Es ist ernüchternd: Gelingt es Hackern, einen Server, Computer oder ein mobiles Endgerät zu verschlüsseln, ist die Chance, an die Daten wieder heranzukommen, verschwindend klein. Georg Zimmer, Cyber Security Consultant beim auf IT Security spezialisierten Unternehmen Wizlynx Group, beziffert diese auf ungefähr ein Prozent. Ebenfalls ernüchternd ist die Tatsache, dass das Bewusstsein für die Häufigkeit von Cyberattacken in den vergangenen Monaten wohl stark gestiegen ist, viele Unternehmen und Privatpersonen aber nach wie vor davon ausgehen, dass sie nie von einem Hackerangriff betroffen sein werden.
Dass dies ein Trugschluss ist, zeigen die sich häufenden Meldungen von Cyberattacken, die nur die Spitze des Eisbergs darstellen, denn längst nicht alle Angegriffenen gelangen an die Öffentlichkeit. Zu den häufigsten Betrugsarten gehören zurzeit Ransomware, Datenabfluss, Rechnungsmanipulationen, Check- oder CEO-Betrug.
Dieser Artikel ist Teil der Market Opinion «Cyber-Angriffen mit Prävention begegnen», die in Zusammenarbeit mit der Baloise realisiert wurde.
Gezielte Prävention muss nicht viel kosten
Tatsache ist: Ob lokales Gewerbeunternehmen oder internationaler Grosskonzern, Cyberattacken können jedes Unternehmen treffen und der Verlust oder die Veröffentlichung von Unternehmensdaten und der Ausfall von IT-Systemen hinterlassen in den meisten Fällen im Unternehmen nicht nur Bremsspuren, sondern eine beschädigte Reputation sowie einen beträchtlichen finanziellen Schaden.
Aus diesem Grund ist Prävention das A und O. Dabei nehmen Unternehmen am besten einen risikobasierten Ansatz als Grundlage, um eine Präventionsstrategie zu entwickeln. Die Anschaffung von teuren Sicherheitssystemen steht dabei nicht zwingend an erster Stelle. Denn Basis-Vorsorge, so Georg Zimmer, muss entgegen häufig gehörter Befürchtungen nicht unbedingt viel kosten. «Regelmässige funktionierende Backups, eine gut konfigurierte Firewall sowie die kontinuierliche Aktualisierung der vom Hersteller oder Betreiber zur Verfügung gestellten Sicherheitspatches auf allen Geräten und Systemen bieten bereits eine wenn auch minimale Sicherheitsbasis und gehen nicht ins Geld.»
Schwachstelle Mensch
Allerdings reichen diese Massnahmen heutzutage nicht mehr aus. Denn der häufigste Angriffspunkt und damit das Hauptrisiko ist schon lange nicht mehr die Technologie, sondern der «Faktor Mensch». Mit gezielten Phishing-Angriffen werden im ersten Schritt meist Passwörter gestohlen, mit denen dann der Zugriff auf weitere Datensysteme erfolgt.
Die Sensibilisierung von Mitarbeitern z. B. durch Schulungen und andere Awareness-Massnahmen steht dabei an erster Stelle. Prävention geht aber noch weiter: Regelmässige Social Engineering Assessments durch externe Spezialisten zeigen zum einen die bestehenden Schwachstellen auf und zum anderen, wie sich diese gezielt aufheben lassen.
Neben dem Faktor Mensch sollte aber auch die technische Basis-Vorsorge eines Unternehmens regelmässig mit Security Assessments und Audits überprüft werden. Das hilft nicht nur, kurzfristig Schwachstellen zu beseitigen und das Sicherheitsniveau zu erhöhen, sondern auch langfristig, um Investitionen in die IT-Sicherheit zu budgetieren und zu priorisieren.
Systemarchitektur und Organisation anpassen
Aus seinem Alltag weiss der Sicherheitsexperte, dass diese an und für sich einfachen Massnahmen noch immer nicht von allen Unternehmen befolgt werden. Warum dem so ist, kann er nur vermuten. Für viele Unternehmerinnen und Unternehmer habe die IT keine grosse Priorität und gerade bei KMU sei die IT-Landschaft oft historisch gewachsen und niemand fühle sich so richtig zuständig dafür. «Da ist es neben den oben genannten Massnahmen zentral, dass die Unternehmen ihre Architektur zugunsten der Sicherheit neu aufstellen.»
Zudem empfiehlt er, neben den IT-Systemen auch die Organisation an die aktuellen Gegebenheiten anzupassen. Will heissen: IT-Sicherheit sollte nicht nur die Aufgabe einer oder eines IT-Verantwortlichen oder eines damit beauftragen Partnerunternehmens sein, sondern ein zentraler Bestandteil der Governance und damit auch der Arbeit der Geschäftsführung.
Neben der klar geregelten Zuständigkeit ist es unabdingbar, die Verantwortlichkeiten sowie die Prozesse im Falle eines Falles, sprich Angriffs, sowie den Umgang mit sensiblen Daten zu regeln. «Und auch der Sensibilisierung aller Mitarbeitenden im Umgang mit der IT-Infrastruktur kommt eine wichtige Bedeutung zu», betont der Sicherheitsexperte.
Backups regelmässig überprüfen
Eine weitere wichtige und kostengünstige Massnahme zur Erhöhung der Widerstandsfähigkeit gegen Ransomware-Attacken sind regelmässige Backup- und Restore-Übungen. Will heissen: regelmässig zu testen, ob alle zuständigen Personen wissen, wo die Backups zu finden sind, und ob die Sicherungskopien vollständig wieder eingespielt werden können.
Kommt es trotz diesen Vorsichtsmassnahmen zu einem Angriff, rät Georg Zimmer dazu, möglichst rasch herauszufinden, welche Daten betroffen sind und wie betroffene Geräte sofort vom Netzwerk getrennt werden können. «Bei allfälligen Erpressungsversuchen ist es unabdingbar, Spezialisten hinzuzuziehen, die nicht nur mit den Erpressern verhandeln, sondern sich auch technisch auskennen.» Denn: Auch wenn das Lösegeld bezahlt worden ist und die Daten wieder entschlüsselt sind, bleibt die Schadsoftware im System. Wird diese nicht entfernt, droht ein Teufelskreis.
Lesen Sie auch