sicherheit
Digitalisierung IT Sicherheit

Jedes Unternehmen kann Ziel von Cyberangriffen werden

04.11.2020
von Fatima Di Pane

Die Cybersicherheit ist ein Thema von enormer Wichtigkeit. Und doch vernachlässigen viele Unternehmen diesen Aspekt, teilweise mit fatalen Folgen. Nicole Wettstein, Vize-Präsidentin der Kommission Cybersecurity von ICTswitzerland, klärt auf.

Digitalisierungsprozesse machen vielen Unternehmen das Leben nicht nur leichter. Was man nebenbei oftmals nicht ernst nimmt, oder schlichtweg vergisst, ist die Cybersicherheit.

«Viele KMU gehen davon aus, selbst kein attraktives Ziel für Cyberangriffe zu sein», erklärt Nicole Wettstein. Sie ist Programm Manager Cybersecurity SATW, Vize-Präsidentin Kommission Cybersecurity ICTswitzerland. «Sie nehmen fälschlicherweise an, für Angreifer aufgrund ihrer Grösse oder der geringen Bekanntheit ein uninteressantes Opfer zu sein.»

So kehrt man das Thema Cybersicherheit oftmals unter den Tisch. «Den KMU ist dabei meist nicht bewusst, dass die Angreifer häufig nicht gezielt Unternehmen angreifen, sondern im Internet grossflächig nach Schwachstellen suchen und diese ausnutzen. Unabhängig davon, wer dahinter steht», erläutert Wettstein.

Schweiz überdurchschnittlich stark betroffen

Als Zentrum von Forschung und Finanzen ist die Schweiz überdurchschnittlich stark von Cyberangriffen betroffen, auch zwecks Industriespionage. Der Status der Schweiz als wohlhabendes Land tut dabei sein übriges, um Cyberkriminalität anzuziehen.

«Zudem sind viele KMU in der Schweiz im Bereich der Digitalisierung vergleichsweise weit fortgeschritten. Ihr Geschäftsmodell ist daher von einem funktionierenden IT-System abhängig. Ein Cybervorfall hat entsprechend schwerwiegende Auswirkungen», weiss Wettstein.

Ein Paradebeispiel für einen Cyberangriff mit schweren Auswirkungen ist die Ransomware-Attacke.

Daten gegen Lösegeld

«Mit einer Ransomware-Attacke nutzen Angreifer bestehende Sicherheitslücken in den Betriebssystemen aus und verschlüsseln die Daten ihrer Opfer, um eine Lösegeldzahlung für die Entschlüsselung der Daten oder für die Nichtveröffentlichung der zuvor gestohlenen Daten zu fordern», erklärt Wettstein. Eine der grossen Sicherheitslücken für Ransomware-Attacken besteht in veralteter Soft- und Hardware, deren Schwachstellen nicht mehr durch Patches und Updates ausgebessert werden. Auch das WLAN eines Unternehmens kann von Hackern für einen Angriff genutzt werden. «Es ist daher wichtig, dass Unternehmen ihr WLAN mit einem sicheren Standard verschlüsseln und für Gäste ein separates WLAN verwenden», rät Wettstein.

Risiko: Mensch

Auch wenn ein Unternehmen rundum gegen Cyberangriffe gewappnet ist, darf man den Gefahrenfaktor Nummer eins nicht ausser Acht lassen: der Mensch. «Auch die besten technischen Massnahmen können nicht verhindern, dass ein Mitarbeitender einem Angreifer Tür und Tor öffnet», weiss Wettstein.

Ein Beispiel dazu sind Phishing-E-Mails. Diese E-Mails gestalten Hacker professionell und sollen beispielsweise den Eindruck erwecken, von einer offiziellen Stelle zu stammen. Der Empfänger soll damit motiviert werden, sensible Daten freizugeben. Vor allem Zugangsdaten sind bei Hackern populär. «Mit diesen Informationen haben die Angreifer die Möglichkeit, auf die Konten ihrer Opfer zuzugreifen und so beispielsweise in deren Namen Einkäufe in Onlineshops oder Zahlungen im Online-Banking zu tätigen», erklärt Wettstein. Aus diesem Grund ist es wichtig, für verschiedene Onlinedienste unterschiedliche und starke Passwörter zu benutzen. Denn so kann der Angreifer mit einem geklauten Passwort nicht auf alle Dienste zugreifen.

Post vom CEO

Laut dem nationalen Zentrum für Cybersicherheit NCSC lässt sich momentan eine Zunahme von CEO-Fraud beobachten. Dabei verschickt man E-Mails an Mitarbeitende, welche vermeintlich vom CEO stammen. «In den E-Mails werden sie zu bestimmten Handlungen wie beispielsweise der Zahlung eines hohen Geldbetrages verleitet», erzählt Wettstein.

Auch Malware gelangt in vielen Fällen über eine E-Mail ins System eines Unternehmens. «Mitarbeitende klicken auf Anhänge oder Links. Häufig handelt es sich dabei um Verschlüsselungstrojaner, welche die Daten auf dem Computer oder im Netzwerk verschlüsseln. Für die Entschlüsselung der Daten fordern die Täter Lösegeld», führt Wettstein aus.

Individuelle Lösungen

Das Thema Cybersicherheit muss man also in jedem Unternehmen sorgfältig bedenken. Die Herangehensweise und Bedürfnisse unterscheiden sich aber zwischen den Unternehmen stark. «Es hängt von der Grösse, dem Schutzbedürfnis des Unternehmens und den vorhandenen Fähigkeiten und Ressourcen ab», erklärt Wettstein. Für ein KMU mit wenigen Mitarbeitenden und geringen Anforderungen an die IT-Systeme zahle sich ein eigenes Team für Cybersicherheit vermutlich nicht aus, während dies für ein anderes Unternehmen, das sehr stark vom Zugang zu den digitalen Dienstleistungen abhängig sei und mehrere Mitarbeitende beschäftigt, anders aussehen könne.

«Eine eindeutige Antwort auf diese Frage gibt es nicht und jeden Fall muss man individuell beurteilen», stellt Wettstein fest. Auf jeden Fall sollte aber Schulungen, gezielter Sensibilisierung der Mitarbeitenden sowie technischen Lösungen gleichermassen Aufmerksamkeit geschenkt werden.

Text Fatima Di Pane

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Vorheriger Artikel Luca Boller: «Gamer entsprechen nicht mehr Klischees»
Nächster Artikel Roger Strässle – Sich nie in Sicherheit wiegen