Vernachlässigte digitale Schutzwälle

«Sehr geehrte Damen und Herren, in der Beilage erhalten Sie meine Bewerbung für die ausgeschriebene Stelle», das Anschreiben per E-Mail ist freundlich und klingt vielversprechend, es ist sogar ein sympathisches Foto dabei. In der Personalabteilung freut man sich über einen passenden Kandidaten und öffnet den Anhang, der ausführliche Bewerbungsunterlagen verspricht. In einer ZIP-Datei versteckt sich dann eine EXE-Datei.

Als der HR-Mitarbeiter diese angeklickt, ist es passiert: Ein Trojaner hat sich erfolgreich beworben und Zugriff auf Unternehmensdaten erlangt. Die Datei enthält nämlich nicht die weiteren Angaben zum Wunschkandidaten, sondern Schadsoftware.

Dies kommt gar nicht so selten vor und ist derzeit wieder hochaktuell. Ende August meldete die Internetseite www.onlinewarnungen.de erneut, dass gefälschte Bewerbungen im Umlauf seien und gibt die Namen der angeblichen «Bewerber» bekannt.

Doch da diese sich ständig ändern, sollten Personalabteilungen stets auf der Hut sein. Das Portal hat eigenen Angaben nach zudem ermittelt, dass die prominent platzierten und vertrauenserweckenden Fotos solcher gefährlichen «Bewerbungen» meistens geklaut sind und von Portalen wie Xing kopiert werden. Die Schadsoftware sei in der Lage, weitere schädliche Programme herunterzuladen, warnt das Portal.

Als der US-amerikanische Forscher Fred Cohen im Jahr 1983 den Begriff des Computervirus prägte und mit seiner Forschungsarbeit ein Programm vorstellte, das sich selbst fortpflanzen und andere Systeme befallen konnte, hatte wohl niemand in seinem Team böse Absichten oder ahnte, welche Dynamik Computerviren einmal entwickeln würden. Die Möglichkeit, Programme in fremde Systeme einzuschleusen, hat schier unkontrollierbare Ausmasse angenommen.

Die fortschreitende Digitalisierung bietet Kriminellen immer raffiniertere Möglichkeiten, Datensysteme von Unternehmen und Behörden zu attackieren. Trotz aller Vorsichtsmassnahmen ist ein rechtzeitiger Schutz nicht immer möglich. Umso wichtiger ist ein Notfallplan, mithilfe dessen Unternehmen den Schaden schnell und effektiv begrenzen können.

Längst geht es nicht mehr um die Frage, ob ein Angriff stattfindet, sondern wann und in welcher Weise. Schadsoftware befällt ausführbare Programmdateien, versteckt sich in einzelnen Dokumenten oder nistet sich im Startprogramm eines Computers ein. Häufig kommen Computerviren per E-Mail, per UBS-Stick oder verstecken sich in Dateien.

Einmal aktiviert, vermehren sich die Schädlinge rasant im eigenen Netzwerk, verändern Prozesse, spionieren Daten aus oder sind sogar auf deren Vernichtung aus. Mitunter geschehen Eingriffe in Prozesse unbemerkt über einen längeren Zeitraum, bis es zur finalen Attacke kommt.

Bei einem Cyberangriff auf das deutsche Auswärtige Amt im Februar dieses Jahres wurden laut Bundesregierung Schadprogramme verwendet, die in der Informationstechnik nicht öffentlich verfügbar waren. Nach einem Bericht der Frankfurter Allgemeinen Sonntagszeitung war eine E-Learning-Plattform das Einfallstor für den gezielten Versuch, an Unterlagen des Aussenministeriums zu gelangen. Dazu seien die elektronischen Dokumente eines Fernkurses mit Spionagesoftware manipuliert worden.

Unterschätztes Risiko

Cyberattacken sind auch in der Schweizer Wirtschaft längst Realität und die Bedrohungen werden angesichts neuer Technologien wie Blockchain, digitale ID und Internet der Dinge weiter zunehmen. Wie eine aktuelle Studie des Beratungsunternehmens KPMG «Clarity on Cyber Security» vom Mai 2018 zeigt, ist das Bewusstsein für die Gefahren in den Unternehmen zwar vorhanden, die Reaktionen und Massnahmen lassen jedoch zu wünschen übrig. So rechnen 53 Prozent der Befragten damit, dass der Einsatz von Blockchain-Technologie neue Sicherheitsrisiken mit sich bringt. Allerdings hat nur eine kleine Minderheit (8 Prozent) bereits spezifische Massnahmen zur Bewältigung dieser Risiken ergriffen. Ähnliche Zurückhaltung lässt sich auch bei der digitalen ID beobachten: 69 Prozent der Befragten sehen in der Etablierung eines digitalen Identitätsnachweises einen wichtigen Schritt in Richtung vertrauenswürdiger Interaktion mit den Kunden. Aber nur gut ein Drittel der Unternehmen (35 Prozent) haben vor, digitale ID in ihre Produkte und Dienstleistungen zu integrieren.

Laut einer Studie von SVV, SQS, ICTswitzerland, ISSS, ISB und der Expertenkommission Bund «Cyberrisiken in Schweizer KMUs», die im Dezember 2017 vorgestellt wurde, sind mehr als ein Drittel der Schweizer KMU von Cyberattacken betroffen. Auf Basis der 300 befragten KMU beträgt die Anzahl der von Erpressung betroffenen Firmen schweizweit etwa 23 000 (4 Prozent). Ungefähr 209 000 Unternehmen (36 Prozent) dürften von Malware wie Viren oder Trojanern betroffen gewesen sein.

Trotzdem fühlt sich die Mehrheit weiterhin gut bis sehr gut geschützt und nur vier Prozent der KMU-CEOs sehen es als grosse oder sehr grosse Gefahr, durch einen Cyberangriff in der Existenz gefährdet zu werden. Für die Initiatoren der Studie sind dies alarmierende Ergebnisse, denn sie machen deutlich: Das Risiko von Cyberangriffen wird stark unterschätzt. Denn nur 60 Prozent der Befragten schützen sich mit Malware-Schutz, Firewalls, Patch-Management oder einem Backup.

Systeme zur Erkennung von Cybervorfällen existieren nur in jedem fünften Unternehmen, Prozesse zur Behandlung von Cybervorfällen in gerade 18 Prozent der befragten Unternehmen. Auch die Mitarbeiterschulungen über den sicheren Gebrauch von IT wird vernachlässigt. Gemäss der Befragung tun dies lediglich 15 Prozent der Unternehmen.

Sicherheitskultur ist Pflicht

HR ist Wegbereiter der digitalen Transformation im Unternehmen und muss sich selbst transformieren. Denn ohne den Einsatz moderner Technologien sind HR-Prozesse nicht mehr denkbar. Gerade im HR laufen auch zahlreiche sensible Daten zusammen oder werden organisatorische Entscheidungen getroffen, die Einfluss auf den Arbeitsalltag der Mitarbeitenden haben. Beispielsweise, ob das Arbeiten an privaten Geräten erlaubt ist oder ob Mitarbeitende vom Homeoffice auf das Firmensystem Zugriff haben sollen. HR wird beim Thema Cybersicherheit eine Schlüsselrolle einnehmen und als Bindeglied zwischen Unternehmensleitung, IT- und Rechtsexperten sowie Fachabteilungen fungieren.

So wird HR künftig enger mit IT-Experten zusammenarbeiten und sich mit Fragen der IT-Sicherheit näher befassen müssen. Doch ohne eine ausgeprägte Sicherheitskultur im Unternehmen sind die besten technischen Schutzmassnahmen möglicherweise nutzlos. Die Firewall-Sicherheitskultur wird zum zentralen Faktor im Kampf gegen die Angriffe aus dem Netz. Im viel beschworenen Risikofaktor Mensch liegt im Umkehrschluss auch eine grosse Chance für die Cybersicherheit.

Mitarbeitende sensibilisieren

Oft wird der Mensch als schwächstes Glied in der Sicherheitskette bezeichnet. Nach Meinung von Matthias Bossardt, Leiter Cyber Security von KPMG Schweiz und Autor der Studie «Clarity on Cyber Security», machen Unternehmen es sich aber zu einfach, wenn sie die Verantwortung auf die Mitarbeitenden abschieben. Selbst Sicherheitsexperten könnten nicht jede Phishing-E-Mail auf den ersten Blick erkennen. Eine gute IT-Sicherheitsstrategie stelle sicher, dass eine Unachtsamkeit nicht zu einem Schaden führe.

Laut KPMG-Studie gehen die meisten Cyberattacken auf das sogenannte Phishing zurück, wobei der Angreifer versucht, an Nutzerdaten zu kommen. «Der Schaden entsteht jedoch nicht durch das Anklicken des Phishing-Mails», erklärt Bossardt, «sondern in der Reaktion darauf.» So brauche es mehrere Schritte, bis ein Angreifer an sein Ziel kommt, und jeder dieser Schritte sei eine Gelegenheit für das Unternehmen, den Schaden zu verhindern oder zu begrenzen.

Nichtsdestotrotz spielten die Mitarbeitenden und somit das HR bei Security-Themen eine sehr wichtige Rolle. Es sei Aufgabe des HR, in Zusammenarbeit mit den firmeninternen Sicherheitsspezialisten die Mitarbeitenden für den Datenschutz und die IT-Sicherheit zu sensibilisieren und regelmässig Schulungen durchzuführen. «Der sorgfältige Umgang mit Daten und eine Sicherheitsmentalität müssen Teil der Unternehmenskultur sein.»

Die Digitalisierung erfordert zunehmend Kompetenzen in der Datenspeicherung, -auswertung und -analyse. Je grösser aber die Datenflut, desto höher auch das Risiko, dass ein Betrieb durch einen Angriff stillgelegt wird. Wie die KPMG-Studie zeigt, hat beinahe die Hälfte (42 Prozent) der von Cyberattacken betroffenen Firmen finanzielle Schäden und Störungen der Geschäftstätigkeit erlitten. Bei 33 Prozent der Firmen gelangten vertrauliche Informationen an die Öffentlichkeit und bei einem Viertel verursachten die Angriffe Reputationsschäden.

Über die Höhe der finanziellen Schäden von Cyberkriminalität in der Schweiz gibt es laut KPMG derzeit nur Mutmassungen. Den volkswirtschaftlichen Schaden bezifferte das Beratungsunternehmen vor zwei Jahren anhand der öffentlich gemachten Fälle auf 200 Millionen Franken für das Jahr 2014, vermutet aber eine hohe Dunkelziffer.

Die heutige schlechte Datenlage sei unter anderem darauf zurückzuführen, dass es in der Schweiz keine Meldepflicht für Cybercrime-Angriffe gäbe, erklärt der KPMG-Studienverantwortliche Matthias Bossardt. Eine anonyme Meldepflicht könne zu mehr Transparenz beitragen und den Unternehmen helfen, Risiken und Schäden besser einzuschätzen.

Widersprüchliche Cyberstrategien

KPMG empfiehlt, die Cybersicherheit in den Mittelpunkt jeder nachhaltigen Wachstumsstrategie zu stellen. Die Ergebnisse der Studie zeigen aber ein anderes Bild. Demnach erkennen die meisten Unternehmen zwar die Relevanz von Cybersicherheit an, setzen ihre Massnahmen aber nach wie vor zu wenig konsequent und zielgerichtet um. «Dieser Widerspruch dominiert die Cyberstrategien vieler Schweizer Organisationen», konstatiert Bossardt. «Viele Firmen sehen Cybersicherheit ausschliesslich als Bedrohung oder Risiko. Dabei können Firmen, wenn sie es richtig angehen, die Widerstandsfähigkeit ihres Unternehmens erhöhen und bei den relevanten Stakeholdern zusätzliches Vertrauen schaffen. Dies stärkt die Wettbewerbsposition und generiert zusätzliches Geschäft.»

Die KPGM-Studie zeigt auch, dass sich viele Unternehmen ausschliesslich auf die eigene Organisation konzentrieren und Drittparteirisiken sträflich vernachlässigen. Fast die Hälfte der Befragten (44 Prozent) gaben an, dass sie über keine Kontrollinstrumente bei ihren Lieferanten verfügten. 38 Prozent der Unternehmen verzichten auf vertraglich bindende Bedingungen in Bezug auf Cyberrisiken. Ausserdem deckt die grosse Mehrheit (82 Prozent) der Cyber-Response-Pläne Vorfälle wie Angriffe auf Lieferanten oder Geschäftspartner nicht ab.

Es geht nicht nur um Prävention, sondern auch darum, im Notfall den Schaden schnell und effektiv zu begrenzen. «Weniger als 40 Prozent der Unternehmen haben einen Plan, was bei einem Cyberangriff, der zu einer Datenschutzverletzung führt, zu tun ist», so Bossardt. «Ein Vorkommnis muss unter der EU-Datenschutzgrundverordnung innerhalb 72 Stunden gemeldet werden. Wenn Sie erst dann beginnen, die Zuständigkeiten zu klären, haben Sie ein Problem.»

In die Krisenorganisation sollte neben der Unternehmensspitze auch HR und die Kommunikation eingebunden sein. Angriffszenarien müssten immer wieder geübt werden, auch mit Simulationen, mahnt Bossardt. «Unternehmen, die keinen Notfallplan haben, werden im Krisenfall Fehler machen und einen höheren Schaden erleiden.»