So schützen sich KMU vor Hackerangriffen

Kleine und mittlere Unternehmen sind oft das Ziel, weil sie über weniger finanzielle oder personelle Ressourcen verfügen als Grossunternehmen und sich weniger gut schützen können. Wie der Hacker-Jahresrückblick der NZZ zeigt, sind aber auch Grossunternehmen und selbst der Bund nicht vor Angriffen gefeit: So wurden im Juni 2023 während des Besuchs des ukrainischen Präsidenten Wolodimir Selenski die Websites des Parlaments, der Post, der SBB, des Eidgenössischen Justiz- und Polizeidepartements EJPD sowie der Städte Zürich, Lausanne, St. Gallen, Montreux und Schaffhausen lahmgelegt. Im März 2023 wurde die NZZ selbst zum Opfer. Cyberkriminelle stahlen vertrauliche Daten, verschlüsselten Dateien und erpressten den Verlag. Der Artikel «Kriminelle Hacker greifen die NZZ an und erpressen sie: Protokoll einer Krise» schildert eindrücklich, wie eine Cyberattacke abläuft und wie gravierend die Folgen sein können.

Jede Woche gehen beim Bundesamt für Cybersicherheit BACS mehrere hundert bis 2’000 Meldungen über Cybervorfälle ein. Gefährdet sind alle: Regierungen, kritische Infrastrukturen wie Energieversorger oder Krankenhäuser, Staatsbetriebe und Konzerne. Aber auch kleine und mittlere Unternehmen. Deshalb müssen sich KMU organisatorisch und technisch auf Angriffe vorbereiten, ihre Mitarbeitenden für die Themen IT-Sicherheit und Datenschutz sensibilisieren und ihre Cyberresilienz stärken. In der Psychologie bezeichnet Resilienz die Fähigkeit, schwierige Lebenssituationen ohne Beeinträchtigung zu meistern. In der Cybersicherheit ist Resilienz die Fähigkeit, sich vor Cyberangriffen zu schützen, diese zu erkennen, sofort darauf zu reagieren und sich schnell von den Folgen zu erholen.

Cyberkriminelle entwickeln ständig neue Methoden und perfektionieren sie. Dies sind ihre häufigsten Angriffsvarianten:

• Phishing: Der Mensch ist das schwächste Glied in jeder IT-Sicherheitskette. Deshalb versuchen Cyberkriminelle, ihre Opfer mittels Social Engineering zu manipulieren und beispielsweise dazu zu bringen, Passwörter preiszugeben, vertrauliche Daten zu verraten oder auf einen Link zu klicken. Am weitesten verbreitet ist das Phishing mit E-Mails oder Nachrichten, die vorgeben, von einer vertrauenswürdigen Quelle zu stammen.
• Ransomware: Cyberkriminelle infiltrieren das IT-System, laden alle Daten herunter, verschlüsseln sie und blockieren das System. Anschliessend fordern sie ein Lösegeld, daher Ransomware, für die Rückgabe der Daten und die Freigabe des Systems. Weigert sich das Opfer, drohen sie damit, die Daten zu veröffentlichen oder im Darkweb zu verkaufen.
• DDoS-Attacken: Cyberkriminelle lösen Tausende oder Millionen von Anfragen an ein Netzwerk, einen Server oder eine Website aus. Diese Anfragen überlasten das System, bis es zusammenbricht und zum Beispiel ein Onlineshop nicht mehr erreichbar ist. Oft hört der schädliche Datenverkehr erst auf, wenn das Opfer ein Lösegeld bezahlt.

Das Ganze ist mehr als die Summe seiner Teile, wenn es um IT-Sicherheit und Datenschutz geht. Regelmässige Backups, eine Firewall und ein aktueller Virenscanner sind sinnvoll, schützen IT-System und Daten allein aber nicht ausreichend. Deshalb brauchen Unternehmen, unabhängig von ihrer Grösse, eine ganzheitliche Strategie. Die Basis der Strategie bilden die Risikobeurteilung und das Risikomanagement, organisatorische und technische Schutzmassnahmen, die Schulung und Sensibilisierung aller Mitarbeitenden sowie die Notfallvorsorge und ein Notfallplan.

Wer Risiken beherrschen will, muss sie kennen. Mit einer Risikobeurteilungsstrategie können Unternehmen potenzielle Risiken identifizieren und sinnvolle Massnahmen zu ihrer Minimierung ableiten. Die drei wichtigsten Elemente einer wirksamen Risikobeurteilungsstrategie sind:

• Ziele definieren, potenzielle Risikofaktoren identifizieren und festlegen, wie die Auswirkungen von Cyberattacken bewertet werden.
• Die für das Unternehmen überlebenswichtigen Assets und Daten identifizieren, organisatorische und technische Schutzmassnahmen einführen und die kritischen Assets und Daten in der Risikobewertung priorisieren.
• Methoden, Techniken und Werkzeuge definieren, einführen und anwenden, um Risiken zu quantifizieren, Schwachstellen zu identifizieren und Risiken zu minimieren. Zum Beispiel Bedrohungsmodelle, Risikomatrizen oder Schwachstellenanalysen.

Tipp: Mit der kostenlosen Zurich Risk Advisor App für Android- oder iOS-Geräte können Unternehmen ihre Cyberrisiken selbst einschätzen. Die mehrsprachige App identifiziert und bewertet Risiken und empfiehlt Gegenmassnahmen.

Unternehmen, die ihre IT und Daten wirksam schützen wollen, müssen ihren Umgang mit IT-Sicherheit und Datenschutz überdenken, ihre Prozesse anpassen und geeignete Werkzeuge einführen:

• Jedes KMU braucht eine Risikoanalyse aller schützenswerten Systeme und Daten sowie ein professionelles Krisenmanagement mit einem IT-Notfallplan. Zudem müssen alle Mitarbeitenden regelmässig im sicheren Umgang mit Daten und E-Mails geschult und für mögliche Schwachstellen sensibilisiert werden.
• Zugriffsrechte müssen bei jedem Austritt gelöscht, bei jedem Funktionswechsel überprüft und einmal jährlich aktualisiert werden. Passwörter sind regelmsig zu ändern und dürfen mit niemandem geteilt werden. Fernzugriffe sollten zeitlich und räumlich begrenzt und gut geschützt sein, zum Beispiel durch eine Multi-Faktor-Authentifizierungslösung.
• Das Betriebssystem, alle Programme, der Virenscanner und die Firewall müssen ständig aktualisiert werden. Alle Daten müssen regelmässig gesichert werden, wichtige Daten täglich oder noch häufiger. Beim Backup dürfen Daten nicht einfach überschrieben werden, da sonst historische Daten verloren gehen. Eine Kopie des aktuellen Backups muss getrennt vom Netzwerk gespeichert werden, damit die Daten auch nach einem Angriff verfügbar sind.

Die grösste Schwachstelle in jedem IT-Sicherheitskonzept ist der Mensch. Cyberkriminelle nutzen dies mit Social Engineering aus (siehe «So greifen Cyberkriminelle KMU an»). Unternehmen müssen deshalb ihre Mitarbeitenden für Themen wie Phishing, Passwörter oder sicheres Surfen sensibilisieren. Regelmässige Schulungen, klare Richtlinien und einfache Prozesse schaffen eine Sicherheitskultur im ganzen Unternehmen und fördern das gemeinsame Verantwortungsbewusstsein. Da die Sicherheit der IT und der Daten Chefsache sind, sollten die Geschäftsführerin, alle Mitglieder der Geschäftsleitung und alle Vorgesetzten mit gutem Beispiel vorangehen und durch ihr Verhalten den Stellenwert von IT-Sicherheit und Datenschutz in ihrem Unternehmen unterstreichen

Vorbeugen ist besser und billiger als heilen. Ein längerer Ausfall der IT-Systeme kostet im besten Fall «nur» Geld, im schlimmsten Fall die Existenz. Deshalb braucht jedes KMU einen IT-Notfallplan, um besser auf Cyberangriffe vorbereitet zu sein. Der IT-Notfallplan ...

• ... dokumentiert relevante IT-Systeme, Netzwerke und Anwendungen, Abhängigkeiten und mögliche Auswirkungen auf geschäftskritische Prozesse.
• ... stellt Vorlagen für die Kommunikation mit Kunden, Lieferanten, Partnern und Interessengruppen wie dem Bundesamt für Cybersicherheit BACS zur Verfügung.
• ... enthält Checklisten mit Aufgaben und Verantwortlichkeiten für die wahrscheinlichsten IT-Notfallszenarien wie Datenpannen, Hackerangriffe oder Systemausfälle.
• ... listet alle Dokumente auf, die im Notfall hilfreich sein können, zum Beispiel Inventar-, Kunden- und Personallisten, System- und Anwendungsdokumentationen oder Wiederherstellungspläne.

In der Schweiz regeln das Bundesgesetz über den Datenschutz (DSG) und die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union den Umgang mit und den Schutz von personenbezogenen Daten. Die Gesetze legen fest, wie Personendaten bearbeitet werden dürfen und wie sie und damit die Privatsphäre geschützt werden müssen. Unternehmen, die gegen das DSG verstossen, können mit Bussen bis zu CHF 250’000 bestraft werden. Oft schwerwiegender und in vielen Fällen existenzbedrohend ist jedoch der Reputations- und Vertrauensverlust. Unternehmen, die sich vor Verstössen gegen das DSG oder die DSGVO schützen wollen, sollten Best Practices für ein Compliance Management mit Kontrollmechanismen, Richtlinien und Verfahren einführen.

Grossunternehmen bei der Stärkung ihrer Cyberresilienz. Das ganzheitliche Konzept baut auf er Prävention und dem Schutz vor finanziellen Risiken auf. Die Lösungen decken alle wichtigen Aspekte der IT-Sicherheit und des Datenschutzes ab: Zurich Resilience Solutions …

• … entwickelt mit den Unternehmen Risikobewertungsstrategien, identifiziert kritische Assets und Daten und empfiehlt Techniken und Werkzeuge zur Risikoanalyse und -minderung. Zum Beispiel Datenschutz-Audits, Penetrationstests oder Schwachstellen-Scans.
• … berät Unternehmen bei der Einführung von physischen oder netzwerkbasierten Sicherheitsmassnahmen wie Anti-Malware-Programmen, Firewalls oder Verschlüsselungstechnologien und Monitoring-Lösungen zur Überwachung des IT-Netzwerks.
• … schult und sensibilisiert die Mitarbeitenden für die Themen IT-Sicherheit und Datenschutz. Unter anderem mit dem Cyber Escape Game, das Cyberattacken simuliert und den Mitarbeitenden spielerisch beibringt, auf Bedrohungen angemessen zu reagieren.
• … berät Unternehmen in Datenschutzfragen und unterstützt sie bei der Einhaltung aller Datenschutzgesetze und -vorschriften. Unter anderem mit Best Practices für das Compliance Management oder der Echtzeit-Prüfung der Regelkonformität ihrer Drittanbieter.

• Cybervorfall bei der Kantonspolizei melden
• Bundesamt für Cybersecurity BACS: Informationen für Unternehmen
• Bundesamt für Cybersecurity BACS: Cybervorfall beim BACS melden
• Bundesamt für Cybersecurity BACS: Schwachstelle melden
• Schweizerische Kriminalprävention: Fokus Internet
• digitalswitzerland: Infrastructure & Cybersecurity