Cybersicherheit: «Wir sind noch nicht im digitalen Zeitalter angekommen»

20230317_picture_cybersecurity
Vielen Unternehmen sind die Risiken der digitalen Welt nicht bewusst und entsprechend schlecht ausgerüstet. Dabei sind Cyberangriffe eine reale Gefahr und die Abhängigkeit von IT und vom Internet steigt. Prof. Dr. Marc K. Peter empfiehlt einige grundlegende Massnahmen für mehr Cybersicherheit.

Die digitale Transformation bietet viele Potenziale und Chancen. Gleichzeitig steigt mit ihr auch die Komplexität und Abhängigkeit von der IT und dem Internet. Die Cybersicherheit wird so zum Erfolgsfaktor der digitalen Transformation.

«Wir sind noch nicht im digitalen Zeitalter angekommen», sagt Prof. Dr. Marc K. Peter, Leiter das Kompetenzzentrum Digitale Transformation der FHNW und Dozent bei Rochester-Bern im «CAS Wirksames KMU-Management» und erklärt dies anhand eines Beispiels: «Wenn Sie am Sonntag an Ihrem Büro vorbeifahren und feststellen, dass die Fenster offen sind, schliessen Sie diese. Im digitalen Raum hingegen, sehen wir unsere Schwachstellen oft gar nicht», so Peter.

Dabei ist Cyberkriminalität ein reales Risiko. Befragungen zeigen, dass ein Viertel bis ein Drittel der Schweizer KMU bereits einen Cyberangriff erlebt haben, der mit grösserem Aufwand verbunden war. Verwaltungsrat und Geschäftsleitung sind dafür verantwortlich, die Cybersicherheit zu garantieren – eine Aufgabe, die noch viel zu wenig ernst genommen wird. Peter zeigt, wo die Gefahren liegen und gibt einige konkrete Empfehlungen.

Cybergefahren & Schwachstellen

Hacker sehen Schwachstellen, auch wenn sie uns nicht bewusst sind. «Sie erkennen, wenn Fenster bei unserem Haus offen sind und nutzen dies aus», so Peter. Es ist daher wichtig, selbst auch hinzuschauen und sich klarzumachen, wo Angriffspunkte liegen könnten.

Ein erstes wichtiges Element ist ein sicheres WLAN. Dabei geht es nicht nur um das WLAN des Unternehmens, sondern jedes WLAN, das Mitarbeitende nutzen, ist eine potenzielle Schwachstelle. Sobald Mitarbeitende im Homeoffice sind und darüber mit dem Geschäftscomputer online gehen, ist der Arbeitsplatz zuhause eine Erweiterung des Büros und ein mögliches Einfallstor.

Eine ganz perfide Cybergefahr birgt das Social Engeneering – der zwischenmenschlichen Beeinflussung einer Person. Dabei versucht der Hacker das Vertrauen des Opfers zu gewinnen und es so z. B. zur Preisgabe von vertraulichen Informationen oder zur Freigabe von Kreditkartendaten und Passwörtern zu bewegen. «Stellen Sie sich vor, dass Sie am Vorabend an einem Apéro waren und dann erhalten Sie eine E-Mail von einer Person, die sich für das nette Gespräch von gestern bedankt und einen Link mit Ihnen teilen möchte. Hier könnte es sich um einen Hacker handeln, der auf Social Media gesehen hat, dass sie an dem Apéro waren und dies ausnutzt, um Ihr Vertrauen zu gewinnen», sagt Peter.

Die Nachricht könnte ein sogenanntes Phishing sein: Der Versuche, sich über gefälschte Webseite, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Ziel des Betrugs ist es, z. B. an persönliche Daten eines Internet-Benutzers zu gelangen oder ihn zur Ausführung einer schädlichen Aktion zu bewegen. In der Folge werden dann beispielsweise Kontoplünderung oder Identitätsdiebstahl begangen oder eine Schadsoftware installiert. Es handelt sich dabei um eine sehr gefährliche Form des Social Engineerings: Ein falscher Klick auf einen Link kann innert Sekunden einen Trojaner installieren.

Eine etwas abgeänderte Form ist das Physical Social Engeneering. Auch hier ist das Ziel eine Kontoplünderung, Identitätsdiebstahl oder eine schädliche Schadsoftwareinstallation. Allerdings kommt noch eine physische Komponente dazu, z.B. in Form eines verkleideten Technikers, der sich Zugang zu den Büroräumlichkeiten verschafft und so einen Trojaner installiert. Wichtig ist deshalb auch die psychische Sicherheit, wie zum Beispiel einen abgeschlossenen Serverraum, den Laptop zu blockieren, wenn man aus dem Zimmer geht oder sicherstellen, dass keine USB-Datenträger an die eigene Infrastruktur angeschlossen werden, welche eine Schadsoftware installieren könnten.

Cybersicherheit als Basishygiene

KMU haben bereits einen ersten Schritt getan, wenn sie sich Schwachstellen und Cybergefahren bewusst sind. Zudem gibt es ein paar grundsätzliche Massnahmen, die jedem Unternehmen helfen, die Gefahren eines Cyberangriffes zu reduzieren.

Eine erste Sicherheitsmassnahme, besteht darin, das IT-Netzwerk zu segmentieren. «Wenn Sie z.B. eine Niederlassung in Asien oder Südamerika haben, dann muss diese nicht auf alle Daten in der Schweiz zugreifen können», so Peter. Durch eine Segmentierung haben Hacker weniger Andockpunkte, um an Daten und Informationen zu kommen.

Firewalls sind Geräte, die einen unbefugten Zugriff auf ein Netzwerk verhindern. Der Name stammt aus dem Mittelalter und bezieht sich auf physische Feuerwände, die vermeiden sollen, dass ein Feuer von einem Haus auf das andere übergeht. Schweizer Telekommunikationsunternehmen bieten in der Regel in ihrem Router auch eingebaute Firewall an. Es gilt nun, sicherzustellen, dass diese auch aktualisiert wird. Unternehmen wird zudem angeraten, ihre eigenen Firewalls zu installieren.

Sicherheitsfördernd ist auch ein Virtual Private Network (VPN) – eine Netzwerkverbindung in einem privaten Tunnel, die von Unbeteiligten nicht einsehbar ist. Diese sollte von Mitarbeitenden immer genutzt werden, wenn sie auf Firmendaten zurückgreifen oder sich über ein firmenfremdes WLAN verbinden. Kleine Firmen können auf bestehende VPN-Anbieter zurückgreifen, während es sich für grössere Unternehmen lohnt, eine eigene VPN-Infrastruktur aufzubauen.

WLANs sollten sparsam genutzt werden. Zudem sollte überprüft werden, dass die Antennen nicht unnötig weit strahlen und somit ein zusätzliches Sicherheitsrisiko darstellen. «Auf dem Parkplatz oder im Nachbarsgebäude sollten Sie sich nicht mehr mit ihrem WLAN verbinden können», so Peter.

Auch die Datenverschlüsselung ist ein grundlegender Baustein der Datensicherheit. Sie ist die einfachste und wichtigste Art und Weise, um zu gewährleisten, dass die Informationen eines Computersystems nicht zu betrügerischen Zwecken gestohlen und gelesen werden. «Bevor Sie eine Cloud nutzen, stellen Sie sicher, dass die Daten dort verschlüsselt sind», so Peter. Die meisten KMU nutzen die Cloud eines externen Hosting-Anbieters. Marc K. Peter empfiehlt hier eine Risikoanalyse durchzuführen: Welche Daten sind auf der Cloud? Sind diese auch auf einem Back-up gespeichert? Sind die wichtigen Daten verschlüsselt? Und wo sind die Daten physisch gespeichert?

Idealerweise verfügen KMU über Richtlinien darüber, was auf Social Media preisgegeben werden darf und was nicht. Dies garantiert eine «Social Media Datenhygiene» und stellt sicher, dass keine Informationen veröffentlicht werden, die Hacker zu ihren Gunsten nutzen können.

Eine einfache Massnahme, um die Cybersicherheit zu erhöhen, sind gute Passwörter. Es sollten nicht immer die gleichen benutzt werden und sie sollten möglichst komplex sein. Eine Strategie ist, sich einen Satz auszudenken, von den Wörtern die Erstbuchstaben zu nehmen und noch ein paar Sonderzeichen einzufügen. Bei sehr heiklen Daten kann sogar ein gutes Passwort nicht mehr sicher genug sein. Hier helfen weitere Sicherheitschecks mittels Mehrfachauthentifizierung («Multi Factor Authentication»), z.B. über SMS-Codes, Apps auf dem Mobiltelefon oder UBS-Sticks.

Essenziell ist auch das Back-up und die Daten-Recovery. «Am besten haben Sie mehrere Back-up-Versionen an unterschiedlichen Orten», sagt Peter. Ohne Daten ist ein Unternehmen aufgeschmissen. Bei einem Hackerangriff oder auch einem physischen Unglück, z. B. einem Feuer, sollten es Back-ups geben, die sicherstellen, dass die Daten wiederhergestellt werden können.

«Wenn Sie in Ihrem Unternehmen Microsoft Teams haben und die entsprechenden Einstellungen nicht anpassen, können alle Mitarbeitende schauen, mit welcher Person Sie über Teams am meisten Kontakt hatten und an welchen Dokumenten sie gerade arbeiten. Wollen Sie das?», so Peter. Dies ist eine Frage der Rollen und Berechtigungen. Nicht alle müssen Zugriff auf alles haben: Verwaltungsrat und Geschäftsleitung sollten sicherstellen, dass die Einstellungen entsprechend ausgewählt wurden.

Fazit

Bei den zuvor genannten Massnahmen handelt es sich nur um die Grundlagen der Datensicherheit. Um bei der Metapher des physischen Hauses zu bleiben: Durch diese Schritte können zumindest die sichtbaren Fenster des Hauses geschlossen werden. Natürlich gibt es aber noch den Weg über den Balkon, die Kellertür und das Hundetor. Ein guter Grund für Führungskräfte, sich vertiefter mit dem Thema auseinanderzusetzen. Prof. Dr. Marc K. Peter unterrichtet im «CAS Verwaltungsrat»  bei Rochester-Bern über die digitale Transformation inklusive Cybersicherheit und digitales Marketing.

 

Buchtipp: Mayencourt & M.K. Peter: IT-Sicherheit für KMU: So navigieren Sie Ihr Unternehmen sicher durch Cyber-Turbulenzen. 2001, 176 Seiten, Edition Beobachter & Handelszeitung (www.it-sicherheit-kmu.ch)