KMUs werden vermehrt Opfer von Erpressungen durch Cyberkriminelle. Dabei reichen bereits einfache Massnahmen aus, um sich davor zu schützen und auch bei einem erfolgreichen Angriff mit minimalen Schäden aus der Situation hervorzukommen. Marcel Zumbühl, CISO der Schweizerischen Post, spricht über die Gefahren und wie die «Swiss Cyber Defence DNA» KMUs unterstützt.
Marcel Zumbühl
CISO, Schweizerische Post
Herr Marcel Zumbühl, die Cybergefahren sind so sichtbar wie noch nie. Stellen sie auch für KMUs bereits ein alltägliches Risiko dar?
Mit der zunehmenden Digitalisierung kleiner und mittlerer Unternehmen rücken diese natürlich genauso ins Zentrum der Aufmerksamkeit. Kriminelle gehen den Weg des geringsten Widerstands. Wenn sie vermuten, dass ein KMU schlecht geschützt ist, werden sie einen Angriffsversuch unternehmen. Da die meisten Firmen in der Schweiz KMUs sind, sind die meisten Attacken gegen sie gerichtet. Das heisst, ein KMU muss über eine robuste Cybersecurity verfügen, um nicht zum Ziel zu werden.
Welche Branchen und Firmengrössen stehen der erheblichsten Bedrohung gegenüber?
Es handelt sich um ein organisiertes Verbrechen. Professionell und geplant unternehmen die Kriminellen Fischzüge durch verschiedene Branchen hindurch. Unter Druck stehende Sektoren liegen vielleicht im Mittelpunkt solcher Angriffe, weil sie tendenziell undeutlicher reagieren können. Zum Beispiel war die Gesundheitsbranche während der Coronakrise stark belastet. Die Cyberkriminellen sehen sich den Markt genau an.
Welche Ziele stecken hinter den Cyberattacken?
Diese können bei den verschiedenen Gruppen unterschiedlich sein. Bei der grossen Mehrheit handelt es sich aber um ein monetäres Interesse. Ein oft gesehenes Muster ist, dass sie eindringen, die Daten verschlüsseln und das Unternehmen erpressen. Ein weiteres Vorgehen ist der Datendiebstahl, um auf dem Schwarzmarkt Geld zu verdienen.
Wo liegen die gefährlichsten Stolperfallen, in der Technologie oder den Menschen?
An beiden Orten bestehen Gefahren. Mensch und Maschine müssen zusammenspielen, um Angriffsflächen zu minimieren. Technologie stellt einen potenziellen Einstieg dar, beispielsweise durch Überlastungsangriffe wie Denial of Service. Menschen sind genauso ein Einfallstor, wenn sie über Phishingmails dazu verleitet werden, einen Link zu einem Schadcode anzuklicken. Bei der Post setzen wir auf drei Achsen: Mensch, Maschine und Geschäft. Deswegen verfolgen wir in der Zusammenarbeit eine partizipative Sicherheit, um die Kette von der Kundschaft zum Unternehmen und den Lieferanten zu schützen.
Mit den Ressourcen der KMUs ist es schwierig, von einer Fachperson Risikoanalysen durch- und Massnahmen einführen zu lassen. Was sind die Empfehlungen in einem solchen Fall?
Der Massnahmenkatalog der «Swiss Cyber Defence DNA» zeigt, dass man mit einfachen Mitteln ein gutes Mass an Sicherheit erreichen kann. Nicht in jedem Fall muss eine eigene Sicherheitsabteilung aufgebaut werden. Die Initiative führt auf, welche lokalen Partner zur Seite stehen können.
Sie sprechen den Leitfaden der «Swiss Cyber Defence DNA» an. Was beinhaltet dieser?
Die Massnahmen zielen sowohl auf den Menschen als auch auf die Maschine ab. Im Bereich des Menschen gibt es grundsätzliche Fragen zu klären wie: Wer hat welche Zugriffe? Wie sind die Mitarbeitenden geschult? Wie sieht die Reaktion auf einen Angriff mit allfälliger Erpressung aus? Wo kann man sich Hilfe holen? Die Empfehlung hierbei ist, niemals auf eine Erpressung einzugehen oder mit Kriminellen zu verhandeln, sondern direkt auf die Behörden zuzugehen.
Maschinenseitig gilt, ein gutes Back-up anzulegen sowie einen Antivirenschutz einzurichten. Die wohl einfachste Massnahme ist, immer mit den Aktualisierungen mitzugehen und Soft- und Hardware inklusive Handy auf dem neuesten Stand zu halten. Zusätzlich kann man über einen Partner eine Sicherheitsüberwachung einrichten, sodass man bei einem Vorfall rechtzeitig alarmiert wird und reagieren kann.
Es lohnt sich aber niemals, sich in Sicherheit zu wähnen. Es ist erschreckend, wie viele Unternehmen es trifft. Wenn man gut vorbereitet ist, kann man solche Angriffe jedoch überstehen. Beispiele aus dem letzten Jahr zeigen, dass man durch transparente Dialoge mit der Belegschaft, Kundschaft und der Öffentlichkeit mit einer besseren Reputation aus der Situation kommen kann.
Weshalb hat sich die Schweizerische Post der Trägerschaft der Initiative angeschlossen?
Wir standen schon zuvor in losem Austausch mit der «Swiss Cyber Defence DNA». Sie passt zur Art und Weise, wie wir über Sicherheit denken. Denn Sicherheit ist ein kontinuierlicher Prozess, den man am besten mit einem partizipativen Approach umsetzt. Das ist genau der Weg, den wir insgesamt für eine hohe Cybersecurity in der Schweiz gehen müssen. Zu diesem Ziel möchten wir auch unsere Expertise weitervermitteln, um jene zu unterstützen, die sich dem Thema annehmen.
Weitere Informationen sind unter kmuschutz.ch auf Englisch, Deutsch, Französisch und Italienisch ohne Angabe von Firmendaten einsehbar.
Zur Person
Marcel Zumbühl ist Chief Information Security Officer der Schweizerischen Post mit rund 65 000 Mitarbeitenden. Er ist Mitglied der Geschäftsleitung Informatik der Post und Verwaltungsrat von Hacknowledge SA, ein Tochterunternehmen der Post, das managed Security Operations anbietet.
Neben seiner Arbeit ist er Dozent an der ETHZ und der HSLU und Co-Präsident von Information Security Society Switzerland (ISSS). ISSS ist der führende Fachverband in der Schweiz für ICT-Sicherheit, welchem heute mehr als 1100 Security Professionals und an Security Interessierte aus Wirtschaft, Verwaltung und Wissenschaft angehören.
Schreibe einen Kommentar