Welche neuen Herausforderungen hat die Pandemie in Bezug auf die Cybersicherheit hervorgebracht?
Homeoffice ist zweifellos eine neue Herausforderung, die im Zuge der Pandemie aufgetreten ist. Es handelt sich dabei um eine räumliche Ausdehnung eines Unternehmens in die Privaträume seiner Mitarbeitenden. Dadurch vervielfacht sich die Angriffsfläche. Hinzu kommt, dass die Verbindungsqualität im privaten Umfeld unterschiedlich ist, die Kontrolle dadurch erschwert wird und die Angriffsvektoren entsprechend um ein Vielfaches erhöht werden. Im Privatbereich teilen die Mitarbeitenden ihren Anschluss nämlich mit ihren Ehepartnern oder Kindern, die ihrerseits Malware herunterladen könnten, welche in der Folge womöglich den Weg bis in das Unternehmen des betreffenden Mitarbeitenden findet.
Cyberangriffe auf Unternehmen machen immer häufiger Schlagzeilen. Ist das ein neues Phänomen?
Als Fachmann bin ich seit 25 Jahren im Bereich der Cybersicherheit tätig und es gibt technisch gesehen eigentlich nichts Neues. Was neu ist, ist die Intensität der Angriffe. Es sind Hunderte von kriminellen Organisationen in diesem Bereich aktiv und erschleichen sich so Milliarden von Franken. Um der Leserschaft eine Vorstellung davon zu vermitteln: In der Schweiz verursachen Cyberangriffe den Unternehmen Verluste im Umfang von rund 20 Milliarden Franken.
Sind Ihrer Einschätzung nach die Unternehmen darauf vorbereitet mit derartigen Angriffen umzugehen?
Nicht wirklich. Man betrachte die Fälle der Universität Neuenburg oder der Gemeinden Rolle und Montreux, um nur einige zu nennen. Die Liste ist lang. Im Jahr 2021 wurden 55’000 Unternehmen von Hackern angegriffen. Das sind fast 10% aller KMU im Land. Dies ist beträchtlich. Zum Vergleich: Im Jahr 2020 waren es noch 32’000 Unternehmen die gehackt wurden.
Weshalb?
Es gibt Instrumente zur Bekämpfung von Cyberangriffen, aber die Unternehmen nutzen diese nicht. Dabei wären fast 80% der Angriffe mit kostengünstigen Werkzeugen relativ leicht abzuwenden. Wenn sie gehackt werden, zahlen Unternehmen oft das geforderte Lösegeld, was die Problematik von Mal zu Mal verschärft.
Der Schutz vor Cyberangriffen ist nicht nur eine Frage der Unternehmenshygiene, sondern auch des Ansehens und der Wettbewerbsfähigkeit. Ich denke nicht, dass man unbedingt an der Spitze der Cybersicherheit stehen muss, es reicht, wenn man besser ist als die anderen. Kriminelle versuchen es und wenn es klappt, haben sie das grosse Los gezogen, wenn nicht, versuchen sie es anderswo.
Wo können sich Unternehmen zum Bereich „Cyber“ informieren?
Ich habe zu diesem Thema ein Buch mit dem Titel IT-Sicherheit für KMU (Beobachter Verlag) geschrieben. Dieses Buch nennt Instrumente und eine Checkliste, mit deren Hilfe KMU 80% der Cyberangriffe vermeiden können. Zu diesem Zweck haben wir auf cybercheck.dreamlab.net ein Formular zur Risikobewertung bereitgestellt, das Möglichkeiten für geeignete Vorkehrungen bietet. Ausserdem existiert das vom Bund eingerichtete Nationale Zentrum für Cybersicherheit, das ebenfalls wertvolle Auskünfte vermittelt.
Wie wird Cybersicherheit konkret in den Unternehmen umgesetzt?
Sie beruht auf drei Säulen. Die erste betrifft die technologische Seite. Sie müssen die geeignete Sicherheitssoftware verwenden und richtige Reflexmechanismen anwenden, wie z. B. regelmässige Offline-Backups. Die zweite Säule betrifft die Personalressourcen. Die Mitarbeitenden müssen in digitaler Kompetenz und kritischem Denken geschult werden. Die letzte Säule ist die Unternehmenskultur. Es ist wichtig, eine positive Arbeitskultur zu schaffen, die die Cybersicherheit fördert. Eine toxische Unternehmenskultur bedeutet einen Vorteil für Kriminelle.
Wie viele Mittel sind für die Cybersicherheit in KMU sinnvoll?
Es ist äusserst schwierig eine konkrete Zahl zu nennen, da jedes KMU immer ein Einzelfall bleibt. Der Budgetumfang hängt von der Betriebsstruktur, dem Kundenstamm und der Geschäftstätigkeit des Unternehmens ab. Die allgemeinen Statistiken besagen jedoch, dass ein etabliertes Unternehmen, das bereits über eine Infrastruktur für Cybersicherheit verfügt, einen Betrag im Umfang von 5% seines gesamten IT-Budgets dafür bereitstellen sollte.
Welche Risiken bestehen, wenn keine Schutzmassnahmen ergriffen werden?
Unternehmen sind aufgrund von Cyberangriffen in Konkurs gegangen. Aus meiner Sicht werden in den nächsten fünf bis zehn Jahren Fragen der Cybersicherheit in den Vorstandsgremien Einzug halten. Es ist deren Aufgabe, die Lebensfähigkeit und Zuverlässigkeit des Unternehmens zu erhalten. Diese Herausforderungen werden für die Unternehmen zunehmend existenziell.
Ist die Schweiz Ihrer Meinung nach auf die Bekämpfung von Cyberangriffen vorbereitet?
Die Schweiz belegt im Global Innovation Index den ersten Rang. Im Cybersecurity-Index hingegen liegt sie auf Platz 42, direkt vor Ghana. Die beiden Indexe sind jedoch miteinander verbunden, da Innovationen eng mit den Daten verknüpft sind, die ihrerseits geschützt werden müssen. Was mich etwas beruhigt ist, dass die Schweizer Landesregierung in den letzten drei Jahren die Problematik aufgegriffen hat und daran arbeitet.
Am 6. und 7. April fanden die Swiss Cyber Security Days statt. Welches sind die Herausforderungen dieser Veranstaltung?
Es ist ein äusserst wichtiger Anlass für die gesamte Gesellschaft, um zu begreifen, dass Fragen der Cybersicherheit nicht nur ein technisches Thema sind. Informatiker müssen in der Lage sein, die Sicherheit für den reibungslosen Geschäftsverkehr eines Unternehmens zu gewährleisten. Deshalb sind die Swiss Cyber Security Days sehr wichtig. Sie richten sich an alle, von Politikern über Techniker bis hin zu Führungskräften von Unternehmen.
Die nächste Austragung der Swiss Cyber Security Days findet am 29. und 30. März 2023 in Freiburg statt.