Wie sich eine gute Cybersecurity organisieren lässt

VON PHILIP HAUTMANN

Schweizer Unternehmen sind auf Cyberattacken immer noch schlecht vorbereitet. Doch eigentlich wären Investitionen in die Cybersicherheit wichtig. Denn wenn es passiert, sind die Kosten immens hoch. Ein Überblick, was es im Bereich Cybersecurity zu beachten gilt.

Ein erheblicher Teil der Schweizer Firmen wurde bereits Opfer einer Cyberattacke. Und die Risiken werden immer grösser und komplexer. Dennoch machen vor allem Schweizer KMUs im Bereich Cybersicherheit kaum Fortschritte. Zu diesem Schluss kommt eine Studie von Allianz Digitale Sicherheit Schweiz, Digitalswitzerland, der Fachhochschule Nordwestschweiz (FHNW), der Mobiliar und der Schweizerischen Akademie der Technischen Wissenschaften (SATW).
In dieser Studie geben 11Prozent der befragten Firmen an, bereits Opfer einer Cyberattacke gewesen zu sein, bei der ein erheblicher Aufwand nötig war, um den Schaden zu beheben. Der Bund gibt an, dass ein Drittel aller kleinen und mittleren Unternehmen unter 50 Mitarbeitern Opfer von Cyberbedrohungen geworden sind. Der internationale Cisco Cybersecurity Readiness Index 2023 ermittelt gar, dass 61 Prozent aller Schweizer Firmen (weltweit 60Prozent) in den letzten 12 Monaten einen Cyber-Sicherheitsvorfall erlebt haben. Andere Analysten prognostizieren einen weltweiten Schaden von 10,5Billionen Dollar durch Cyberkriminalität im Jahre 2025 – im Rahmen einer stetig steigenden Tendenz.

ORGANISATORISCHE
MASSNAHMEN VERNACHLÄSSIGT
In der eingangs erwähnten Studie zeigt sich ein unverändertes Bild im Hinblick auf die Massnahmen, die Schweizer Unternehmen zu ihrem Selbstschutz einsetzen. Dabei bewegen sich die eingesetzten Massnahmen auf einem relativ hohen technischen Niveau. «Regelmässige Softwareupdates» oder der «Einsatz von Firewalls» sind unter Schweizer Firmen gang und gäbe. Bei den organisatorischen Massnahmen jedoch hinkt man hinterher. «Regelmässige Mitarbeiterschulungen» und die «Durchführung von Sicherheitsaudits» liegen am unteren Ende der Skala.

Zwar sei ein Bewusstsein für die Bedrohungen vorhanden: knapp zwei Drittel (65Prozent) der Befragten schätzen das Thema als eher oder sehr wichtig ein. Auch will die Hälfte aller befragten Unternehmen in den nächsten drei Jahren die Sicherheitsmassnahmen erhöhen («eher oder sehr wahrscheinlich»). Doch lag dieser Wert im Vorjahr ein wenig höher (55Prozent) und trotzdem ermittelte die Studie ein unverändertes Bild bei den umgesetzten Massnahmen.

MENSCH IST SICHERHEITSRISIKO NUMMER 1
Gerade die Nachlässigkeit in der Schulung und Sensibilisierung der Mitarbeitenden ist eine echte Sicherheitslücke. Denn der Risikofaktor Nummer 1 in der Cybersicherheit ist und bleibt der Mensch. Mehr als 80 Prozent aller Cybersicherheitsvorfälle sind auf menschliches Fehlverhalten zurückzuführen. Dabei erscheint dieses Fehlverhalten leicht vermeidbar. Phishing- mails oder dubiose Anfragen nach Kreditkartendaten sind normalerweise leicht als solche erkennbar. Allerdings sind die Situationen, in denen diese eingebettet sind, nicht immer leicht durchschaubar. In Stresssituationen oder wenn man glaubt, es mit einem vertrauenswürdigen oder gar bekannten Gegenüber – eventuell einem Lieferanten oder einem Kundensupport – zu tun zu haben, verliert man leichter den Überblick. Und gewiefte Cyberkriminelle stellen solche Situationen her. Vor allem aber steigt mit der Mitarbeiterzahl auch die Zahl der Personen, denen – aus irgendwelchen Gründen – ein Fehler unterlaufen kann.

Auch von Mitarbeitern in Eigenregie durchgeführte Softwareupdates können Einfallstore für Malware sein. Die Einführung eines infizierten USB-Sticks in das Betriebssystem oder der Anschluss eines infizierten Laptops. Softwareupdates sollten von der IT-Abteilung genehmigt werden, damit sich keine «Schatten-IT» im eigenen System aufbaut. Auch sollten Mitarbeiter, sobald sie eine Sicherheitslücke entdecken oder dubiose Mails erhalten, die IT-Abteilung informieren und diese das Sicherheitsrisiko allfällig an alle Mitarbeitenden kommunizieren. Denn auch andere Mitarbeitende könnten diese Phishingmails erhalten haben, damit aber sorgloser umgehen. Last not least seien alle Mitarbeitenden darauf hingewiesen, starke Passwörter zu verwenden und diese regelmässig zu erneuern. In sensiblen Bereichen sollte man auf Multifaktor-Authentifizierung setzen. Doch auch die ist für menschliches Versagen anfällig. Daher ist es wichtig, alle Mitarbeitenden für diese Gefahren regelmässig zu sensibilisieren.

REMOTE WORK UND VERNETZTHEIT
ERHÖHT DIE EINFALLSTORE

Eine neue Dimension erhalten die Cyberbedrohungen über das Arbeiten aus dem Homeoffice oder gar im gänzlich ungeschützten öffentlichen Raum. Auch wenn mehr und mehr Firmenchefs dem Remote Working – aus diversen Gründen – zunehmend skeptisch gegenüberstehen und es zurückzufahren versuchen, ist diese Art von Arbeit gekommen, um zu bleiben. Dabei erhöht das Remote Working die Einfallstore für Cyberattacken. Auch daraufhin muss die Belegschaft sensibilisiert werden. Beziehungsweise muss sich die Firmenleitung überlegen, wie viel Zugang zu ihrem internen System sie von aussen aus gestattet, beziehungsweise muss sie für einen abgesicherten Remote Access sorgen.

Auch die zunehmende Vernetztheit erhöht die Risiken, dass sich Cyberkriminelle den Weg ins System bahnen: das Internet of Things, die Smart Factory, die Vernetzung und Digitalisierung der Betriebstechnologie und Betriebsinfrastruktur (engl. Operational Technology oder kurz OT). Damit wird Cybersicherheit nicht allein mehr zu einem IT- sondern auch zu einem OT-Problem. IT ist aber nicht OT und daher bedarf es unterschiedlicher Sicherheitsmassnahmen auf verschiedenen Ebenen.

UMFASSENDES
SCHUTZKONZEPT ERFORDERLICH

Damit ein Unternehmen umfassend vor Cyberbedrohungen geschützt ist, sollte ein mehrdimensionaler All-in-One-Cyberschutz vorliegen, der IT- und OT-Netzwerkumgebungen gleichermassen abdeckt. Ist der Cyberschutz Stückwerk, bleibt er unübersichtlich und unzuverlässig. Ein Vorfallreaktionsplan (Incident Response Plan) sollte ausgearbeitet werden. Ein solcher umfasst alle Massnahmen, die zur Vorbereitung auf einen Cyberangriff und zu dessen Identifizierung und Eindämmung unternommen werden. Er enthält auch schrittweise Anweisungen, wie alle Mitarbeiter auf verschiedene Szenarien reagieren müssen. Eine Cyberversicherung ersetzt einen Schadensfall. Für deren Abschluss ist ein solcher Plan aber obligatorisch.

Es sollte in jeder Firma einen Cybersecurity-Verantwortlichen geben und es sollten externe Berater zugezogen werden. Gerade kleinere Firmen mögen sich fragen, ob sich dieser Kostenaufwand lohnt. Der Kostenaufwand, den ein Produktionsausfall über mehrere Stunden oder gar Tage verursacht oder eine Lösegeldforderung sind aber schnell um ein Vielfaches höher als entsprechende Investitionen in die Cybersicherheit. Kosten für Aufbau, Erhalt und Wartung einer Security-Umgebung gehören daher ebenso ins Budget aufge- nommen wie ein Posten für Gebäudereinigung.

CYBERSECURITY IST CHEFSACHE
Vor allem aber ist Cybersicherheit eins: Cybersicherheit ist Chefsache. Sie adressiert sich als Verantwortung an die Firmenleitung. Da der Schaden eines Cyberangriffs die Firma insgesamt betrifft, obliegt es der Firmenleitung, einen Plan für die firmeninterne Cybersicherheit auszuarbeiten und Verantwortungen und Kompetenzen klar zu verteilen. Und die Kommunikation am Laufen zu halten. Mangelhafte Zusammenarbeit der Firmenleitungen mit ihren Sicherheitsbeauftragten und Frustration unter letzteren sind in der Realität keine Seltenheit.

INTERNATIONALES SECURITY
OPERATIONS CENTER
In Basel ist bezüglich Cybersicherheit einiges in Bewegung. 2021 wurde der Security Operation Center Hub (SOC) in Basel eröffnet. Hinter dieser Investition steckt Vinci Energies. Über dieses SOC wird nicht nur die unternehmenseigene Infrastruktur überwacht. Unternehmen aller Art können sich im Hinblick auf eine Risikominimierungsstrategie beraten lassen. Geboten wird höchste fachliche Expertise und ein klares Leistungsversprechen in den vier grossen Handlungsfeldern Vulnerability Scan, Penetration Testing, Managed Detection and Response und Managed Services.

Derzeit beschäftigt das SOC in Basel über 100 Cyberschutz-Fachkräfte. Ehrgeiziges Ziel ist es, zum führenden Hub in Europa zu werden. Die Zusammenarbeit soll länderübergreifend stattfinden und – gemäss der länderübergreifenden Bedrohungslage und der länderübergreifend agierenden Cyberkriminellen – ein internationales Wissen und Know-how schaffen. Um die 300Expertinnen und Experten soll das SOC Basel schliesslich zusammenführen und zusammen- arbeiten lassen.