Das musst du wissen
- Viele Cyberkriminelle sind im Massengeschäft tätig – damit gibt es kaum Unternehmen, die nicht attraktiv für sie sind.
- Wer einige Grundregeln einhält, könne sich und sein Unternehmen bereits gut schützen, weiss Cyber-Experte Pascal Lamia.
- Insgesamt sei die Schweiz auf einem guten Weg, es gebe aber noch immer einiges zu tun.
Herr Lamia, nur jede dritte Person schätzt einer Umfrage zufolge die Cybersicherheit von Unternehmen, kritischer Infrastruktur und der Verwaltung hierzulande als hoch oder eher hoch ein. Was sagen Sie, ist die Schweiz ausreichend geschützt?
Das Niveau der Cybersicherheit in der Schweiz ist vergleichbar mit anderen europäischen Ländern. Es gibt jedoch grosse Unterschiede zwischen einzelnen Firmen. Am Nationalen Zentrum für Cybersicherheit stellen wir fest, dass sich immer mehr Unternehmen mit diesem Thema auseinandersetzen, die Cyberbedrohungen ernst nehmen und auch die entsprechenden Massnahmen ergreifen. Dennoch gibt es leider auch einige Firmen, die nur reaktiv unterwegs sind und sich nicht genügend schützen. Oft hängt das Sicherheitsniveau damit zusammen, ob die IT-Sicherheit von Geschäftsleitung und Verwaltungsrat und als Thema ernst genommen und ob entsprechende zusätzliche Gelder gesprochen werden.
Pascal Lamia
Wer ist besonders bedroht? Kleine und mittlere oder mehr die grossen Unternehmen?
Wie gross ein Unternehmen ist, ist beim Risiko für einen Cyberangriff zweitrangig. Viele der Firmen, die auf den ersten Blick nicht attraktiv für einen Cyberangriff erscheinen, sind dennoch exponiert. Denn viele Angreifer sind im Massengeschäft tätig. Sie versuchen, möglichst viele Ziele zu erreichen, die zwar weniger Gewinn abwerfen – dafür ist aber der Angriff selber weniger aufwändig. Gefährdet sind also alle Systeme, die zu wenig geschützt sind oder eine Schwachstelle aufweisen.
Worin besteht denn die grösste Herausforderung bei der Abwehr und Bekämpfung?
Cybersicherheit ist Chefsache! Das heisst: Wenn die Geschäftsleitung Cyberrisiken konsequent in ihr Risikomanagement einbezieht und entsprechend die wichtigsten organisatorischen und technischen Massnahmen einleitet, ist bereits ein wichtiger Schritt getan.
Nationales Zentrum für Cybersicherheit NCSC
Was bedeutet das konkret?
Es gibt einige wichtige Grundregeln. Zum Beispiel, dass man sämtliche Systeme konsequent und zeitnah aktualisiert. Und, dass Software oder Systeme, die vom Hersteller nicht mehr unterstützt werden, abgeschaltet oder in eine separate, abgeschottete Netzzone verlegt werden. Auch Fernzugänge wie VPN oder andere sowie sämtliche andere Zugänge auf interne Ressourcen wie Webmail oder Sharepoint müssen zwingend mit einem zweiten Faktor abgesichert werden. Wo immer möglich ist sogar die Multi-Faktor-Authentisierung zu empfehlen, um Daten und Informationen zu schützen. Wichtig ist auch, den Empfang von gefährlichen E-Mail-Anhängen zu blockieren und Daten regelmässig zu sichern. Dabei empfiehlt sich das sogenannte Generationenprinzip. Das heisst, dass die Datensicherung auf verschiedenen Speichermedien zu verschiedenen Zeitpunkten – also täglich, wöchentlich oder monatlich – gemacht wird. Wichtig ist hier, das Medium, auf dem die Sicherungskopie erstellt wurde, nach dem Backup-Vorgang vom Computer beziehungsweise Netzwerk physisch zu trennen und sicher aufzubewahren.
Wie gross ein Unternehmen ist, ist beim Risiko für einen Cyberangriff zweitrangig.
Wo ist der Schutz am schwierigsten?
Ein häufiges Einfallstor bei Cyberangriffen sind die Mitarbeitenden. Aus diesem Grund ist die Sensibilisierung der Mitarbeitenden und die Information über aktuelle Cyberbedrohungen sehr wichtig. Denn aufmerksame Mitarbeitende sind ein wichtiger und unverzichtbarer Schutzschild. Fehlen jedoch das Grundverständnis und damit verbunden die personellen und finanziellen Ressourcen, so ist es schwierig, in einem Unternehmen eine adäquate Cybersicherheit gewährleisten zu können.
Von 2020 auf 2021 hat sich die gemeldete Zahl der Cyberangriffe verdoppelt. Wie erklären Sie sich das?
Dank der fortschreitenden Digitalisierung und der damit verbundenen Berichterstattung sind Unternehmen und Privatpersonen heute sensibilisierter. Das heisst, Vorfälle werden eher gemeldet und Opfer von Angriffen gehen an die Öffentlichkeit. In der Tat haben auch die Meldungen in den letzten Monaten zugenommen. Das bedeutet, dass nicht nur die Sensibilität, sondern die Cyberangriffe tatsächlich zugenommen haben. Dabei werden am meisten Betrugsversuche gemeldet. Zu beachten ist hier jedoch, dass nicht jede Meldung auch einen erfolgreichen Angriff bedeuten muss.
Wie sieht es mit Ransomware aus, also Trojanern, die Daten verschlüsseln und Unternehmen damit erpressen? Unter Cyber-Führungskräften aus aller Welt scheint dies eine der grössten Sorgen zu sein, wie der Global Security Outlook des World Economic Forums zeigt.
Auch hierzulande haben Ransomware-Angriffe zugenommen – 2020 waren es 66 Meldungen, 2021 deren 161. Für das laufende Jahr haben wir bereits 47 Fälle registriert (Stand 01.04.2022). Wir vermuten, dass die Zunahme damit zu tun hat, dass es sich leider um ein lohnendes Geschäft handelt, da es Opfer gibt, die das geforderte Lösegeld bezahlen. Andererseits sind die Hürden für einen erfolgreichen Angriff leider immer noch zu tief.
Viele Angreifer sind im Massengeschäft tätig. Sie versuchen, möglichst viele Ziele zu erreichen, die zwar weniger Gewinn abwerfen – dafür ist aber der Angriff selber weniger aufwändig. Gefährdet sind also alle Systeme, die zu wenig geschützt sind oder eine Schwachstelle aufweisen.
Wo sehen Sie in Zukunft die grössten Gefahren?
Cyberkriminelle sind sehr innovativ und bringen immer neue Angriffsszenarien hervor. Im Darknet gibt es beispielsweise Portale, bei denen sogenannte Zero-Day-Lücken, das sind nicht öffentlich bekannte Sicherheitslücken, gehandelt werden. Gegen Geld können Interessierte Werkzeuge kaufen, um diese Sicherheitslücken auszunutzen. Häufig verwenden Kriminelle auch aktuelle Themen, um ihre Angriffsversuche geschickt zu tarnen – momentan natürlich der Krieg in der Ukraine. Wovon zukünftig die grösste Gefahr ausgeht, ist also schwierig zu sagen – die Cyberkriminalität verändert sich laufend. Generell werden wohl auch in Zukunft Angriffsformen dominant sein, mit denen die Hacker mit möglichst geringem Aufwand einen möglichst hohen finanziellen Gewinn erwirtschaften können.
Muss die Schweiz ihr Tempo erhöhen?
Die Schweiz hat in den letzten Jahren einiges unternommen. So hat der Bundesrat vor zwei Jahren mit der Gründung des Nationalen Zentrums für Cybersicherheit ein Zeichen gesetzt. Die ersten Strukturen sind aufgebaut, die Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken wird wie geplant umgesetzt. Insgesamt sind wir somit auf einem guten Weg, aber es gibt noch einiges zu tun.
Der Finanzsektor ist bisher der einzige, für den es eine Meldepflicht gibt. Und Anfang April wurde nun der Verein Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC) gegründet. Wieso setzt die Schweiz den Fokus auf den Finanzplatz?
Cybervorfälle, die der Reputation des Schweizer Finanzplatzes schaden oder die zu einer schweren Finanzkrise führen können, stellen eine zunehmende Bedrohung dar. Darum hat Bundesrat Ueli Maurer dem Nationalen Zentrum für Cybersicherheit den Auftrag erteilt, in Zusammenarbeit mit dem Privatsektor und den Behörden im Finanzbereich entsprechende Strukturen zu etablieren. Aufgrund der Erfahrungen, die mit dem FS-CSC gesammelt werden, können weitere Branchenspezifische Cyber Security Centres entstehen.
Die Meldepflicht für kritische Infrastruktur soll nun kommen – wieso wird keine generelle Meldepflicht angestrebt?
Das Ziel der Meldepflicht ist, Bedrohungen früher zu erkennen und die Prävention zu stärken. Dafür ist es ausreichend, sie für kritische Infrastruktur einzuführen. Denn für die Frühwarnung und das Lagebild sind neue Angriffsmuster und vertiefte Erkenntnisse darüber von besonderem Interesse. Solche neuen Angriffsmethoden werden aber üblicherweise nicht gegen Kleinstunternehmen, sondern gegen grosse Unternehmen eingesetzt. Zudem besteht bei einem Angriff auf eine Einzelperson keine Bedrohung für die Versorgungslage der Schweiz. Wenn hingegen ein Spital oder ein Energieunternehmen angegriffen werden, besteht eine grössere Gefahr für die breite Bevölkerung. Daher ist hier eine Meldepflicht von grossem Nutzen. Der Mehrwert einer generellen Meldepflicht für Kleinunternehmen oder gar für die Bevölkerung hingegen wäre beschränkt und der bürokratischen Aufwand wäre unangemessenen hoch. Vielmehr zeigen unsere Statistiken, dass das System der Freiwilligkeit für die breite Bevölkerung sehr gut funktioniert.
Droht hier nicht die Gefahr, dann wieder hinterher zu sein?
Die Vorlage zur Meldepflicht umfasst einen breiten Kreis an Einrichtungen – dazu gehören etwa Hochschulen, Organisationen mit öffentlich-rechtlichen Aufgaben wie die Feuerwehr oder Trinkwasserversorger, oder auch Sozialversicherungen. Dieser Kreis ist beispielsweise breiter gefasst, als jener in der aktuellen EU-Regulierung. Wird die Vorlage umgesetzt, verfügt die Schweiz damit über sehr gute Grundlagen, um eine gute Lageübersicht zu erhalten und Unternehmen frühzeitig vor Cyberbedrohungen warnen zu können.
