Warum gehört Cyberkriminalität zu den grössten Risiken für Unternehmen in der Schweiz? Marc Ruef wurde von Anna Birkenmeier zum Interview für die Zürcher Wirtschaft eingeladen und erklärt, wieso viele KMUs nach wie vor glauben, uninteressant für Cyberangreifer zu sein. Da sich Kriminelle jedoch immer perfideren Methoden bedienen, ist niemand vollumfänglich vor Cyberattacken geschützt. Wieso nach der Attacke gleichzeitig vor der Attacke ist, erläutert Ruef im Interview.

Wie gefährdet sind KMU für Cyberattacken?

Die Antwort erscheint paradox: Einerseits sind KMUs weniger attraktive Angriffsziele, da sie im Gegensatz zu einem Grosskonzern eine eher geringere Angriffsfläche bieten und auf eine Erpressung mit verhältnismässig wenig Kaufkraft reagieren können. Andererseits investieren sie weniger in die Cybersicherheit, was sie umso anfälliger macht. Grundsätzlich ist jede Person und jedes Unternehmen ein potentielles Angriffsziel. Es gibt immer irgendwo jemanden, der im Rahmen seines illegalen Geschäftsmodells entsprechenden Profit machen möchte.

Welche Vorgehensweise haben die Internet-Erpresser und was bezwecken Sie?

Traditionell wurden sogenannte DDoS-Attacken umgesetzt: Die Internet-Anbindung der Opfer wurde durch Überflutung unbrauchbar gemacht, um so eine Erpressung durchzusetzen. Obwohl diese Angriffstechnik jüngst eine kleine Renaissance erfährt, fokussieren sich die meisten Cyberkriminellen heutzutage auf Ransomware-Attacken. Hierbei wird in Systemen eingedrungen und Daten verschlüsselt. Damit die Opfer wieder Zugriff auf ihre Daten kriegen müssen sie ein Lösegeld bezahlen.

Was sind die möglichen Folgen eines Cyberangriffs?

Mit den meisten Cyberangriffen geht eine direkte Störung des Betriebs einher. Die Arbeitsleistung ist gemindert oder fällt komplett aus. Und falls die Störung nicht Teil des Angriffs selbst ist, ist spätestens die forensische Untersuchung während oder nach dem Angriff mit hohen Investitionen verbunden. Und beim Bekanntwerden von Angriffen können Reputationsschäden oder rechtliche Konsequenzen einhergehen. Das Stresslevel bei einem Zwischenfall ist für alle Beteiligten sehr hoch.

Relativ neu ist die Problematik der Triple Extortion, wo die Angreifer nicht nur versuchen die Opfer zu erpressen, sondern auch deren Kunden und Partner. Wie häufig kommt ein solches Vorgehen bei KMU vor und welche Konsequenzen drohen?

Triple Extortion ist ein eher unbeliebter Ansatz, da er für die Erpresser mit einem Mehr an Aufwand verbunden ist. Dieser wird nur angestrebt, wenn die gestohlenen Daten für die Kunden oder Partner einen hohen Wert haben. In erster Linie dann, wenn sensitive, heikle und private Informationen enthalten sind. Nur dadurch kann mit diesen genug Druck ausgeübt werden. Dies ist zum Beispiel bei politischen Informationen, Gesundheitsdaten oder sexuell kompromittierendem Material der Fall.

Was raten Sie KMU nach einer Attacke?

Nach der Attacke ist vor der Attacke. Nach dem erfolgreichen Abwehren der Attacke gilt es die spezifische Situation dieser und den allgemeinen Zustand der Organisation zu prüfen. Schwachstellen müssen aufgedeckt und Risiken als solche erkannt werden. Ein Minimieren dieser hilft zukünftig kein lohnendes Opfer mehr zu werden.

Von nur wenigen Unternehmen wird öffentlich bekannt, dass sie Opfer einer Attacke wurden. Aus Ihrer Erfahrung: Wie hoch ist die Dunkelziffer?

Viele betroffene Firmen vergessen die Geschehnisse lieber gleich wieder, als sich mit diesen systematisch auseinanderzusetzen. Erfahrungsgemäss kommen mehr als drei Viertel der erfolgreichen Angriffe nie an die Öffentlichkeit.

Weshalb ist eine offene Kommunikation nach einer Attacke wichtig?

Jeder, der sich im digitalen Raum bewegt, kann und wird irgendwann Opfer eines erfolgreichen Angriffs werden. Wichtig ist, dass man auch mit diesem Horrorszenario professionell umgehen kann. Vielen halbherzigen PR-Meldungen ist es anzusehen, dass den Firmen die IT-Security nicht wichtig war und zukünftig eigentlich auch nicht sein wird. Das dürfen wir als Gesellschaft nicht akzeptieren, denn zum Schluss leiden immer diejenigen, die sich nicht aktiv haben schützen können: Mitarbeiter und Kunden.

Kann mit einer Lösegeldzahlung der Schaden tatsächlich abgewendet werden?

Jeder Fall ist individuell. In den allermeisten löst eine Lösegeldzahlung das Problem nicht. Oftmals wird es gar verschärft, da man mit der Zahlungswilligkeit seine Attraktivität als Ziel erhöht. Im Idealfall wird einer Zahlung nur nachgekommen, um Zeit zu gewinnen, das Problem anderweitig nachhaltig zu lösen.

Ihrer Meinung nach: Sollte die öffentliche Hand einen Teil der Verantwortung für den Schutz der Schweizer KMU tragen?

Schäden sollen definitiv nicht durch die Öffentlichkeit getragen werden müssen. Die allermeisten Opfer sind nämlich auch Täter, indem sie durch eine kurzsichtige Gewinnmaximierung die Notwendigkeit von Cybersecurity vernachlässigt haben. Man kann nicht die digitale Transformation vorantreiben, ohne nicht auch zeitgleich Cybersecurity zu machen. Ein moderner Staat muss jedoch darum bemüht sein, professionell, systematisch und effizient Verbrechen im digitalen Raum bekämpfen zu können. Hier hat man in den letzten 10 Jahren definitiv Fortschritte gemacht.

Sie hacken im Auftrag von KMU, Firmen und Gesundheitsinstitutionen. Können Sie pauschal sagen, wie gut die Schweiz hinsichtlich ihrer Cybersecurity aufgestellt ist?

Schweizer Banken gehören seit jeher zu den bestgesicherten Organisationen weltweit. Diese haben früh die Risiken erkannt, entsprechende Budgets vorgesehen und wurden durch regulatorische Vorgaben zur Umsetzung gedrängt. Alle anderen Bereiche tun sich weder besonders positiv noch negativ im internationalen Vergleich hervor. Viele Manager denken in Quartalszahlen und abstrahieren so die Cyberrisiken weg. Die Konsequenz dieser Ignoranz beobachten wir gegenwärtig mit der massiven Zunahme der erfolgreichen Ransomware-Attacken.

Welches sind Ihre Haupterkenntnisse aus Ihrer Tätigkeit als Hacker?

Alles kann kompromittiert werden, wenn genug Ressourcen zur Verfügung stehen. Es wird immer jemanden geben, der mit einer Schwachstelle Geld verdienen will. Und viele Menschen tun sich schwer darin, Risiken richtig einschätzen zu können.

Haben Sie ein Bespiel eines gehackten KMU das Sie in besonders (positiver oder negativer) Erinnerung haben?

Vor Jahren wurde ein Kommunikationsunternehmen Opfer einer vollumfänglichen Kompromittierung. Im Verlauf unserer Analyse hat sich herausgestellt, dass es ein Insider war. Erst nach etwa einer Woche hat man die Systeme mit viel Aufwand wieder unter Kontrolle bringen können. Da die Dienstleistung währenddessen nicht erbracht werden konnte, hat man zwischenzeitlich 80% der Kunden verloren. Der Schaden war verheerend.

Links

• https://zuercher-wirtschaft.ch/nach-einer-cyberattacke-ist-vor-der-attacke/

Tags