Wie verändern sich die Bedrohungen? Welche Unternehmen sind am stärksten gefährdet und wie können sie sich gegen Angriffe wappnen? Simon Künzler, Geschäftsführer der Kessler Consulting AG, und Tim Beutler, Delivery Manager Security Consulting von Adnovum, haben die Antworten auf diese und weitere brennende Fragen.
So viel vorneweg: Kessler und Adnovum haben kürzlich ein Cyber-Awareness-Training lanciert, mit dem sie Unternehmen dabei unterstützen, das Bewusstsein für Internetkriminalität intern bei den Mitarbeitenden und der Führung zu schärfen. So schaffen es Unternehmen, einfache, aber kostspielige Fehler zu vermeiden, die Angreifern Tür und Tor öffnen.
1. Wer sind Simon und Tim?
Simon Künzler
Mein Name ist Simon Künzler. Ich bin Geschäftsführer der Kessler Consulting AG, einer Tochterfirma des führenden Schweizer Unternehmens für Risiko-, Versicherungs- und Vorsorgeberatung Kessler & Co AG. Ich trage die Verantwortung für die Risikomanagement-Practice. Zudem bin ich Mitglied im Leadership Team von Marsh Advisory Continental Europe. Risikomanagement ist meine berufliche Leidenschaft und begleitet mich seit dem Studium. Spannend sind die vielseitigen und sich laufend verändernden Risikolandschaften und deren Einordnung mit meinen Kunden in ihren unternehmerischen Kontext. Sehr aktuelle Risikothemen heute sind u.a. ESG oder eben Cyber.
Tim Beutler
Ich bin Tim und arbeite bei der Adnovum, einem Unternehmen mit langjähriger Erfahrung in Software Engineering und Cyber Security. Ich bin dafür zuständig, unsere Security-Consulting-Mandate erfolgreich durchzuführen, und arbeite selbst dabei mit. Mein Cyber-Security-Wissen habe ich in verschiedenen Rollen in zahlreichen Projekten aufgebaut, z.B. im Bereich Netzwerk-Security, Identity and Access Management und Security Consulting.
Für mich ist es wichtig, mit den Kunden in direktem Kontakt zu stehen, denn nur so erfahre ich von den wirklichen Bedürfnissen und Herausforderungen im Markt.
2. Wie verändern sich die Bedrohungen für die Cyber Security von Unternehmen in der Schweiz und weltweit?
Simon Künzler
Cyber Security ist kein typisch schweizerisches Thema, sondern eine globale Herausforderung. Dennoch ist die Schweiz mit vielen vergleichbaren Ländern im Fokus potenzieller Angreifer, da sie bekannt ist als reiche und international stark verflochtene Volkswirtschaft. Nicht zuletzt über die gemeldeten Cyber-Schadenfälle stellen wir fest, dass die Cyber-Bedrohung weiter zunimmt. Gemäss einem im Oktober 2022 erschienenen Bericht von Marsh haben die Cyber-Schadenfälle zwischen 2020 und 2021 allein in Kontinentaleuropa um 37% zugenommen. Weitere Studien zeigen zudem, dass entgegen den letzten Jahren nicht mehr nur Europa, die USA oder internationale Finanzplätze im Fokus der Hacker stehen, sondern vermehrt auch Weltregionen wie Asien, Afrika oder Südamerika.
Tim Beutler
Die fortschreitende Digitalisierung in der Geschäfts- und der privaten Welt macht Cyber-Angriffe immer attraktiver. Die Beweggründe dahinter müssen nicht immer finanzieller Natur sein. Wenn wir die aktuellen Konfliktsituationen weltweit betrachten, stellen wir fest, dass Cyber-Angriffe inzwischen zum Standardrepertoire der modernen Kriegsführung gehören.
3. Welches sind die häufigsten Cyber-Angriffe auf Unternehmen und wie funktionieren sie?
Tim Beutler
Am häufigsten ist Erpressung. Die Ursachen sind sehr vielfältig, was die Risikoexponierung verdeutlicht. Typische Einfallstore sind Malware-Angriffe oder sogenannte Social-Engineering-Attacken. Zu Letzteren gehören Phishing, Vishing oder Smishing. Mit Phishing-Mails verschaffen sich Angreifer Zugang zu Unternehmen, wo sie später Ransomware einschleusen. Damit verschlüsseln sie Daten, möglichst inklusive Backups, und verlangen ein Lösegeld für deren Freigabe.
4. Welches sind die häufigsten Konsequenzen, mit denen ein Unternehmen nach einem erfolgreichen Cyber-Angriff zu kämpfen hat?
Simon Künzler
Das hängt von der Art des Angriffs ab und davon, welche IT- und OT-Systeme betroffen sind. Bei einem erfolgreichen Ransomware-Angriff kann ein Unternehmen nicht mehr auf seine Daten und Systeme zugreifen – womit es zu einem Betriebsunterbruch kommt. Das ist denn auch die schwerwiegendste Auswirkung. Ein solcher Unterbruch kann mehrere Tage dauern, die «Aufräumarbeiten» können sich über Wochen oder gar Monate hinziehen. Damit nicht genug: Bei einem Datenabfluss, insbesondere wenn er bekannt wird, droht eine nachhaltige Rufschädigung. Falls der Datenabfluss einer Datenschutzverletzung gleichkommt, sind Bussen und weitere rechtliche Konsequenzen möglich. Im schlimmsten Fall gefährdet ein solcher Angriff die Existenz des Unternehmens.
5. Welches war der eindrücklichste Cyber-Angriff auf ein Unternehmen, über den die Medien in den letzten Jahren berichtet haben, und wie hätte er verhindert werden können?
Tim Beutler
Es gab in der Vergangenheit immer wieder verheerende Attacken. Dabei sticht besonders WannaCry hervor. Der Computervirus trat vor über fünf Jahren als Ransomware auf und verschlüsselte alle Daten auf befallenen Windows-Betriebssystemen. Die Freigabe der Daten erfolgte nur gegen Lösegeld in Bitcoin. Dieser Angriff betraf sowohl geschäftliche wie auch private Anwender. Speziell daran war die unglaublich schnelle Verbreitung. Wer seine Systeme rechtzeitig gepatched hatte, war nicht betroffen.
Ebenfalls bemerkenswert war ein Ransomware-Angriff im Mai 2021 auf das amerikanische Öl-Pipeline-Unternehmen Colonial Pipeline im Westen der USA. Er hat uns deutlich vor Augen geführt, wie verwundbar Lieferketten sind. Denn aufgrund des Treibstoffmangels als Folge der unterbrochenen Lieferkette mussten sogar die Flugpläne im nahegelegenen Flughafen angepasst werden.
6. Wie unterscheiden sich Cyber-Bedrohungen für grosse und kleine Unternehmen und welche sind stärker gefährdet?
Simon Künzler
Zu denken, dass kleinere oder mittlere Unternehmen für Angreifer uninteressant seien, ist ein Trugschluss. Tendenziell sind sie sogar exponierter. Sie sind weniger sensibilisiert, verfügen über geringeres Cyber-spezifisches Fachwissen und über weniger Budget für Cyber-Prävention als grössere Unternehmen. Doch auch die Grossen bleiben nicht verschont. Für einen Angreifer stellt sich letztlich immer die Frage nach Aufwand und Ertrag. Angestrebt wird der grösstmögliche finanzielle Gewinn.
Bei den Branchen zeigen sich tatsächlich Unterschiede. Ein attraktives Ziel ist und bleibt der Finanzsektor, für den es primär um den guten Ruf geht. Denn der Vertrauensverlust bei einem erfolgreichen Angriff ist riesig. Ebenfalls im Visier ist die verarbeitende Industrie, deren Betriebstechnologie oft auf einem weniger aktuellen Stand ist als jene der Finanzinstitute. Erfolgreiche Cyber-Angriffe auf Hersteller und industrielle Kontrollsysteme wirken sich physisch aus und stören die Produktion empfindlich.
7. Wie kommt es, dass Mitarbeitende Angreifern unbewusst Tür und Tor öffnen?
Simon Künzler
Ich stelle immer wieder fest, dass der Mensch das schwächste Glied in der Abwehrkette ist. Im Umgang mit E-Mails, deren Anhängen und Links sowie bei telefonischen Auskünften ist besondere Vorsicht geboten.
Tim Beutler
Nach wie vor können einzelne unachtsame Personen in einem Unternehmen einen Angriff begünstigen. Sei es, dass sie in Gesprächen oder E-Mails ungewollt Informationen preisgeben oder Phishing-Mails nicht als solche erkennen. Noch schlimmer ist es, wenn IT-Fachleute die Sorgfaltspflicht vernachlässigen, indem sie z.B. Systeme nicht regelmässig patchen. Eine Sicherheitskultur, in der offen über Fehler gesprochen und ein Bewusstsein für IT-Sicherheit geschaffen wird, kann dieses Problem entschärfen.
8. Wie können Unternehmen Angriffen vorbeugen und sich davon erholen?
Tim Beutler
Zunächst braucht es im Unternehmen ein Verständnis für Cyber-Sicherheit sowie Unterstützung aus der Geschäftsleitung. Das bedeutet konkret auch ein Budget bzw. genügend Ressourcen. Überdies sind geeignete Organisationsstrukturen und Prozesse erforderlich. Man spricht dann von einem Informationssicherheitsmanagement-System (ISMS).
Zu einem ISMS gehören neben den technischen Massnahmen u.a. das Betreuen von Lieferantenbeziehungen sowie Notfallpläne für ausserordentliche Zwischenfälle. Hilfreich ist zudem eine gelebte Sicherheitskultur, d.h. die Mitarbeitenden müssen geschult werden.
Sollte es trotz allem zu einem Zwischenfall kommen, hängt es von dessen Schwere und den bestehenden Massnahmen ab, wie schnell sich der normale Betrieb wiederherstellen lässt. Im schlimmsten Fall kommt das System ganz zum Erliegen und muss mit Backups wieder zum Laufen gebracht werden. Dann ist es wichtig, dass der Notfallplan nicht nur auf Papier besteht, sondern auch in den Köpfen der Mitarbeitenden. Zunächst ist es essenziell zu wissen, welche Systeme betroffen sind, und den Schaden zu begrenzen. Die Systeme werden vom Netz getrennt, sinnvollerweise eine forensische Untersuchung eingeleitet. Weiter sollten eine Meldung an das NCSC und rechtliche Schritte erfolgen.
9. Wie funktioniert das Cyber-Risk-Awareness-Seminar und an wen richtet es sich?
Simon Künzler
Das Training soll primär Unternehmen ansprechen, die der Cyber-Security-Kultur einen hohen Stellenwert einräumen. Geeignet ist es sowohl für Führungsleute als auch für sämtliche Mitarbeitenden mit Systemzugang.
Idealerweise erfolgt das Training in Form eines interaktiven Workshops, der die Bedrohungslage aufzeigt und Verhaltensregeln für den Umgang mit der Cyber-Thematik definiert. Einerseits geht es darum, Grundwissen zu Angriffsmustern zu vermitteln, andererseits darum, die unternehmensspezifische Cyber-Exponierung zu diskutieren, um den verantwortungsvollen Umgang mit Informations- und Kommunikationstechnologien zu stärken. Bereits vor dem Training wird eine Phishing-Kampagne durchgeführt, um die Mitarbeitenden zu sensibilisieren und ihr Risikobewusstsein zu ermitteln.
10. Gibt es etwas, das kaum jemand weiss zum Thema Cyber-Risiko?
Simon Künzler
Heutzutage stellen wir fest, dass die Abhängigkeit von Netzwerk-, System-, Plattform- oder Applikationslieferanten noch nicht genügend auf dem Radar unserer Kunden ist. In der vernetzten Welt, in der wir leben, sind wir und auch Unternehmen genauso stark geschützt wie das schwächste Glied in ihrer Liefer- bzw. Wertschöpfungskette.
Tim Beutler
Vielleicht, dass das Wort «Cyber» ursprünglich aus dem Griechischen stammt und «Steuerung» bedeutet. Inzwischen wird es als Kurzform von Kybernetik verstanden, was die Wissenschaft von den Steuerungs- und Regelungsvorgängen beschreibt.
Gemeinhin wird «Cyber» heute dem Computer assoziiert, z.B. Cyberspace für eine durch Computer generierte Welt oder Cyber Risk für Computer-spezifische Risiken.
