Laut einer Umfrage des Beratungsunternehmens Deloitte waren 45 Prozent der Firmen mit über 250 Mitarbeitenden mindestens einmal Opfer einer Cyberattacke; bei den befragten KMU waren es 18 Prozent. Sind KMU damit weniger attraktive Ziele für Cyberkriminelle?

Marc Ruef: Die Antwort erscheint paradox: Einerseits sind KMUs tatsächlich weniger attraktive Angriffsziele, da sie im Gegensatz zu einem Grosskonzern eine eher geringere Angriffsfläche bieten und auf eine Erpressung mit verhältnismässig wenig Kaufkraft reagieren können. Andererseits investieren sie weniger in die Cybersicherheit, was sie umso anfälliger macht. Grundsätzlich ist jede Person und jedes Unternehmen ein potentielles Angriffsziel. Es gibt immer irgendwo jemanden, der im Rahmen seines ille-galen Geschäftsmodells entsprechenden Profit machen möchte.

Wie gehen die Internet-Erpresser bei ihren Angriffen vor?

Ruef: Traditionell wurden sogenannte DDoS-Attacken umgesetzt: Die Internet-Anbindung der Opfer wurde durch Überflutung unbrauchbar gemacht, um so eine Erpressung durchzusetzen. Obwohl diese Angriffstechnik jüngst eine kleine Renaissance erfährt, fokussieren sich die meisten Cyberkriminellen heutzutage auf Ransomware-Attacken. Hierbei wird in Systemen eingedrungen und Daten verschlüsselt. Damit die Opfer wieder Zugriff auf ihre Daten kriegen, müssen sie ein Lösegeld bezahlen.

Stichwort Lösegeldzahlung: Kann damit der Schaden tatsächlich abgewendet werden?

Ruef: Jeder Fall ist individuell. In den allermeisten löst eine Lösegeldzahlung das Problem nicht. Oftmals wird es gar verschärft, da man mit der Zahlungswilligkeit seine Attraktivität als Ziel erhöht. Im Idealfall wird einer Zahlung nur nachgekommen, um Zeit zu gewinnen, das Problem anderweitig nachhaltig zu lösen.

Was sind die möglichen Folgen eines Cyberangriffs für ein KMU?

Ruef: Mit den meisten Cyberangriffen geht eine direkte Störung des Betriebs einher. Die Arbeitsleistung ist gemindert oder fällt komplett aus. Und falls die Störung nicht Teil des Angriffs selbst ist, ist spätestens die forensische Untersuchung während oder nach dem Angriff mit hohen Investitionen verbunden. Und beim Bekanntwerden von Angriffen können Reputationsschäden oder rechtliche Konsequenzen einhergehen. Das Stresslevel bei einem Zwischenfall ist für alle Beteiligten sehr hoch.

Relativ neu ist die Problematik der «Triple Extortion», wo die Angreifer nicht nur versuchen, die Opfer zu erpressen, sondern auch deren Kunden und Partner. Wie häufig kommt ein solches Vorgehen bei KMU vor und welche Konsequenzen drohen?

Ruef: «Triple Extortion» ist ein eher unbeliebter Ansatz, da er für die Erpresser mit einem Mehraufwand verbunden ist. Dieser wird nur angestrebt, wenn die gestohlenen Daten für die Kunden oder Partner einen hohen Wert haben. In erster Linie dann, wenn sensitive, heikle und private Informationen enthalten sind. Nur dadurch kann mit diesen genug Druck ausgeübt werden. Dies ist zum Beispiel bei politischen Informationen, Gesundheitsdaten oder sexuell kompromittierendem Material der Fall.

Was raten Sie KMU nach einer Attacke?

Ruef: Nach der Attacke ist vor der Attacke. Nach dem erfolgreichen Abwehren der Attacke gilt es die spezifische Situation dieser und den allgemeinen Zustand der Organisation zu prüfen. Schwachstellen müssen aufgedeckt und Risiken als solche erkannt werden. Ein Minimieren dieser hilft, zukünftig kein lohnendes Opfer mehr zu werden.

Von nur wenigen Unternehmen wird öffentlich bekannt, dass sie Opfer einer Attacke wurden. Aus Ihrer Erfahrung: Wie hoch ist die Dunkelziffer?

Ruef: Viele betroffene Firmen vergessen die Geschehnisse lieber gleich wieder, als sich mit diesen systematisch auseinanderzusetzen. Erfahrungsgemäss kommen mehr als drei Viertel der erfolgreichen Angriffe nie an die Öffentlichkeit.

Weshalb ist eine offene Kommunikation nach einer Attacke wichtig?

Ruef: Jeder, der sich im digitalen Raum bewegt, kann und wird irgendwann Opfer eines erfolgreichen Angriffs werden. Wichtig ist, dass man auch mit diesem Horrorszenario professionell umgehen kann. Vielen halbherzigen PR-Meldungen ist es anzusehen, dass den Firmen die IT-Security nicht wichtig war und zukünftig eigentlich auch nicht sein wird. Das dürfen wir als Gesellschaft nicht akzeptieren, denn zum Schluss leiden immer diejenigen, die sich nicht aktiv haben schützen können: Mitarbeiter und Kunden.

«Die allermeisten Opfer sind auch Täter, indem sie durch eine kurzsichtige Gewinnmaximierung die Notwendigkeit von Cybersecurity vernachlässigt haben.»

Marc Ruef Cybersecurity-Experte und Mitgründer der SCIP AG

Ihrer Meinung nach: Sollte die öffentliche Hand einen Teil der Verantwortung für den Cyberschutz der Schweizer KMU tragen?

Ruef: Schäden sollen definitiv nicht durch die Öffentlichkeit getragen werden müssen. Die allermeisten Opfer sind nämlich auch Täter, indem sie durch eine kurzsichtige Gewinnmaximierung die Notwendigkeit von Cybersecurity vernachlässigt haben. Man kann nicht die digitale Transformation vorantreiben, ohne nicht auch zeitgleich Cybersecurity zu praktizieren. Ein moderner Staat muss jedoch darum bemüht sein, professionell, systematisch und effizient Verbrechen im digitalen Raum bekämpfen zu können. Hier hat man in den letzten 10 Jahren definitiv Fortschritte gemacht.

Sie hacken im Auftrag von KMU, Firmen und Gesundheitsinstitutionen. Können Sie pauschal sagen, wie gut die Schweiz hinsichtlich ihrer Cybersecurity aufgestellt ist?

Ruef: Schweizer Banken gehören seit jeher zu den bestgesicherten Organisationen weltweit. Diese
haben früh die Risiken erkannt, entsprechende Budgets vorgesehen und wurden durch regulatorische Vorgaben zur Umsetzung gedrängt.
Alle anderen Bereiche tun sich weder besonders positiv noch negativ im internationalen Vergleich hervor. Viele Manager denken in Quartalszahlen und abstrahieren so die Cyberrisiken weg. Die Konsequenz dieser Ignoranz beobachten wir gegenwärtig mit der massiven Zunahme der erfolgreichen Ransomware-Attacken.

Welches sind Ihre Haupterkenntnisse aus Ihrer Tätigkeit als Hacker?

Ruef: Alles kann kompromittiert werden, wenn genug Ressourcen zur Verfügung stehen. Es wird immer jemanden geben, der mit einer Schwachstelle Geld verdienen will. Und viele Menschen tun sich schwer darin, Risiken richtig einzuschätzen.

Haben Sie ein Bespiel eines gehackten KMU, das Sie in besonderer (positiver oder negativer) Erinnerung haben?

Ruef: Vor Jahren wurde ein Kommunikationsunternehmen Opfer einer vollumfänglichen Kompromittierung. Im Verlauf unserer Analyse hat sich herausgestellt, dass es ein Insider war. Erst nach etwa einer Woche hat man die Systeme mit viel Aufwand wieder unter Kontrolle bringen können. Da die Dienstleistung währenddessen nicht erbracht werden konnte, hat man zwischenzeitlich 80 Prozent der Kunden verloren. Der Schaden war verheerend.

Wie anfällig sind eigentlich Chatbots für Cyberattacken?

Ruef: Chatbots interagieren mit Menschen. Im Dialog kann es gegeben sein, dass der Benutzer sensitive und sensible Daten preisgibt. Zum Beispiel, wenn eine KI-gestützte Offerte erstellt werden soll und zu diesem Zweck kundenspezifische Details eingegeben werden. Diese Daten werden für den KI-Betreiber zugänglich und könnten missbraucht werden.

Was raten Sie zum Umgang mit sensiblen Daten?

Ruef: Der mögliche Missbrauch reicht von Urheberrechtsverletzungen über Social Engineering-Angriffe bis hin zu Identitätsdiebstahl und Erpressungen. Aus diesem Grund ist es empfohlen, sehr vorsichtig mit sensiblen Anfragen umzugehen. Auf persönliche, sensible und kundenspezifische Angaben sollte weitestgehend verzichtet werden. Firmen sollten Richtlinien erlassen, wie mit solchen Systemen umgegangen werden darf. Dabei kann sich an den Vorgaben orientiert werden, die zum Beispiel schon bezüglich Online-Übersetzungsdienste erlassen wurden.

Speziell für KMU und Gemeinden wurde das Label cyber-safe.ch geschaffen. Da können sich Organisationen beraten und ihr IT-System auf Schwachstellen prüfen und zertifizieren lassen.

Info

Cyberexperte Marc Ruef

Marc Ruef ist Cybersecurity-Experte und Mitgründer der Scip AG in Zürich, die Beratungen im Bereich Cybersecurity anbietet.
Im Alter von 18 Jahren erschien sein erstes Buch, in dem es um die Sicherheit von Windows-Betriebssystemen ging. Im Laufe der Jahre folgten 16 weitere Bücher und mehr als 275 Artikel in sieben verschiedenen Sprachen rund um das Thema IT-Security.
Der 43-Jährige ist zudem regelmässiger Dozent an mehreren Universitäten wie ETH, HWZ, HSLU und IKF.

Partner

Meistgelesene Artikel

Gespräch mit dem Chat-Generator

27. Februar 2023

Strompreis: «Lieferanten nutzen die Situation aus»

22. November 2023

Cleantech-Gipfel mit Swissness oder: Warum China die Schweiz braucht

21. August 2023

Die Stadt Zhenjiang auf Promotionstour in Zürich

6. Juli 2023

«Ich würde alles genau gleich machen»

24. April 2023

Ihre Meinung ist uns wichtig

Das Thema ist wichtig.

Der Artikel ist informativ.

Der Artikel ist ausgewogen.

Anzeige