Rund 80 KGV-Mitgliedern wollten beim ersten gemeinsamen Event von KMU- und Gewerbeverband Kanton Zürich und Swisscom am 5. Juni mehr wissen über Angriffe und Gegenmassnahmen vor und nach Cyberattacken. «Das WWW kann eine Chance sein – aber man ist anfälliger, verwundbarer geworden auf dem Gebiet», meinte einleitend KGV-Geschäftsführer Thomas Hess. «Und bei einem GAU wird alles öffentlich, medial aufgebauscht. Dann ist es wichtig, Krisenbewältigung und -kommunikation zu haben.» Damit führte er auch bereits ins zweite Thema des Abends ein: Krisenkommunikation und Risikomanagement.

«Das WWW kann eine Chance sein. Aber man ist anfälliger, verwundbarer geworden.»

Thomas Hess, Geschäftsführer KGV

N.D., Regional-Marketingmanagerin bei Swisscom, sprach von drei – mit den Swisscom-Partnern wie dem KGV geteilten – Grundwerten: Engagement, Vertrauenswürdigkeit und Neugier. «Wir wollen das Leben unserer Kundinnen und Kunden einfacher machen. Und dies aufs Neue von Tag zu Tag.» Vertrauen sei die Basis für den langfristigen Erfolg in einer vernetzten und digitalen Welt. Und das heisse, nicht nur den Produkten und Dienstleistungen zu vertrauen, sondern den regionalen IT-Partnern für KMU.

Im Anschluss durchleuchteten die beiden Referenten, Duilio Hochstrasser, IT-Experte und Botschafter für IT-Sicherheit bei Swisscom (Schweiz) AG, und Dr. Hans-Jakob Boesch, Inhaber und Geschäftsführer hjb, strategisches Risiko- und Krisenmanagement, den «Faktor Mensch» bei der IT-Sicherheit aus anderen Blickwinkeln.

Duilio Hochstrasser beobachtet die Bedrohungslage seit rund 20 Jahren. Gemäss dem «Swisscom-Bedrohungsradar» läuft Ransomware allen anderen Bedrohungen den Rang ab. Die Angreifer versuchen dabei, ein Unternehmen zu erpressen und in der Regel Lösegeld zu ergaunern. Häufig werden Daten verschlüsselt, in anderen Fällen geklaut unter Androhung, diese zu veröffentlichen.
Ernst zu nehmen sind zunehmend auch auf künstlicher Intelligenz (KI) basierte Attacken. Man denke an die sprachlichen Fähigkeiten eines ChatGPT, der Phishing-Mails viel glaubwürdiger macht. Die künstliche Intelligenz entdeckt auch Schwachstellen in HTML-Codes, kann sogar selber Malware oder bösartige Codes schreiben. Deepfakes – KI-generierte Bilder oder Videos – können erpresserisch eingesetzt werden.

Zu den Angriffsversuchen einige Zahlen: Die Swisscom regis-triert zurzeit 6,2 Millionen Angriffsversuche gegen die eigene Infrastruktur – pro Monat. Weiter werden 1650 Privatkunden wegen gehackter Accounts kontaktiert und 1800 Phishing-Attacken blockiert. Fast die Hälfte der KMU (46 %) sind schon von Sicherheitsverletzungen getroffen worden. Drei Viertel der Cyberangriffe beginnen mit einem E-Mail.

Das Auslagern bestimmter Sicherheitsaufgaben an einen vertrauenswürdigen Partner kann grosse Sorgen vermeiden. «Denn viele finden die geeigneten Leute dazu nicht mehr.» Allein bei Swisscom seien im Bereich Cybersecurity 40 Stellen offen, trotz insgesamt 300 Spezialisten. Als Bedrohung wird von Hochstrasser daher auch der ausgetrocknete «Security Job Market» betrachtet: Weltweit fehlen Millionen IT-Spezialisten, um der Lage Herr zu werden.

Insgesamt teilt er Cybersicherheit in fünf Hauptphasen ein: das präventive Identifizieren kritischer Daten, das Schützen derselben, das Erkennen und Überwachen, das Reagieren (im Idealfall vor dem Angriff) und das Wiederherstellen. «Jedes Unternehmen sollte alle Elemente berücksichtigen.» Deren Ausgeprägtheit bestimmt über die «Cyber-Maturität» des Unternehmens. Für KMU rät er einige minimale Massnahmen gemäss der Swiss Cyber Defence DNA, dem Leitfaden für KMU, um sich gegen Cyberkriminalität zu schützen.

Wie bereitet man sich als Unternehmen auf Risiken und Krisen vor, wenn dann doch einmal der Schaden oder die Cyberattacke eintritt – und was sollte man unbedingt vermeiden? Unternehmensberater Hans-Jakob Boesch, auch bekannt als (abtretender) FDP-Kantonalpräsident, gab einige Muster aus seiner langjährigen Erfahrung zum Besten. «Ein gutes Krisenmanagement baut auf einem guten Risikomanagement auf», erklärte er einleitend die Wechselwirkung. So verglich er Risiko- und Krisenmanagement mit Brandschutz: «Das ist keine Strafübung, sondern ein wichtiges Investment», so Boesch. In drei Schritten zeigte er auf, wie dies zugeschnitten auf ein KMU geschehen kann: Risikoanalyse und Krisenprävention, Krisenvorbereitung und Krisenmanagement.

Gerade die Risiken mit hoher Eintretenswahrscheinlichkeit und grossen Auswirkungen müssten verhindert werden. Cyberattacken verortet er in dieser Kategorie; ähnlich verhält es sich mit unklaren Zuständigkeiten, Datenschutzverletzungen oder fehlender (kurzfristiger) Liquidität. Durch technologische Absicherung und Schutzmassnahmen lassen sich im ersten Beispiel die Cyberrisiken aus den «Top-Risiken» entschärfen. Trotzdem bleibt ein Restrisiko. «Daher lohnt es sich, vorbereitet zu sein für den Fall, dass sie eskalieren.»

Oberstes Ziel der Krisenvorbereitung: Im Krisenfall handlungsfähig zu bleiben. Dazu gehört das Definieren eines Krisenstabs. Dieser legt Handlungsgrundsätze fest. Weiter sei es wichtig, die Kommunikationsmittel vorzubereiten für Fälle, die grosse Auswirkungen haben: Wie soll das Unternehmen gegen aussen wirken? Mögliche Krisenfälle sollen auch regelmässig durchgespielt werden, «um gewisse Automatismen zu üben».

«Risiko- und Krisenmanagement ist keine Strafübung, sondern ein wichtiges Investment.»

Hans-Jakob Boesch, Geschäftsführer hjb

Bei der Eskalation – etwa im Falle eines Datenklaus – kommt es dann zur Anwendung des Krisenmanagements: Wie handelt das Unternehmen rasch und überlegt? Die Lageanalyse sei erst einmal wichtig: Ein Überblick über die wichtigsten Probleme, etwa die betroffenen Daten oder Systeme, sei vordringlich. Weiter müssen gemeinsam Ziele definiert werden, die im Krisenfall schnell und konsequent umgesetzt werden müssen. Zu guter Letzt riet Boesch, frühzeitig externe Unterstützung beizuziehen, um eben rasch und überlegt zu handeln. Das könne zusätzliche Expertise im IT-Bereich, Rechts- oder Kommunikationsberatung sein.

Klein zu sein heisst nicht, vor Angriffen gefeit zu sein. Vielmehr gehe es um die Art der Risiken. Auf die entsprechende Frage eines Holzbauunternehmers riet Boesch, sich selber zu fragen, wie exponiert man wirklich ist. Als Dienstleister, der mit vielen Kundendaten operiert, ist man eher bedroht als der Handwerksbetrieb, der maschinell vieles analog erledigt.

Ein weiterer Zuhörer berichtete aus eigener Erfahrung, dass viele Mitarbeitende, die mit einem Migros-Gutschein gelockt wurden, sogar bereit waren, mit ihrer Zwei-Stufen-Authentifizierung auf ein Phishing-Mail zu reagieren. Der Mensch sei mithin die grösste Sicherheitslücke.

Duilio Hochstrasser bestätigte, dass entsprechende Phishing-Training-Kampagnen rechtlich erlaubt und auch sinnvoll seien, genauso wie das Engagement von Ethical Hackern – kombiniert mit nachgelagertem Training. Die Thematik wurde zwischen und nach den Vorträgen angeregt diskutiert. Ein Vertreter aus der Versicherungsbranche meinte gegenüber der «Zürcher Wirtschaft», dass sich KMU auch mit massgeschneiderten Cyberversicherungen gegen Angriffe absichern könnte. Die Deckungshöhe hänge von der Versicherungsstufe und der Umsatzhöhe ab. «Für Kunden und Versicherungen ist es noch attraktiv – bis jetzt», meinte er. Sollten jedoch Angriffe und Schäden stark ansteigen, werde die Branche über die Bücher gehen müssen.

Partner

Meistgelesene Artikel

Gespräch mit dem Chat-Generator

27. Februar 2023

Strompreis: «Lieferanten nutzen die Situation aus»

22. November 2023

Cleantech-Gipfel mit Swissness oder: Warum China die Schweiz braucht

21. August 2023

Die Stadt Zhenjiang auf Promotionstour in Zürich

6. Juli 2023

«Ich würde alles genau gleich machen»

24. April 2023

Anzeige