Seit der Erfindung des Internets existiert ein Wettrüsten zwischen den Nutzenden und den «Ausnutzenden». Das wertvolle Gut im Zentrum dieses Konflikts sind die persönlichen Daten. Was ist der aktuelle Stand in dieser Auseinandersetzung? Wo steht die Schweiz und welche Mittel stehen zur Verfügung, um für Sicherheit zu sorgen? Und vor allem, wie müssen diese als Ganzes genutzt werden?
Das Nationale Zentrum für Cybersicherheit (NCSC) ist das Kompetenzzentrum des Schweizer Bundes für Cybersicherheit. Sein Ziel ist die Entwicklung einer landesweiten Strategie zum Schutz vor Cyberrisiken. Es ist ebenfalls die zentrale zivile Anlaufstelle für Fragen und Daten rund um das Thema Cybersicherheit. Die Gründung des NCSC trägt der Realität Rechnung, dass eine effektive Cybersicherheitsstrategie auf nationaler Ebene ein wichtiger Faktor für den Wirtschaftsstandort ist. Es ist deshalb nicht überraschend, dass das NCSC vom Eidgenössischen Finanzdepartement EFD nun in das Departement für Verteidigung, Bevölkerungsschutz und Sport VBS integriert werden soll. Die Sicherheit im digitalen Raum erhält somit die gleiche Gewichtung wie die Landesverteidigung. Das ist zumindest die Nachricht nach aussen, die durch diese Entscheidung vermittelt wird.
Cybersicherheit auf private Art
Die Regierung hat die Wichtigkeit einer effektiven Strategie zur Bekämpfung von Cyberattacken erkannt. Wie aber sieht es in der Privatwirtschaft aus? Auch hier versteht man Cybersicherheit als Wettbewerbsvorteil. In der Region Waadt und Genf hat sich zum Beispiel das «Trust Valley» gebildet. Ein Zusammenschluss aus öffentlichen Organisationen, privaten Unternehmen und Bildungsinstituten mit dem Ziel, die Schweiz zum weltweit führenden Standort im Bereich Cybersecurity zu entwickeln. Es kann somit behauptet werden, dass die Schweiz in Sachen Sicherheit gut aufgestellt ist. Was aber nicht heisst, dass die Schweiz nicht mehr im Visier von Hackergruppen ist. Laut Florian Schütz, dem Delegierten des Bundes für Cybersicherheit, ist die Schweiz «nicht stärker oder weniger stark von Cyberangriffen bedroht als andere Länder. Der Wirtschaftsstandort Schweiz kann bei Angreifenden aber trotzdem durchaus Begehrlichkeiten wecken.»
Minimaler Aufwand, maximale Resultate
Dank des NCSC können nun Cybervorfälle anonym gemeldet werden. Allein in der Kalenderwoche 31 waren es 1268 Meldungen. «Am häufigsten werden dem NCSC Betrugsformen aller Art gemeldet. Solche Angriffe können auch von Betrügenden durchgeführt werden, die über kein breites IT-Wissen verfügen.» Wie bei anderen Angriffsformen gilt der Angriff bei Betrugsformen zuerst dem Menschen und nicht der IT-Infrastruktur. Grund für das vermehrte Auftreten dieser Cyberbedrohungsart? «Sie sind relativ einfach durchführbar und auf Angreiferseite muss kein spezielles Know-how und auch keine ausgereifte Infrastruktur vorhanden sein.» Natürlich liegt die höhere Anzahl Meldungen dieser Art aber auch daran, dass solche sogenannten Phishingversuche auffälliger sind als das Eindringen über Sicherheitslücken in ein System. Das beste Mittel gegen solche Angriffe ist das Bekanntmachen der Vorgehensweise der Betrüger. «Finanziell besonders gravierend können für Opfer Angriffe mit Verschlüsselungstrojanern oder der sogenannte ‹CEO Fraud› sein», um zwei Beispiele zu nennen.
Die richtigen Informationen am richtigen Ort
Die Stärken der Schweiz im Bereich der Cybersecurity liegen laut Florian Schütz «vor allem im Bildungswesen, in der Forschung und in der Innovation von Technologien in bestimmten Nischen». Auf die KMU-Landschaft angewandt kann jedoch eine Diskrepanz festgestellt werden. Sie tut sich stellenweise schwer damit, dieser Entwicklung Folge zu leisten. Laut Schütz ist «das Bewusstsein, dass die Cybersicherheit immer mehr zum Kernrisiko wird, nicht überall vorhanden.» Diese Tatsache ist umso besorgniserregender, wenn man bedenkt, dass die IT in vielen Unternehmen den Wandel von einem Supportprozess in einen Kernprozess vollzogen hat. Antrieb für die Erarbeitung einer Strategie muss in diesem Bereich immer von der Chefetage aus kommen. «Das Thema Cybersicherheit ist Chefsache.» Sobald die Entscheidung in der Führung eines Unternehmens getroffen wurde, Cybersicherheit als Kernrisiko wahrzunehmen, soll damit begonnen werden, die Mitarbeitenden korrekt und laufend zu sensibilisieren. Die Begriffe «korrekt» und «laufend» sind ausschlaggebend für den Erfolg der Sensibilisierung. «Es bringt wenig, immer wieder Phishing zu erklären. Gute Sensibilisierung muss die Mitarbeitenden da abholen, wo sie stehen.» Sprich: Die Thematik der Informationen in der Schulung muss «in den Kontext der jeweiligen Rolle und Unternehmung eingebettet werden. Ein Executive Assistant muss wissen, welche Informationen über bevorstehende Meetings der Chefin oder des Chefs für Konkurrenten interessant sein könnten und diese Informationen entsprechend schützen.» Weiter ist es oft der Fall, dass die Schulungssequenzen viel zu lange sind. «Statt das Thema ein oder zweimal jährlich an einem halben Tag zu behandeln, ist es viel besser, beispielsweise einmal im Monat eine Stunde für die Thematik vorzusehen.»
Das Thema Cybersicherheit ist Chefsache. Florian Schütz
Planen ist unabdingbar
Weitere wichtige Faktoren, um eine zukunftsorientierte und resistente Sicherheitsstrategie zu entwickeln, sind das Vorhandensein einer soliden Basis und eines effektiven Kommunikationskonzepts. Mit Basis sind «die technischen und organisatorischen Massnahmen des Grundschutzes» gemeint. Technisch sind das Massnahmen und Mittel wie «regelmässige Back-ups, Updates aller installierten Hardware- und Softwarekomponenten, Virenschutz, Firewall usw.». Organisatorisch vor allem «das Business Continuity Management, Kommunikation, Compliance, Governance und Risk Management». Speziell zu erwähnen ist hier das Krisenkommunikationskonzept. Laut Schütz ist ein gelungenes Konzept «entscheidend ob die Firma überlebt oder nicht – denn die Kommunikation ist eine der zentralen Massnahmen, welche definiert, ob Kunden, Partner und Lieferanten der Firma in Zukunft weiter vertrauen». Jedes Unternehmen sollte ein Vorgehen im Falle eines Angriffs bereit haben. Es ist ungünstig, wenn man noch diskutieren muss, wer nun vor laufenden Kameras Stellung zu einem geschehenen Angriff nehmen wird. Dafür reicht die Zeit schlichtweg nicht aus.
Schreibe einen Kommentar