell? Ein KMU berichtet über seine Erfahrungen und unser Chief Information Security Officer Philipp Rütsche gibt wertvolle Tipps.
Unternehmensnetzwerke sind oft komplexe, über längere Zeit gewachsene Strukturen mit zahlreichen Schnittstellen zu Kunden und Geschäftspartnern. Störungen oder gar Ausfälle der IT-Infrastruktur sind mit gravierenden wirtschaftlichen Auswirkungen verbunden. Grundsätzlich ist kein Unternehmen zu klein, um von Cyberkriminellen angegriffen zu werden. Betrüger werden oft gerade dort aktiv, wo wenig Widerstand vermutet wird. Es ist daher wichtig, sensible Daten einer Firma effektiv vor Cyber-Bedrohungen zu schützen – unabhängig davon, ob es sich um einen Grosskonzern oder ein KMU handelt.
Kleinere Unternehmen stehen vor besonderen Herausforderungen, da IT-Sicherheit in der Regel nicht zur Kernkompetenz gehört und es an Ressourcen und Wissen für dieses Thema fehlt.
IT-Grundschutz notwendig
Das auf Cybersicherheit spezialisierte Unternehmen Kaspersky geht in seinen Prognosen für ICS-Bedrohungen für das aktuelle Jahr davon aus, dass Angriffe weiter zunehmen werden. Dies bestätigt Philipp Rütsche, Chief Information Security Officer der St.Galler Kantonalbank. «Die Quantität, aber auch die Qualität der Angriffe haben zugenommen in den letzten Jahren. Insbesondere die Bedrohung durch Ransomware hat sich verschärft. Dieser Trend wird sich fortsetzen.», meint Rütsche. Er warnt: «Wer über keinen IT-Grundschutz verfügt, muss sich Sorgen machen. Die Frage ist nicht, ob man angegriffen wird, sondern wann.»
Plakativ gesagt: Wer sein Unternehmen nicht schützt, handelt fahrlässig und setzt die Zukunft seines Unternehmens aufs Spiel. Doch wie soll man vorgehen, wenn man selbst nicht weiss, wo man überhaupt steht punkto IT-Sicherheit? Philipp Rütsche schlägt vor, als erstes einen Security-Selbstcheck zu machen. «Es gibt online gute Tools, um die eigene IT-Situation systematisch zu analysieren. Die Analyse zeigt dann mögliche Lücken auf und gibt Handlungsanweisungen, was konkret zu unternehmen ist. Als Beispiele nennt er den KMU IT-Security-Check der Swisscom oder den IKT Minimalstandard vom Bundesamt für wirtschaftliche Landesversorgung (BWL).
Ransomware
Unter Ransomware versteht man eine Kombination von Schadsoftware und Erpressung. Cyberkriminelle nutzen dafür unter anderem E-Mail-Anhänge, infizierte Programme oder kompromittierte Websites zur Verteilung der Schadsoftware. Durch die infizierten Systeme können sie dann Daten entwenden und verschlüsseln. Anschliessend folgt die Erpressung mittels Lösegeldforderung.
Schwachstelle Mitarbeitende
Die Cyberstrategie eines Unternehmens kann technologisch noch so ausgefeilt sein, manchmal liegt die Schwachstelle beim Menschen selbst. Die Mitarbeitenden sind das am leichtesten zu überwindende Einfallstor für Cyberkriminelle. Das Angriffsspektrum reicht von Phishing-Mails über schwache Passwörter bis hin zu vermeintlichen Anrufen des IT-Supports. Man spricht in diesem Zusammenhang auch von «Social Engineering». Eine weitere Betrugsmasche ist «CEO-Fraud». Bei dieser geben sich Täter als Handelspartner, leitende Angestellte oder Geschäftsführer (CEO) des Unternehmens aus und veranlassen einen Unternehmensmitarbeiter zum Transfer eines grösseren Geldbetrages auf das Konto des Betrügers. «Die Anrufer sprechen heute perfektes Schweizerdeutsch und werden in Social Media gezielt rekrutiert», weiss Rütsche. Die Begründungen für die Zahlung sind unterschiedlich, wobei es meist um eine angeblich dringende und äusserst heikle Zahlung geht. Die St.Galler Kantonalbank gibt auf ihrer Internetseite Tipps, wie man sich vor CEO-Fraud schützen kann: https://www.sgkb.ch/de/e-banking/ceo-fraud.
Interview mit Markus Eigenmann, Leiter Administration der GIFAS Electric GmbH
Wir haben uns mit Markus Eigenmann, Leiter Administration der GIFAS Electric GmbH, zum Thema Cybersecurity unterhalten. GIFAS ist ein KMU mit Sitz in Rheineck und spezialisiert auf die Herstellung und den Vertrieb von elektrotechnischen Lösungen. Zur Produktpalette des Unternehmens gehören z.B. Stromverteiler, Schaltgeräte, technische Leuchten, Energiesäulen, Kabel und viele andere Elektroartikel zur sicheren und zuverlässigen Stromnutzung.
Markus Eigenmann, inwiefern beschäftigen Sie sich mit Cybersecurity in Ihrem Unternehmen?
Das ist ein sehr grosses Thema bei uns. Anhand der Risikostrategie der Geschäftsleitung werden aktuelle Gefahren erkannt und Massnahmen definiert. Unser IT-Team interessiert sich zudem stark für eine eine verbesserte Sicherheit und kümmert sich täglich darum.
Mit welchen Formen von Cyberangriffen haben es KMU heute allgemein zu tun? Sehen Sie eine Entwicklung gegenüber früher?
Wir rechnen vor allem mit Phishing-Angriffen. Mit dem technischen Wandel haben die Cyberangriffe über verschiedene Kanäle eher zugenommen. Durch die vielen verschiedenen Angriffsmöglichkeiten erweitern sich natürlich auch die potentiellen Angriffsflächen. Das bedeutet, dass auch immer mehr Systeme überwacht und gewartet werden müssen. Gerade im Zusammenhang mit eigenen Smartphones und eigenen Geräten in einem Unternehmen wird es immer schwieriger diese potentiellen Gefahren zu erkennen und dann auch zu managen.
Stichwort CEO-Fraud: Hatten Sie oder Ihre Mitarbeitenden auch schon mit dieser Bedrohung zu tun?
Wir hatten einen Fall, bei dem E-Mails in perfektem Deutsch von der Geschäftsleitung an die Buchhaltung gesendet wurden. Darauf wurde eine Geldzahlung für eine Maschine in einem aktuellen Projekt angefordert. Da solche Zahlungen nie per E-Mail kommuniziert werden, wurde die Zahlung mit einer Rückfrage per Telefon an die Geschäftsleitung noch im letzten Schritt abgebrochen.
Haben Sie selbst schon eine gravierende Cyberattacke in Ihren Unternehmen erlebt?
Bis jetzt keine gravierende, sondern nur einzelne E-Mail-Konten, die gehackt wurden. Durch das frühzeitige Reagieren der betroffenen Mitarbeitenden konnten alle Versuche abgewehrt werden.
Was sind Ihrer Meinung nach die grössten Schwachstellen, bzw. Lücken punkto Cybersecurity bei KMU?
Eindeutig die Mitarbeitenden selbst, welche sich nicht immer bewusst sind, welche Handlung sie vornehmen. Die Aussage der Mitarbeitenden ist meistens, das System müsste das doch abfangen oder merken.
Was empfehlen Sie KMU, um möglichst gut gegen Cyberangriffe geschützt zu sein?
Ich empfehle folgende Massnahmen: Ständige Schulungen und Sensibilisierungen der Mitarbeitenden mit aktuellen Themen und praktischen Beispiele; eine moderne und aktuelle Infrastruktur (z.B. Firewall, SPAM-Filter, Virenschutz); zusätzliches Backup ausser Haus; eine 2-Faktor-Authentifizierung bei Konten, die von ausserhalb der Firma verfügbar sind; das regelmässige Ändern der Kennwörter; eine geregelte Gebäudesicherheit; klare IT-Sicherheitsrichtlinien; sowie IT-Nutzungsvereinbarung, welche neue Mitarbeitende unterschreiben müssen.
Wie lassen sich die Folgen nach einer Cyberattacke möglichst abwenden oder begrenzen?
Durch eine sehr gute Kommunikation und eine Früherkennung der potentiellen Gefahren. Auch hier gilt, dass die Mitarbeitenden besser einmal mehr nachfragen, ob die Quelle vertrauenswürdig ist oder nicht. Wir selbst haben uns zusätzlich mit einer Cloud-Backup-Lösung abgesichert, damit unsere Daten auch an einem zweiten Standort verfügbar wären.
Welche Massnahmen haben Sie in Ihrem Unternehmen ergriffen, um die Mitarbeitenden für das Thema zu sensibilisieren?
Wir verbinden sämtliche Änderungen an den Systemen mit aktuellen Informationen, die wir unseren Mitarbeitern mitgeben. Dazu geben wir immer wieder Tipps und Tricks, welche den Mitarbeitenden auch im privaten Umfeld hilfreich sein können. Wir haben noch verschiedene Ideen, welche wir intern spielerisch umsetzen wollen. Zum Beispiel könnten wir versuchen, mit gezielten Fake-Angriffen weitere Erkenntnisse gewinnen, die dann wiederum als Basis für Schulungen und Sensibilisierungen dienen sollen.