Brennpunkt
Digitale Daten zukünftig besser schützen
Andrea Sterchi
Hacking ist ein boomendes Geschäft, mit dem sich viel Geld verdienen lässt. In einer immer vernetzteren Welt müssen sich deshalb alle gegen Angriffe aus dem Internet wappnen: vom Weltkonzern bis zum KMU. Um sich zu schützen, brauchen sie aber nicht nur technisches Know-how, sie müssen vor allem die Risiken erkennen.
Gestohlene Kundendaten, geknackte Logins und Passwörter, entwendete Geschäftsgeheimnisse, manipulierte Wahlergebnisse – immer öfter werden Datenlecks und Datenskandale publik. Mit zunehmender Digitalisierung steigt die Cyberkriminalität. Auch Schweizer KMU sind immer häufiger davon betroffen. Gemäss einer Studie des Markt- und Sozialforschungsinstituts gfs-Zürich war 2017 jedes dritte KMU bereits Opfer einer Schadsoftware wie Viren oder Trojaner. Sind Schweizer KMU ungenügend geschützt? «Das Sicherheitsniveau ist sehr unterschiedlich, aber wirklich gut geschützt ist keines. Einen einigermassen vernünftigen Standard erreichen meist nur die grossen wie Banken, die ABB oder Nestlé», sagt Christian Thiel, Dozent für Wirtschaftsinformatik am Institut für Informations- und Prozessmanagement der Fachhochschule. Inhouse hätten sie zumindest das nötige Know-how, doch ihre Ressourcen seien knapp, und umfassende Investitionen in die Datensicherheit blieben oft aus.
KMU unterschätzen Risiko
In kleineren Firmen fehlt oft das Bewusstsein, wie dringlich das Thema ist. Umso mehr, wenn bisher nichts passiert ist. Nur: Während ein Angriff auf kritische Infrastrukturen schnell bekannt wird, bemerken Unternehmen einen solchen oft gar nicht. «Selbst grosse Unternehmen mit guten Überwachungsmöglichkeiten stellen manchmal erst zwei Jahre später fest, dass sie gehackt wurden», sagt Christian Thiel.
Betrug, Erpressung und Spionage
Je technischer und vernetzter die Welt wird, desto höher ist das Risiko eines Angriffs. Für alle. Mit dem Diebstahl von Daten oder Know-how ist viel Geld zu verdienen. Hacking ist zu einem boomenden Geschäft geworden. «Die Hacker sind mittlerweile besser organisiert als IBM», sagt Christian Thiel. Sie handeln im Auftrag oder verkaufen die gestohlenen Daten dem Meistbietenden. Dabei gehen sie immer professionalisierter und gezielter vor. «Sie kennen das Unternehmen und die Abläufe», sagt Christian Thiel. Ein Beispiel: Der Chef ist auf Verkaufstour in Asien. Die Hacker schreiben in seinem Namen eine E-Mail und fordern für einen Geschäftsabschluss eine dringende Überweisung an. Niemand schöpft Verdacht, da die Hacker sich in der E-Mail auf internes Wissen beziehen. «Für 100'000 Franken lohnt sich eine vierwöchige Recherche durchaus. Solche Betrugsfälle gibt es immer wieder.»
Erpressung ist bei Hackern ebenfalls beliebt. Sie verschlüsseln wichtige Geschäfts- und Kundendaten und geben sie nur gegen Bezahlung wieder frei. «Kann die Firma die Kunden zwei Wochen lang nicht beliefern, kann das durchaus ihre Existenz gefährden», sagt Christian Thiel. Schätzungsweise 23'000 KMU waren 2017 schweizweit gemäss oben genannter Studie von einer Erpressung betroffen.
Internet öffnet Hackern Türen
Für Hacker gibt es unzählige Angriffspunkte, denn Sicherheitslücken öffnen sich, sobald ein Unternehmen online ist – ob mit einem E-Mail-Dienst, einer Website oder mit einem Online-Shop. «Oft gelingt ein Angriff auch mit ganz banalen Mitteln. Mit einem USB-Stick etwa, der als Geschenk abgegeben wird oder herumliegt», sagt Christian Thiel. Steckt man ihn in den Computer, lädt man auch gleich einen Virus oder Trojaner auf den Rechner.
Risikofaktor Mensch
Der Mensch ist der grösste Risikofaktor. «Mitarbeiter auf allen Stufen müssen sensibilisiert und geschult werden, sodass sie nicht achtlos auf jeden Link klicken», sagt Christian Thiel. Hacker gelangten oft sehr leicht an Passwörter und Logindaten. Zum Beispiel mit einem fingierten Wettbewerb. Die Teilnehmer beantworten Fragen zu ihren Hobbys, Haustieren, etc. und geben ihre E-Mail-Adresse an. Diese ist ein wichtiger Teil des Logins. Und mit den anderen Informationen ist das Passwort schnell geknackt. «Angriffe erfolgen oft über Dritte. Auch bei grossen Unternehmen», sagt Christian Thiel. Hacker nehmen sie nicht direkt ins Visier, sondern verschaffen sich Zugang über kleinere Zulieferer.
Gutes Risikomanagement nötig
Malware-Schutz, Firewall, Patch-Management und Backup – Grundschutzmassnahmen sind nicht in allen KMU Standard. «Viele haben keine eigene IT-Abteilung, sondern vertrauen auf Dienstleister», sagt Christian Thiel. Das sei besser als nichts. «Wer sich aber wirklich schützen will, der muss wissen, welche Daten er hat und welche er schützen will.» Eine Risikoanalyse zeige dann, wo gehandelt werden müsse. «Sie ist Chefsache. Technisches Verständnis braucht es dafür nicht zwingend. Es geht darum, die Risiken zu erkennen.» Allerdings sollte die Risikoanalyse als regelmässiger Prozess installiert werden.
Künftig neue Angriffspunkte
Die Digitalisierung bringt zudem neue Angriffspunkte. «Früher gab es zwischen den Produktionsanlagen und der IT keine Verbindung. Heute sind die Systeme zunehmend vernetzt und online», sagt Christian Thiel. Nur träfen hier zwei Welten aufeinander. Oft fehle das gegenseitige Verständnis, was Sicherheitslücken begünstige.
Produkte werden ebenfalls immer intelligenter. Unternehmen müssen sich deshalb stärker Gedanken um den Kundenschutz machen. Ihre Produkte sollen nicht von Dritten missbraucht werden können. «Smarte Produkte senden Daten, Kunden könnten abgehört werden. Oder Dritte könnten eine Baumaschine oder eine Drohne hacken und sie übernehmen», sagt Christian Thiel. Weil Hacker immer professioneller agierten, könnten Angriffe künftig kaum verhindert werden. «Immer wichtiger wird darum, dass Angriffe so schnell wie möglich entdeckt werden, damit die betroffenen Unternehmen reagieren können.»
JEDES DRITTE KMU IST BETROFFEN
Jedes dritte KMU in der Schweiz ist von einem Cyberangriff betroffen. Trotzdem glauben nur vier Prozent der CEOs, dass ein solcher ihre Existenz gefährden könnte. Dies zeigt eine Umfrage des Markt- und Sozialforschungsinstituts gfs-zürich von 2017. Schätzungsweise 23'000 Firmen sind von Erpressung, 209'000 von Malware wie Viren oder Trojanern betroffen. Zum Schutz vor Cyberrisiken hat der Bund den IKT-Minimalstandard erarbeitet. Er richtet sich vor allem an Betreiber von kritischen Infrastrukturen, anwenden kann ihn aber jedes Unternehmen. Und seit September gibt es einen Schnelltest, mit dem KMU ihren Schutz prüfen können.