«Cyberangriffe sind eine Folge von Angebot und Nachfrage»

«Cyberangriffe sind eine Folge von Angebot und Nachfrage»

In Zeiten von Homeoffice und Krieg haben auch Cyberkriminelle Hochkonjunktur. Wie bedrohlich die aktuelle Situation für Unternehmen ist und wie sie sich schützen können, erklärt Cyber-Security-Expertin Nathalie Weiler von der OST – Ostschweizer Fachhochschule.

Weshalb nehmen Cyberangriffe auf Unternehmen stetig zu?
Nathalie Weiler: Cyberangriffe sind unterm Strich eine Folge von Angebot und Nachfrage: Durch die Digitalisierung verschieben wir attraktive Werte ins Netz. Oft werden diese Daten online aber nicht gleich gut geschützt, wie in der analogen Welt. Die Cyberkriminellen nutzen logischerweise das attraktivere Angebot bzw. das leichtere Ziel für ihre Zwecke.

Und es trifft unterdessen auch vermehrt Unternehmen ohne digitales Geschäftsmodel …
Das ist richtig. Weil einfache Massenangriffe (z.B. Ransomware) leicht verfügbar sind, sind vermehrt auch Firmen ohne digitales Geschäftsmodell wie etwa Produktionsbetriebe im Fokus der Angreifer, weil sich mit Angriffen auf solche digital oft nicht gut geschützten Unternehmen leichter Geld verdienen lässt, als mit Angriffen auf professionell geschützte Digital-Konzerne.

«Es geraten auch Firmen ohne digitales Geschäftsmodell in den Fokus der Angreifer.»

Gibt es bestimmte Branchen und/oder Unternehmen, auf die es Angreifer besonders oft abgesehen haben?
Angreifer haben unterschiedliche Ziele: Billige Massenangriffe greifen vor allem unzureichend geschützte Unternehmen ausserhalb der IT Branche an. Hier erhoffen sich die Angreifer leichteres Spiel, weil häufig weder das Wissen noch die Mittel zur Verfügung stehen, um den Schutz effizient zu realisieren. Daneben sehen wir aber immer noch zielgerichtete, aufwendige Attacken auf Einzelunternehmen zum Zweck des Datendiebstahls, zur Datenveränderung oder für Industriespionage. Auch hier ist die Nachfrage vorhanden. Generell kann man also nicht sagen, dass eine Branche speziell ausgeschlossen ist. Solange die Digitalisierung sie erreichbar macht, und der Markt für die Güter der Cyberkriminellen vorhanden ist, werden auch die Angriffe nicht abnehmen.

Wie sehr hat der Ukraine-Krieg und der damit verbundene Cyber-Krieg die Situation verändert?
Aktuell scheinen sich viele Überlegungen und Vermutungen über die durch die Kriegssituation begünstigte Angriffe zu bestätigen.

Das heisst konkret?
Ich denke hier vor allem an die gezielte Verbreitung von Falschinformationen (auch als Fake News betitelt). Eine genaue und objektive Analyse ist aber, wie eigentlich immer in einer Krisensituation, oft erst im Nachgang erstellbar. Um die Effektivität der Verteidigungsstrategien beurteilen und damit weiter entwickeln zu können, fehlt aktuell ein genauer Überblick.

Haben es russische Hacker auch auf Daten abgesehen oder geht es denen v.a. darum, Systeme lahmzulegen?
Belastbare Fakten, um die eine oder andere These zu unterstützen existieren kaum. Deshalb kann man eigentlich nur weiterhin davon ausgehen, dass alle Angriffsszenarien weiterhin realistisch bleiben.

«Gemäss NCSC gibt es in der Schweiz pro Woche rund 700 - 900 Angriffe.»

Wie oft werden Unternehmen weltweit und in der Schweiz aktuell Opfer von Cyberangriffen? Wie hoch ist die Dunkelziffer?
Nach den Zahlen des Nationalen Zentrums für Cybersicherheit (NCSC) pendeln sich die für die Schweiz gemeldeten Angriffe seit Jahresanfang auf einem hohen Niveau von rund 700-900 Meldungen pro Woche ein. Die grosse Mehrheit der Angriffe ist auf Betrug aus, häufig via den eingangs erwähnten billigen Massenangriffen. Andere ausländische nationale Zentren berichten ähnliche Tendenzen. Zur Dunkelziffer kann man nur Mutmassungen treffen, da für die meisten Angriffe keine Meldepflicht besteht. Der Schamfaktor ist erfahrungsgemäss immer noch sehr hoch.

Vor allem Angriffe über Mitarbeiter wie zum Beispiel mit Phishing-Mails gelten nach wie vor als eines der Haupteinfallstore in Unternehmen. Was kann/muss getan werden, um dieses zu schliessen?
Einfach gesagt: dieses Einfallstor akzeptieren. Es wird nicht verschwinden, sondern wir müssen die passende Strategie finden, um damit weiterhin arbeiten zu können. In der Fachsprache formuliert: Mehrere verschiedene Verteidigungsstrategien einsetzen und kombinieren – defense in depth, abgestimmt auf das Risiko des Unternehmens. Unseren Studierenden verbildlichen wir diese Denkweise meistens mit dem zwei Beispielen: Wie unterscheidet sich der Schutzbedarf des Kantinen-Menüplans von dem eines Zahlungssystems hinter einem Webshop? Logischerweise wäre beim Zahlungssystem mehr zu holen, also ist der Schutzbedarf dort höher.

Wird in den Unternehmen genug getan im Bereich Security Awareness?
Ein Basistraining für das gesunde Verhalten im Cyber Space ist sehr wichtig und die meisten Unternehmen haben diese Chance erkannt. Allerdings muss man sich immer vor Augen halten, dass jeder von uns Fehler macht, trotz guten Schulungen!

«Passwörter sind nur gut, wenn man sie wie ein Geheimnis behandelt.»

Auch «gute» Passwörter können Angriffe eindämmen. In diesem Bereich hört man allerdings immer wieder unterschiedliche Tipps. Was ist ein gutes Passwort und hilft es, wenn es regelmässig gewechselt wird?
Passwörter sind nur gut, wenn man sie wie ein Geheimnis behandelt. Erzählt man Geheimnisse anderen oder gibt man Hinweise auf den Inhalt, verlieren Geheimnisse ihren Wert. Ähnlich ist es bei Passwörtern: Gebrauch schwächt das Geheimnis. Lange hat man dieses Paradox durch regelmässige Passwortwechsel zu lösen versucht.

Das scheint aber nicht die beste Lösung zu, oder?
Nein, weil dabei unterschätzt wurde, dass sich Menschen selten sichere Passwörter ausdenken – denn diese sind in der Regel auch schwer zu merken. In der Praxis empfehlen wir einen guten Passwortmanger der automatisch generierte, sichere Passwörter erstellt und pro Account verwaltet. Den Manager selbst schützt man mit einer echten, komplexen Passphrase, die nur für diesen Zweck eingesetzt wird. So muss man sich nur ein kompliziertes Passwort merken.

«Ein Unternehmen sollte wissen, was es wie gut schützen muss.»

Was kann man als Unternehmen tun, um Cyber-Angriffe frühzeitig zu erkennen und bekämpfen zu können?
Oder anders gefragt: Was gehört neben geschulten Mitarbeitern und starken Passwörtern zwingend noch zu einem guten Risikomanagement? Das Unternehmen sollte wissen, was es wie gut schützen muss: alles perfekt schützen geht nicht. Und es sollte vorbereitet sein, d.h. Szenarien für Cybervorfälle vorbereitet und durchgespielt haben. So verliert man im Ernstfall keine Zeit mit der Adhoc-Planung von Prozessen und Massnahmen.

Und was sollte man machen, wenn man trotz aller Vorsichtsmassnahmen erfolgreich angegriffen wurde? Also wenn nichts mehr geht und man irgendjemandem 1 Bitcoin überweisen soll.
Ruhe bewahren und den vorbereiteten Plan anwenden und wenn nötig situativ. Zahlen würde ich nicht empfehlen, weil Ransomware-Attacken unpersönliche Massenangriffe sind. Eine Art Erpressung nach dem Giesskannenprinzip. Warum sollte sich der Angreifer überhaupt die Mühe machen, den Schlüssel zu geben, nachdem man gezahlt hat?

Werden Cyberangriffe in Zukunft (noch) häufiger oder wird die Abwehr-Software immer besser und kann so erfolgreiche Angriffe vermehrt verhindern?
Ich habe leider keine Kristallkugel für die Zukunft. Und ich würde sie auch nicht wollen, falls es sie irgendwann geben würde, weil die effizientesten Weiterentwicklungen in der Cyber Security durch Angriffe entstanden sind. Wir lernen durch die Angriffe viel schneller und besser, als wenn wir uns im friedlichen Alltag Schutzmassnahmen für theoretische Angriffsszenarien überlegen. Wovon wir aber alle profitieren können, ist das Teilen von Informationen zu Angriffen. Wird das kombinierte Wissen von angegriffenen Organisationen richtig angewandt, lässt sich häufig die beste Verteidigung aufbauen!

Interview: Patrick Stämpfli
Bild: Marlies Thurnheer

Newsletter