Die Frage ist nicht ob, sondern wann

Muri «Cyberkriminalität? Bei mir ist nichts zu holen», denken viele, wenn sie vor Angriffen auf ihren Computer gewarnt werden. Ganz falsch. Auf dem Wirtschaftsforum wurde eindrücklich gezeigt, warum alle betroffen sind.

ANNETTE KNÜSEL

Man kennt die Meldungen aus der Zeitung: Im Februar 2022 wurden sensible Daten von Credit-Suisse-Kunden öffentlich gemacht. Im September 2023 wurde ein Walliser Unternehmen mit dem CEO-Trick um mehrere hundertausend Franken betrogen. Bei CH Media wurde im Mai 2023 über Nacht die Produktion lahmgelegt und konnte mehrere Wochen nicht wieder in Gang gesetzt werden. Von anderen Fällen erfährt die Öffentlichkeit aber nichts. Oder wussten Sie, dass Hacker im September 2023 ein Masterpasswort der Firma Microsoft gestohlen hatten und so auf zahllose Kundendaten von Microsoft zugreifen konnten?

Cybercrime ist gut organisiert
Cybercrime hat sich längst zu einer gut organisierten «Branche» entwickelt. Die Täter sind grosse Organisationen, die nüchtern ihren «Markt» analysieren und dann nach Aufwand und Ertrag entscheiden, wo sie aktiv werden. Dabei lassen sie sich Zeit. Manche Firmen werden jahrelang ausspioniert, ohne es zu merken. Der Angreifer beobachtet die technischen Systeme und sucht dort nach Angriffspunkten. Aber auch die Psychologie spielt eine grosse Rolle: Welche Gewohnheiten haben die Mitarbeitenden, wie verwahren sie ihre Passwörter, was geben sie auf Social Media von sich preis? Es ist wie ein Puzzle, bei dem jedes Detail entscheidend sein kann. Wenn sich eine Gelegenheit zeigt, wird angegriffen. Auch bei sehr kleinen Unternehmen – unter Umständen einfach nur, weil sie eine leichte Beute sind.

Wirtschaftsforum 2023 in Muri
In Muri hatten die Gemeinde, die Repla und «Freiamt. Mittendrin.» zum Wirtschaftsforum 2023 eingeladen. Thema: «Was hat Cyberkriminalität mit dem Freiamt zu tun?» Das Impulsreferat wurde gehalten von René Bodmer, Cybersicherheitsexperte und Grossrat. Er berichtete von einer regelrechten «Kampagne», die im Januar 2022 gegen Schweizer Unternehmen gefahren worden ist: die CPH-Gruppe, Emil Frey, die Gemeinde Yverdon-les-Bains, die Apotheke Zur Rose, Swiss Windows und andere waren Opfer. Bodmer hat analysiert, warum diese Angriffe erfolgreich sein konnten. Sein Fazit ist so simpel wie erschreckend: Die Gefahr wurde im Vorfeld einfach nicht ernst genommen.

Impulsreferat vom Experten

Wie lässt sich diese Gefahr konkret beschreiben? Bodmer zählte einige Anhaltspunkte auf: Es gibt immer mehr Cyberangriffe. Die Angriffe werden raffinierter und ihre Folgen verheerender. Die Angriffsszenarien werden komplexer. Die finanziellen Auswirkungen der Bedrohung steigen an. In den Unternehmen fehlt es an Fachwissen für die Abwehr von Angriffen. Die Unternehmen haben zu wenig Kapazitäten, um zeitnah und wirkungsvoll auf Warnhinweise zu reagieren. Homeoffice wirkt wie ein Brandbeschleuniger, da sich hier Berufs- und Privatleben vermischen. «Man ist relativ schnell verwundbar», sagt Bodmer.

Wie verläuft ein Angriff?
Doch wie kann man sich so einen Cyberangriff vorstellen? Davon berichteten beim anschliessenden Podium die Vertreter von drei Organisationen, die in jüngster Zeit selbst betroffen waren. Bei der Stobag AG führte 2019 ein Angriff zum kompletten Produktionsausfall. Ausgelöst wurde er durch unvorsichtiges Verhalten eines Mitarbeiters: Er erhielt eine E-Mail aus Italien und öffnete die Word-Datei im Anhang, ohne den Absender vorher überprüft zu haben. In der Datei war ein Schadprogramm, das sofort begann, sich im internen IT-System zu verbreiten. Bald darauf konnten sich die ersten Mitarbeiter nicht mehr ins Computersystem einloggen und das Unheil nahm seinen Lauf. In 80 Prozent der Fälle ist menschliches Fehlverhalten die Ursache für einen geglückten Cyberangriff. Im Oktober 2021 hatte auch die Gemeinde Mellingen einen Cyberangriff abzuwehren. Die Schwachstelle, durch die der Angreifer Zutritt erhielt, lag aber gar nicht bei der Gemeinde. Sie lag auf dem Microsoft Exchange Server, den die Gemeinde nutzte! Das Virus fand bei einem regulären Update seinen Weg in die gemeindeinterne IT. Ein klassischer Fall von Fremdverschulden – doch den Schaden hatte natürlich die Gemeinde zu tragen.

«Feuer an Bord!»
Der COO von CH Media verglich den Cyberangriff, den seine Firma im Mai dieses Jahres erlebt hat, mit einem Feuer. Es fing mit einem Warnhinweis an, der ihm gefährlicher erschien als die vielen anderen, die von den Abwehrsystemen täglich gemeldet werden. Noch während er mit seinen Kollegen darüber diskutierte, ob hier eine echte Gefahr vorliegt, kamen Meldungen von Mitarbeitern, dass sie das Programm «Excel» nicht öffnen konnten. Schnell war dann klar: Es sind Angreifer im System! Wie die Feuerwehr versuchte die IT-Abteilung, den lokalen Brand zu löschen, bevor er sich weiter ausbreitet. Doch drei Stunden später musste eine Taskforce eingerichtet werden und alles drehte sich nur noch um den Angriff. Einerseits musste der sich ausweitende Brand bekämpft werden. Andererseits mussten sofort Massnahmen eingeleitet werden, um den Produktionsbetrieb trotz der Störung noch irgendwie aufrechtzuerhalten. Im Laufe des Angriffs kam noch eine dritte Herausforderung dazu. Der Angreifer hatte sich Zugriff auf Kundendaten verschafft und drohte mit deren Veröffentlichung. Während die Sicherstellung des Produktionsbetriebs vor allem technisches Know-how verlangte, sei der Datenklau emotional sehr intensiv gewesen, «fast wie im Krieg».

Was also ist zu tun?
Wenn man Opfer eines Cyberangriffs wird, muss man kämpfen: alle Kräfte mobilisieren, die Polizei zur Hilfe holen, sich mit Partner und Lieferanten austauschen, um von ihnen zu lernen und vor allem transparent kommunizieren, damit man auch für die Zeit nach dem Angriff vertrauenswürdig bleibt. Das Wichtigste ist aber, vorbereitet zu sein. Roland Kühne (CH Media) hielt fest: «Man darf nicht davon ausgehen, dass man nicht betroffen ist. Es ist nur eine Frage vom Zeitpunkt.» Je mehr Schutzwälle ein Unternehmen hat, je aufwändiger ein Angriff für den Angreifer ist, desto grösser die Chance, dass er sich ein anderes Opfer sucht. Konkret bedeutet dies: das Thema ernstnehmen, die Mitarbeiter sensibilisieren und schulen, Backups regelmässig durchführen, in Software und IT-Sicherheit investieren, mögliche Schwachstellen aktiv suchen und schliessen, das eigene Schadenpotenzial kennen (wo tut’s am meisten weh?), einen Plan für den Ernstfall zurechtlegen (wer macht was?). Über den Sinn von Cyberversicherungen gingen die Meinungen der Experten auseinander. Einig waren sie sich aber in einem Punkt – die Antwort auf die Frage «Bin ich gefährdet?», lautet eindeutig: ja, und zwar für alle.