cyberkriminalität wie sich kmus gegen cyberkriminalität schützen
Digitalisierung Künstliche Intelligenz Innovation IT Sicherheit

Wie sich KMUs gegen Cyberkriminalität schützen

10.10.2018
von Sven Hoti

Die Cyberkriminalität hat zugenommen. In der Schweiz ist jedes dritte KMU bereits Opfer eines Cyberangriffs geworden, Tendenz steigend. Was in den 70er Jahren als harmloses «Phreaking» anfing, entwickelte sich später unter dem gewandelten Namen «Hacking» zu einem weltweiten Problem. Ein Problem, welches die Unternehmen nur mit Mühe bewältigen können.

Ups, Ihre Daten wurden verschlüsselt!» Diese Nachricht präsentierte der Computerbildschirm allen Benutzern, die im Mai 2017 mit dem Schadprogramm «WannaCry» infiziert worden waren. Der einzige Ausweg war eine Lösegeldbezahlung in der Kryptowährung Bitcoin, andernfalls drohte das Programm, jegliche Daten vom Rechner zu löschen. Eine Woche Zeit und 300 Dollar Lösegeld für den Erhalt der eigenen Daten – würden Sie es tun?

Malware wie diese gibt es in sehr unterschiedlichen Formen. Es sind aber immer Computerprogramme, welche eigens dafür programmiert wurden, unerwünschte und gegebenenfalls schädliche Funktionen auszuführen. Durch ihre Fernsteuerbarkeit kann jeder, egal wo er sich befindet, Zugriff auf einen fremden Computer erhalten. Die Schadfunktionen sind für gewöhnlich getarnt oder laufen gänzlich unbemerkt im Hintergrund ab – fernab von der Aufmerksamkeit des Laien. Dazu gehören Computerviren, Trojaner oder auch Computerwürmer. Sie alle haben ähnliche Ziele: die Manipulation oder das Löschen von Sicherheitssoftware und anderen Sicherheitseinrichtungen wie Firewalls oder Antivirenprogramme. Der Administrator verliert dabei jegliche Kontrolle über sein System.

Die Schadfunktionen sind für gewöhnlich getarnt oder laufen gänzlich unbemerkt im Hintergrund ab – fernab von der Aufmerksamkeit des Laien.

Cyberkriminalität verursacht Milliardenschäden

Ein bekanntes Beispiel für den Einsatz von Malware ist der Hackerangriff auf das Filmstudio Sony Pictures Entertainment vor knapp vier Jahren. Eine Hackergruppe mit dem glorreichen Namen «Guardians of Peace» drang in das System von Sony ein und veröffentlichte geheime Daten wie Informationen über Mitarbeiter und Kopien von unveröffentlichten Filmen. Damit einher ging der Dreh der US-amerikanischen Slapstick-Filmkomödie «The Interview», welche sich um ein Mordkomplott der CIA gegen Nordkoreas Staatsoberhaupt Kim Jong-un dreht. Nordkoreas Drohungen im Vorfeld der Veröffentlichung machte sie zum Hauptverdächtigen.

Ein weiteres, europäisches Beispiel von Cyberkriminalität ist der weniger technisch-komplexe aber umso dreistere Angriff auf den deutschen Automobilzulieferer Leoni. Cyberkriminelle verschafften sich mithilfe gefälschter Dokumente und Identitäten über elektronische Kommunikationswege Zugang zu Geldern des Unternehmens. Die Täter gaben sich dabei als Leoni-Mitarbeiter mit «besonderen Befugnissen» aus, um so Transaktionen in Millionenhöhe auszuführen.

Attacken wie diese demonstrieren eindrücklich, welchen Preis wir für die rapide Digitalisierung zahlen. Laut dem US-amerikanischen Entwickler für Computersicherheitssoftware und -hardware McAfee belaufen sich die Kosten für die entstandenen Schäden weltweit jährlich auf rund 600 Mrd. Dollar. Dies ist ein Anstieg von fast 35 Prozent im Vergleich zu 2014. Die Dunkelziffer hingegen ist um einiges höher. «Viele Schäden sind nicht bezifferbar wie beispielsweise der Imageschaden, den ein Unternehmen erleiden muss, oder abgeflossene Daten» sagt Max Klaus, stv. Leiter der Melde- und Analysestelle Informationssicherung (MELANI) des Bundes.

Schweizer Firmen sind ungenügend geschützt

Trotz dieser stetig wachsenden Bedrohung sind viele Schweizer Unternehmen, hierbei vor allem die Klein- und Mittelunternehmen, immer noch schlecht gegen Cyberkriminalität gewappnet. Laut einer vom Forschungsinstitut GFS-Zürich durchgeführten Umfrage bei 300 KMU-Chefs gaben nur 60 Prozent der befragten Unternehmen an, Grundschutzmassnahmen wie Malware-Schutz, Firewall, Patch-Management und Backup voll und ganz umgesetzt zu haben. Nur 15 Prozent der befragten Firmen würden Mitarbeiter-Schulungen über den sicheren Umgang mit IT durchführen. Bei der Hälfte der Unternehmen war der Geschäftsführer für die IT verantwortlich, obwohl 50 Prozent von ihnen behaupteten, über Cyberrisiken sehr gut informiert zu sein. Viele der KMUs zahlen in Erpressungsfällen einfach die verlangte Summe – leichtsinnig, findet Kai Grunwitz, Senior Vice President EMEA des IT-Security-Dienstleisters NTT Security. «Wenn sich Unternehmen von der Bezahlung von Lösegeld Kostenvorteile versprechen, ist das in unseren Augen mehr als trügerisch. Und das böse Erwachen wird früher oder später für viele kommen.»

Nur 15 Prozent der befragten Firmen würden Mitarbeiter-Schulungen über den sicheren Umgang mit IT durchführen.

Unterschätzen Schweizer Unternehmen also das Risiko? Nur bedingt, meint Max Klaus. Vielen Betrieben fehle einfach das Geld oder Know-how, um etwas dagegen zu unternehmen.

Zum Beispiel ist ein Angriff auf die Verfügbarkeit eines Online-Shops («DDoS-Angriff») nicht für alle Firmen gleich verheerend. Je nach strategischer Ausrichtung des Betriebs sind die Auswirkungen einer solchen Attacke mehr oder weniger gravierend. Klaus nennt dabei vor allem Onlinegeschäfte bzw. Unternehmen, welche stark von Onlineshops abhängig sind und unter einem längeren Ausfall ihrer Systeme besonders stark betroffen wären. Ein Möbelhaus hingegen würde ein DDoS-Angriff laut Klaus wohl weniger stark treffen, da viele Kunden sowieso lieber persönlich im Geschäft vorbeigingen, wenn sie etwas kauften.

Prävention beginnt auf der Individualebene

Hacker finden immer neuere und kreativere Möglichkeiten, in ein System einzudringen. Ebenso wartet die Cyberabwehr mit neuen Entwicklungen auf, wie etwa der Einsatz von künstlicher Intelligenz (KI) bei der Erkennung von Eindringlingen. KI kann man aber auch als Tool für die Gegenseite verwenden. Hacker benutzen sie beispielsweise für das automatische Erkennen von Sicherheitslücken auf Webseiten, welche sie dann geschickt ausnützen können.

Der Nutzen und Missbrauch der verschiedenen Methoden gehen Hand in Hand. Es gibt ein ständiges Tauziehen zwischen den Sicherheitsexperten und den Profiteuren lückenhafter Codes und schwächelnder IT-Infrastrukturen. Einen garantierten Schutz gibt es nicht. Man kann sich aber so gut wie möglich gegen den anhaltenden Cyberkrieg, dieses gegenseitige Kräftemessen, schützen. Besonders wichtig ist dies bei Unternehmen, deren Geschäftstätigkeiten stark von Online-Diensten abhängig sind. «Dort ist es natürlich wichtig, dass man die business-kritischen Systeme kennt, identifiziert und entsprechend schützt» kommentiert Max Klaus. Auch auf der Mikroebene besteht Handlungsbedarf: Mitarbeiter-Schulungen über den sicheren Gebrauch von IT sind auch heute eher noch die Ausnahme als die Regel. Solche Sicherheitsinitiativen seien gemäss Grunwitz definitiv zu begrüssen. Sie würden jedoch vielfach nur von der IT initiiert. «Der richtige Ansatz wäre, sie zusätzlich im Management-Board zu verankern, das solche Initiativen sichtbar kommunizieren und vorantreiben sollte.»

Text: Sven Hoti

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Vorheriger Artikel Patientensicherheit in der Medikation
Nächster Artikel Sicherheit hat ihren Preis