Nach einem Cyberangriff: Wie reagieren?
Auch KMU und kleine Organisationen werden vermehrt Opfer von Cyberangriffen. Zwei Betroffene aus der Schweiz erzählen von den Konsequenzen und wie sie reagiert haben.
von Andreas Heer, Swisscom
Wie jeden Morgen prüfte Felix Keller, Leiter der Geschäftsstelle der Gewerbeverbände St.Gallen, an diesem Donnerstag auf dem Smartphone seine Mails. Doch der Server war nicht erreichbar. Also informierte er die Mitarbeitenden und die IT-Firma und machte sich auf den Weg ins Büro. Als die Nachricht der Erpresser kam, war klar: Die gesamte IT-Infrastruktur inklusive der Backups der letzten zwei Monate war von einer Ransomware verschlüsselt worden. Ausgangspunkt war ein Phishing-Mail. «Mein erster Gedanke war: Wieso gerade wir? Das kann doch nicht sein», sagt Keller im Rückblick.
Dass KMU und kleinere Organisationen für Cyberkriminelle interessant sind, musste auch Remo Muggli feststellen, Geschäftsführer und Mitinhaber der Personalagentur stewards.ch: «Wir wurden darauf aufmerksam gemacht, dass Kundendaten von uns im Darknet verfügbar sind.» Schliesslich stellte das KMU fest, dass die Daten von einer Testdatenbank stammten. Offenbar hatten die Angreifer eine Sicherheitslücke ausgenutzt. «Ich denke nicht, dass wir Opfer eines gezielten Angriffs wurden», sagt Muggli. «Sondern einer grossflächigen Suche.»
Aufräumen nach der Cyberattacke
Muggli und sein Team hatten Glück im Unglück: Die Cyberabteilung der Polizei konnte den Link auf die Daten schnell entfernen lassen, und die betroffenen Personen reagierten überwiegend verständnisvoll. Dadurch konnte stewards.ch auch einen Reputationsschaden abwenden, was entscheidend ist in einem Vertrauensgeschäft wie dem Personalmanagement.
Dagegen herrschte in den Büros der GSGV am Wochenende nach der Attacke reges Treiben: Die Organisation entschloss sich, die gesamte IT-Infrastruktur neu aufzubauen und die Daten aus den noch vorhandenen Backups wiederherzustellen – mit entsprechendem personellem und finanziellem Aufwand.
Cybersecurity, eine Management-Aufgabe
«Wir haben in ein zweites, räumlich getrenntes Backup investiert und in eine verbesserte Firewall», sagt Keller. Auch an der Sensibilisierung der Mitarbeitenden hat die GSGV gearbeitet. Und obwohl Verbesserungsvorschläge hauptsächlich vom IT-Partner kommen, sind für Keller die Zuständigkeiten klar: «Wir haben zwar einen IT-Partner, der Massnahmen vorschlägt und umsetzt. Aber die Verantwortung bleibt bei uns.»
«Uninteressant zu sein reicht nicht aus, um geschützt zu sein.»
Remo Muggli, Geschäftsführer stewards.ch
Und auch bei stewards.ch hat ein Umdenken stattgefunden, sagt Muggli: «Es ist uns klar geworden, dass auch ‹Kleine› interessant sind für Cyberkriminelle. Und wir verhindern müssen, dass wir zur leichten Beute werden.»
Beiden ist bewusst, dass sie die Cybersecurity-Massnahmen regelmässig überprüfen müssen. «Ich habe mir einen Reminder in den Kalender gesetzt, damit ich regelmässig mit unseren Lieferanten und IT-Partnern rede», sagt Muggli. «Das kostet nicht viel, kann aber präventiv viel zum Schutz beitragen.»
Einen ähnlichen Ansatz verfolgt die GSGV, betont Keller: «Ich schaue immer wieder mit dem IT-Partner, ob die Massnahmen noch ausreichen.» Dieses Vorgehen scheint zu funktionieren. Denn bis jetzt haben beide Organisationen keinen weiteren erfolgreichen Cyberangriff verzeichnet.
Um mehr zu umfassender Cybersicherheit für Ihr Unternehmen zu erfahren, melden sie sich hier an:
Partner
Ihre Meinung ist uns wichtig
Partner