Schweizer KMUs im Visier – so können sie sich vor Angriffen schützen

Die Schlagzeilen über erfolgreiche Angriffe haben in den vergangenen Jahren stetig zugenommen. So zeigt das Nationale Zentrum für Cybersicherheit (NCSC) in seinem Jahresbericht 2022 einen Anstieg von mehr als 20 Prozent bei den gemeldeten Cybervorfällen im Vergleich zum Vorjahresbericht. Neben dem klassischen Betrug kristallisieren sich Ransomware-Angriffe als neues lukratives Mittel für den Cyberangriff auf Unternehmensebene heraus. 

2023 waren laut einer britischen Studie schon knapp 60 Prozent der Schweizer Unternehmen von einem Ransomware-Angriff betroffen. Auf internationaler Ebene erbeuteten Kriminelle bereits hunderte Millionen US-Dollar Lösegeld. Angesichts dieser lukrativen Möglichkeit haben sich Cyberkriminelle zu einer ausgeklügelten und florierenden Untergrundwirtschaft zusammengeschlossen, die wahrscheinlich nicht so schnell verschwinden, sondern sich eher noch weiter verdichten wird. 

In der Schweiz nimmt dieses Phänomen rasch Fahrt auf und es sind Unternehmen jeglicher Art und Grösse betroffen. So zeigt eine Auflistung der gemeldeten Vorfälle in den vergangenen zwölf Monaten eine Vielzahl von Betroffenen: Arztpraxen, Gemeinden, Autohäuser, Logistikunternehmen, Universitäten, aber auch Grossbetriebe wie die Migros oder Media Markt Saturn. Hinzu kommt eine deutlich höhere Dunkelziffer, die den Behörden nicht gemeldet oder von den Betroffenen überhaupt entdeckt wurde. Klar ist, die Angreifer bedrohen kritische Infrastrukturen, die fortwährende Existenzfähigkeit von Unternehmen sowie das Vertrauen der Schweizer Verbraucher.

Was kann auf Unternehmensebene getan werden?

Bei dieser Frage besteht eine hohe Chance, rasch in endlose ­Diskussionen und in das Wälzen zahlreicher Studien und Ratgeber zu versinken, oder man holt sich direkt professionelle Unterstützung.

Oberste Priorität hat hier ein sogenannter «Game Plan», den jede Firma im Falle eines Angriffs in der Schublade parat haben sollte. Dieser erweist sich nicht nur als Orientierungshilfe, sondern auch als zentrales Dokument, wenn es darum geht, Versicherungshilfe zu beziehen oder im schlimmsten Fall das Business wieder neu aufzubauen. Damit es gar nicht erst dazu kommt, gibt es verschiedene Möglichkeiten der Prävention.

Wer ist im Visier der Angreifer, und was kostet es, sich zu schützen?

Die Analyse der Angriffe im Jahr 2023 zeigt vorrangig eine steigende Zahl an Attacken auf KMU-Betriebe, da sich die Angreifer durch die eingeschränkten Mittel vieler KMUs hier das schnelle Geld versprechen. 

Zu wenige Ressourcen, zu wenig Know-how und keine Zeit machen KMUs zu einem gefundenen Fressen für Cyberkriminelle. Doch was wäre, wenn eine massgeschneiderte Lösung etwa so viel kostet wie die jährliche Anzahl Kaffeekapseln eines Mitarbeiters? Im Gegenzug erspart man sich im Schnitt drei Monate Stillstand, sechsstellige Erpressungssummen und den Reputationsverlust der Firma.
 

"Nur wenige möchten zugeben, dass sie Opfer eines Cyberangriffs geworden sind"

Nicht nur grosse Unternehmen, sondern auch KMUs werden Opfer von Ransomware-Angriffen. Aus Angst vor Image­verlust melden sie solche Angriffe aber nicht immer den Behörden. Im Interview erklärt Michael Wandrey, welche ­Folgen das hat. Interview: Marc Landis

Warum sind KMUs attraktive Ziele für Cyberkriminelle?

Michael Wandrey: KMUs haben oft mit einem Mangel an Ressourcen zu kämpfen. Folglich fehlt es ihnen häufig an Fachwissen und Personal, um Cyberkriminalität wirksam zu bekämpfen. Da KMUs zunehmend die Bedeutung digitaler Daten für die Kontinuität ihres Unternehmens erkennen, greifen sie möglicherweise auf die "Bezahlmasche" von Cyberkriminellen zurück. Allerdings enden die Herausforderungen damit nicht. Erstens ist der Prozess der Datenwiederherstellung mühsam, und die Erwartung einer hundertprozentigen Wiederherstellung ist bestenfalls optimistisch. Zweitens ist davon auszugehen, dass der Angreifer die Schwachstellen absichtlich nicht behebt, sodass er diese möglicherweise erneut ausnutzen kann.

Warum hat sich die Haltung bei KMUs, dass sie für Cyber­kriminelle uninteressant seien, mit der zunehmenden Verbreitung von Ransomware-Angriffen geändert?

Eine wachsende Zahl von KMUs hat erkannt, dass ihre digitalen Daten die Grundlage ihrer Geschäftstätigkeit sind. Dieses Bewusstsein wurde durch die unmittelbaren Erfahrungen von Unternehmen gestärkt, die Opfer von Datenverschlüsselungsvorfällen geworden sind. Solche Vorfälle haben nicht nur den Verlust wichtiger Informationen zur Folge, sondern auch weitreichendere Konsequenzen wie gestörte Arbeitsabläufe, einen beschädigten Ruf und die Unfähigkeit, Projekttermine einzuhalten. Rückschläge wie diese haben zahlreiche KMUs gezwungen, die tiefgreifende Bedeutung ihrer Datenbestände zu überdenken.

Warum gibt es Unternehmen, die Opfer eines Ransomware-­Angriffs geworden sind und das nicht den Behörden melden, und welche Folgen hat dieser Umstand?

Das hat mit Image zu tun. Nur wenige möchten offen zugeben, dass sie Opfer eines Cyberangriffs geworden sind. Diese Neigung ist zwar verständlich, bringt aber auch ein Gefühl der moralischen Missachtung mit sich. Das National Cyber Security Center NCSC plädiert nachdrücklich dafür, solche Vorfälle zu melden. Dazu gibt es mehrere Gründe: das Sammeln von Daten und Erkenntnissen aus Statistiken über Vorfälle, die bedauerliche Tatsache, dass Löse­geldzahlungen kriminelle Unternehmen finanzieren, und die hohe Wahrscheinlichkeit, dass sich derartige Vorfälle in naher Zukunft wiederholen. Ohne einen offenen Diskurs ist es angesichts der Dunkelziffer nicht gemeldeter Fälle nicht möglich, wirksame Gegenmassnahmen zu entwickeln.

Wie können ICT-Distributoren und ihre Partner Anwender­unternehmen helfen, ihre Cybersecurity in den Griff zu ­bekommen?

Wenn sie sich aus Ressourcenmangel nicht selbst darum kümmern können, ist es sinnvoll, einen Partner hinzuzuziehen. Der erste Schritt zum Erfolg ist die Prävention, dann die Ausarbeitung einer Notfallstrategie (Cyber Resilience Plan). Ausserdem ist es ratsam, die digitale Infrastruktur auf potenzielle Schwachstellen zu prüfen, die von aussen ausgenutzt werden könnten (Pentests).

Welche Bedeutung hat ein «Game Plan» im Zusammenhang mit Cybersecurity und welche Punkte muss er enthalten?

In dieser Hinsicht gibt es mehrere Ansätze. Die Erstellung eines NIST-Cyberplans (National Institute of Standards and Technology) mag für manche KMUs nicht realisierbar sein. Daher ist es wichtig, eine umfassende Strategie auszuarbeiten, die präventive Massnahmen und reaktive Aktionen kombiniert. Diese Strategie sollte die folgenden Schlüsselelemente beinhalten: 1. Datenverständnis, 2. stabile Backup-Strategie kombiniert mit Cyber Recovery, 3. Notfallplanung, 4. vorbeugende Überwachung und 5. Beauftragung eines vertrauenswürdigen Partners.