Haben die Cyberattacken auf grosse Firmen und Institutionen zugenommen – oder ist das nur ein Eindruck?
Nicolas Mayencourt: Cybercrime nimmt kontinuierlich zu. Das ist ein grosses globales Business, höchst lukrativ und höchst professionell organisiert. Die jährlichen Wachstumsraten waren bisher schon beachtlich, aber durch den Corona-Digitalisierungschub war der Zuwachs in diesem Jahr überproportional und explosionsartig.
Schlägt sich das auch in Zahlen nieder?
Dies zeigen verschiedene Statistiken der Strafverfolgung, auch Daten des Schweizer Zentrums für Datensicherheit, ferner unsere eigenen Erfahrungen und Messungen.
In der Pandemie sitzen viele im Homeoffice. Erhöht das die Chancen von Cyberattacken?
Ja, die Pandemie mit erweiterten Homeoffice-Möglichkeiten erhöht die Angriffsfläche noch einmal. Bildlich gesprochen werden Betriebsgrenzen mittels VPN-Tunnels bis zu jedem Mitarbeitenden nach Hause verlängert. Die Angriffsfläche hat sich explosionsartig vergrössert. Hinzu kommt der Zeitdruck: Innert kürzester Zeit mussten die Betriebe diese Umstellung durchführen, um im Geschäft zu bleiben. Dabei kommen nicht funktionale Themen wie eben Cybersecurity meistens zu kurz.
Ist auch die Vermischung von betrieblicher und privater Hard- und Software riskanter?
"Homes" werden oft durch mehrere Personen belebt, und Internetzugriffe beziehungsweise WLAN-Access Points teilt man. Somit kann über den Angriffsvektor Haushalt dann nicht nur Zugang zu einer Firma eröffnet werden, sondern in der Regel zu mehr als nur dieser. Die "Homes" fungieren sozusagen schon fast als eine Brücke zwischen Betrieb A und B direkt über diesen einen Zugang.
Müssen die Firmen ihre Mitarbeiter in Sachen Cybersecurity besser aufklären?
Dieses Thema wurde von Firmen, Regierungen und der Gesellschaft allgemein viel zu lange sträflich vernachlässigt. Wir haben noch nicht verstanden, dass wir alle von einer funktionierenden Technik und dem Internet abhängig sind. Cybersecurity wird allzu oft als lästiger Kostenfaktor oder als simples IT-Thema abgetan und oft nur halbherzig angegangen. Es wäre jedoch ein Top-Führungsthema.
Firmen spüren jetzt aber, wie viel Kosten eine solche Attacke verursachen kann. Wird ein Umdenken stattfinden?
Es erinnert mich ein wenig an den Klimawandel: Seit den 1960er Jahren wurde gewarnt und doch zuwenig getan. Cybersecurity ist in einer digitalisierten Gesellschaft ein Top-Risiko, eine Top-Chance und somit ein Wettbewerbsvorteil. Ich hoffe, dass das Jahr 2020 eine Trendwende darstellt und wir endlich anfangen, das Nötige zu tun.
Wie hoch schätzen Sie bei Schweizer Firmen im Jahre 2020 die Ausfälle durch Cyberattacken?
In einer Studie des Versicherungverbandes wurden die direkten Schäden für die Schweizer Wirtschaft bereits für 2018 auf rund 10 Milliarden Franken geschätzt. Die Cybercrime-Fälle sind im Corona-Jahr um das 8- bis 10-fache gestiegen. Damit hat sich diese Zahl zwischenzeitlich sicher deutlich erhöht. Eine andere Studie des CSIS schätzt die globalen "Hidden Costs of Cybercrime" auf 945 Milliarden Dollar. Eine aktuelle Studie von letzter Woche zeigt, dass künftig 29 Prozent mehr Arbeitskräfte von Zuhause arbeiten werden. Darauf müssen die Unternehmen vorbereitet sein.
Was bedeutet das für die Schweiz?
Grundsätzlich ist davon auszugehen, dass die Schweiz überproportional betroffen ist, da wir bekanntermassen in einem reichen Land mit vielen guten Hochschulen leben und damit natürlich attraktiv für potentielle Angreifer. Sicher ist, dass Zahl und Umfang der Schadensfälle bei weitem nicht mehr vernachlässigbar ist, sondern existenzielle Summen ausmacht.
Nehmen wir die jüngste Attacke auf den Technik-Konzern Huber+Suhner: Welche Schäden richtet das an? Wie kann sich die Firma davon erholen?
Gemäss der Medienmitteilung von Huber+Suhner musste der Betrieb eingestellt werden. Das heisst also neben den direkten Kosten der Schadensbewältigung: Forensic, Aufbau Notbetrieb, Herstellung, Neubetrieb. Es folgt ein Produktionsstop. Das wird sehr schnell sehr teuer und kann einen Betrieb in seiner Existenz bedrohen. In der Schweiz gibt es ja auch schon Präzedenzfälle von Firmen, die nicht zuletzt wegen einer solchen Attacke Insolvenz anmelden mussten. Eine Gesellschaft kann sich davon erholen und kann grundsätzlich auch gestärkt aus solch einem Ereignis hervorgehen. Voraussetzung ist, dass die gelernten Lektionen korrekt umgesetzt werden und der neu aufgebaute Betrieb von Grund auf mit Cybersecurity konzipiert wurde.
Wie können sich Firmen gegen solche Attacken schützen?
Mit einem zeitgemässen Sicherheitskonzept, einer Sicherheitsarchitektur, einem Sicherheitsbetrieb, der Internetangriffe kriminell motivierter, professioneller Akteure übersteht. Dazu gehören neben einer hoch professionellen Technik auch die systematische Sensibilisierung und Schulung aller Mitarbeitenden und selbstverständlich auch, dass das Thema Cybersecurity vom Verwaltungsrat über die Geschätstsleitung bis hinunter in die Betriebe und Arbeitsebenen die notwendige Priorität erfährt. Hier kann ein umfangreiches IT-Sicherheitsaudit in den meisten Fällen helfen.
Welche Tipps und Tricks haben Sie für die Mitarbeiter? Wie können sich diese auch im Homeoffice schützen?
Sicherheits-Awareness aufbauen, laufend Schulungen durchführen, den gesunden Menschenverstand walten lassen, aber auch eine gesunde Skepsis. Grundsätzlich gilt: Keine Links oder Dateien öffnen, welche nicht erwartet werden oder bekannt sind. Dazu ständig Updates machen, Sicherheitssoftwares installieren, warten und überwachen.
Nicolas Mayencourt ist CEO und Gründer der Sicherheits-Beratungsfirma Dreamlab Technologies in Bern und Leitungsmitglied beim Institute for Security and Open Methodologies (ISECOM).
Dieser Beitrag erschien zuerst auf handelszeitung.ch unter dem Titel «Cybercrime: Die Angriffsfläche hat sich explosionsartig vergrössert».