Die fünf wichtigsten Fragen rund um das Thema Cybersicherheit:

Wer ist in der Verantwortung?

Die Verantwortung über Wohl und Verderben eines Unternehmens liegt in den Händen der Geschäftsleitung. Cyberkriminalität ist eines von vielen Geschäftsrisiken, das Unternehmende in Betracht ziehen müssen. Es sollte klar sein, welche Arbeitsabläufe früher oder später auf eine funktionierende IT angewiesen sind und welchen Stellenwert die Cybersicherheit deshalb haben sollte. Die Geschäftsleitung muss also die Erwartungen klar kommunizieren.

Partner-Inhalte
 
 
 
 
 
 

Der Autor: Cyrill Brunschwiler, Compass Security, Trägerschaft Swiss Cyber Defense DNA, kmuschutz.ch, Jona.

Der macht die Sicherheit?

Gefühlt bezahlen Unternehmen für ihre Informatik immer zu viel. Trotzdem sollten sie die IT besser nicht als Sportwagen, sondern eher als Skateboard betrachten.

HZ Insurance-Newsletter DAILY
Das werktägliche Newsupdate für Insurance-Professionals. Zur Tagesmitte erfahren Sie im «DAILY», was die nationale und internationale Versicherungswelt bewegt und worüber gerade gesprochen wird.
HZ Insurance-Newsletter DAILY

Es gibt kaum Regeln und Kontrollen. Einen Führerschein braucht es nicht. Davon auszugehen, der Skateboardhersteller würde die Fahrerinnen und Fahrer vor Verletzungen schützen und versuchen, Kollisionen zu verhindern, ist weit verfehlt. Die Geschäftsleitung hat zu definieren, vor welchen Gefahren sie das Unternehmen schützen will, und dann ein entsprechendes Fahrzeug anzuschaffen und die Lenkerinnen und Lenker auszubilden.

Wer sind die Angreifer und Opfer?

Unsere Notfallstatistik zeigt ein klares Bild: Unternehmen werden Opfer von organisierten Banden, die das schnelle Geld suchen. Wenn es dann im äussersten Schadensszenario darum geht, allfällige Lösegeldforderungen zu verhandeln, wird meist klar: Es geht den Angreifenden nicht um Geschäftsgeheimnisse, und es fällt den Erpresserinnen und Erpressern oft schwer, den Wert der entwendeten beziehungsweise verschlüsselten Daten zu argumentieren. Die Unternehmen sind meist zufällig Opfer von gross angelegten Kampagnen, die einem Standardschema folgen. Schnelles Geld lässt sich eben nur mit repetierbaren Abläufen und Skalierungseffekten erzielen. Die Darstellung von gehackten Firmen, es handle sich um äusserst gewiefte Angreifende und eine nie gesehene Vorgehensweise, trifft für öffentlich bekannte Fälle so gut wie nie zu. Folglich sind also die typischen Angriffsszenarien bekannt, und insofern können auch die Massnahmen pragmatisch abgeleitet und umgesetzt werden.

Was sind typische Fälle?

Fehlende Updates, die Infektionen von Arbeitsstationen sowie abhandengekommene Zugangsdaten sind mit Abstand die häufigsten Ursachen. Diese drei Punkte sind die Haupttreiber für rund 80 Prozent der von uns bearbeiteten Fälle.

Welche Massnahmen sind erforderlich?

Die Schweizer Initiative «Swiss Cyber Defense DNA» bildet die wichtigsten sechs Massnahmen auf einer A4-Seite ab und zeigt auf, was organisatorisch und technisch angegangen werden sollte. Am wichtigsten ist eine aktuelle und unveränderbare Datensicherung. Tritt ein Schaden ein, soll sichergestellt sein, dass die Angreifenden die Daten nicht löschen können und der Firma die Möglichkeit bleibt, den Betrieb wieder aufzunehmen. Am besten wird präventiv verhindert, dass ein bekannter Schadcode eingeschleust werden kann. Virenscanner oder, noch besser, Endpoint-Detectionand-Response-(EDR-)Software hilft dabei. Sie hat den Vorteil, dass das Incident-Response-Team – die Cyberfeuerwehr – im Schadenfall auf die Computer zugreifen und infizierte Systeme analysieren und vom Netzwerk abschotten kann.

Zudem sollten Netzwerke und Fernzugriffe abgesichert werden. Unternehmen müssen bei der Anmeldung bei Internetdiensten konsequent einen «zweiten Faktor» verlangen. Die Kosten dafür sind minimal, der Zeitaufwand ist gering und der Sicherheitsgewinn ist erheblich.

Weiter ist wichtig, dass besonders im Internet exponierte Dienste und Systeme in sehr kurzen Intervallen aktualisiert werden. Angreifende abonnieren die Hersteller-Updates ebenfalls. Sie vergleichen sie mit der früheren Software und erkennen so innert Stunden, wo eine Schwachstelle liegt. Man sollte sich auch überlegen, was im Fall der Fälle zu tun ist. Ist die Notfallnummer des Incident-Response-Teams bekannt und hatten die Spezialistinnen und Spezialisten je Gelegenheit, die Gegebenheiten ihrer IT-Umgebung im Vorfeld zu studieren?

Und wenn die Massnahmen umgesetzt sind? Dann heisst es, dranzubleiben, denn Cybersicherheit ist kein Zustand, sondern ein fortwährender Zyklus und eine Frage der Kultur.

Dieser Beitrag ist erstmals erschienen am 2. März 2023 im HZ Insurance Special «Cyber Risk» unter dem Titel «Der pragmatische Weg».