Cyberrisiken – sind wir vorbereitet?

    Cyberrisiken – sind wir vorbereitet?

    Die Medien berichten fast täglich über Cyberattacken im In- und Ausland. Immer mehr geraten auch kleinere und mittlere Firmen ins Visier von Hackern. Doch was sind die häufigsten Risiken? Und wie könnte man als Treuhandbüro oder Anwaltskanzlei davon betroffen sein?

    Cyberrisiken gefährden insbesondere Firmen, die im Kerngeschäft von der Informatik abhängig sind, beispielsweise solche, die einen Webshop betreiben. Doch grundsätzlich kann heute jede Firma, die in irgendeiner Form auf IT-Systeme angewiesen ist, zum Ziel von Cyberattacken werden, und das ist praktisch jede. Auch eine Anwaltspraxis kann es treffen, wenn etwa ein Hacker an vertrauliche Informationen eines brisanten Streitfalls gelangt und androht, die Informationen an die Presse zu verkaufen, oder ein Treuhandbüro, das Opfer eines Verschlüsselungstrojaners mit anschliessender Lösegeldforderung in Bitcoinwährung wird.

    Laut einer Umfrage des Dachverbands Information & Communication Technology (ICT) sind 23’000 Schweizer KMU schon einmal erpresst worden, von Malware wie Viren oder Trojanern waren bereits 209’000 KMU betroffen.

    Häufigste Cyberrisiken für Kleinbetriebe
    Zwar verfügen gemäss ICT die meisten KMU über angemessene Sicherheitsmassnahmen wie aktualisierte Antivirenprogramme und Firewalls. Grosser Handlungsbedarf besteht hingegen bei der Schulung der Mitarbeitenden, denn das grösste Einfallstor für Hackerangriffe stellen sogenannte Phishing-Mails dar, die mittels infiziertem Anhang oder Link auf eine verseuchte Webseite führen. Diese Mails werden immer raffinierter, sodass die Sensibilisierung und Schulung der Mitarbeitenden an Bedeutung zunimmt.

    Eine weitere Gefahr stellt das sogenannte Social Engineering dar. Dabei versucht der Täter möglichst vielen Informationen über ein Unternehmen zu gewinnen, und täuscht anhand dieser Angaben eine andere Identität vor, um an vertrauliche Daten zu gelangen. Das Ausspionieren der Firmen geschieht dabei nicht nur über Hacking-Methoden, die Täter bedienen sich auch der sozialen Medien und anderer Quellen. Um nur ein Beispiel zu nennen: Es gibt Praxisfälle, bei denen ein Mitarbeitender ein Selfie von seinem Arbeitsplatz postet, auf dessen Hintergrund etwa ein Prototyp eines neuen Produkts, Angaben zum Geschäft oder gar Passwörter zu sehen sind.

    Je besser ein Cyberkrimineller über eine Firma Bescheid weiss, desto eher gelingt es ihm, diese zu betrügen. Weiss beispielsweise ein Hacker, dass in den nächsten Tagen eine Rechnung eines bestimmten Geschäftspartners eintrifft, so ist es ein Leichtes für ihn, mittels täuschend ähnlicher E-Mail-Adresse selber eine entsprechende Rechnung zu stellen, versehen mit den Kontoangaben eines Mittelmanns. Insbesondere bei internationalen Geschäftspartnern fällt ein solcher Betrug oftmals erst bei genauerer Betrachtung auf.

    Ein weiteres Risiko stellt der sogenannte CEO-Faud dar. Dies ist dann der Fall, wenn beispielsweise der Rechner eines Firmeninhabers gehackt wird. Die Täter können sich dadurch des E-Mail-Accounts bedienen und gar die Schreibweise des CEOs aneignen, um einem Mitarbeiter in der Buchhaltung einen Zahlungsauftrag mittels E-Mail mit entsprechenden Instruktionen zur Geheimhaltung zu geben. Der kriminelle Hintergrund wird dabei nicht immer rechtzeitig aufgedeckt, zumal sich die zuständigen Mitarbeitenden angesichts eines vermeintlichen vertraulichen CEO-Auftrags der Verschwiegenheit verpflichtet fühlen.

    Heute ist es zudem problemlos möglich, von einem externen Computer aus SMS von einer beliebigen Telefonnummer zu versenden. Kennen die Hacker die Mobiltelefonnummer eines Firmeninhabers, können sie also von der korrekten Nummer des CEOs Nachrichten versenden und beispielsweise einen Angestellten dazu auffordern, die Schlüssel zu den Geschäftsräumen im Briefkasten zu deponieren, mit dem Hinweis, man habe diese vergessen. Dies sind nur einige Beispiele von gängigen Cyberattacken, die Methoden werden dabei stets vielfältiger und raffinierter.

    Was kann man tun, um das Risiko von Cyberattacken im eigenen Betrieb zu reduzieren?

    • Besonders wichtig ist eine automatisierte Back-up-Lösung. Es sollte mindestens einmal wöchentlich eine Vollsicherung im Hause und auf einer externen Cloud erfolgen. So kann man sicherstellen, dass nebst einem Cyberangriff auch bei einem Brand oder einem Diebstahl eine Kopie vorhanden ist. Zusätzlich sollte periodisch getestet werden, dass die Wiederherstellung der Daten anhand des Back-ups tatsächlich funktioniert.
    • Schulung und Awareness-Programme tragen dazu bei, sämtliche Mitarbeitenden zu sensibilisieren, sodass sie E-Mails mit verdächtigem Link oder Anhang sofort erkennen.
    • Sämtliche Computer sollten für Installation von Software und Programmen gesperrt sein, sodass nur mittels Administratorenpasswort etwas installiert werden kann.
    • IT-Sicherheitsmassnahmen regelmässig überprüfen. Eine aktuelle Antivirus-Software und eine Firewall sind mittlerweile Standard. Wichtig ist, auch immer über die neuesten Updates zu verfügen, um Sicherheitslücken zu reduzieren.
    • Grossfirmen verfügen meist über eigene Cyber-Spezialisten und sind in der Regel sehr gut geschützt. Gezielte Angriffe auf Grossfirmen erfolgen daher oftmals über weniger gut geschützte Zulieferer und Partner. Kleinere Firmen, die Grossunternehmen zu ihrem Kundenstamm zählen, sollten dies bei ihren Sicherheitsvorkehren berücksichtigen.
    • Hinweise der Bank für sicheres E-Banking beachten und die Möglichkeit für gezielte Sicherheitseinstellungen nutzen, wie etwa Zahlungslimiten für Geldüberweisungen oder eine Sperrung für Überweisungen ins Ausland. Bei geplanten Transaktionen können die Sicherheitseinstellungen kurzfristig deaktiviert werden. Schon bei geringsten Zweifeln an einer Rechnung lohnt es sich, beim Geschäftspartner nachzufragen, ob Rechnungsbetrag und Bankverbindung korrekt sind.
    • Einen Notfallplan erstellen: Wer entscheidet in einer Krisensituation? Welches sind die Kriterien? Wer kann im Notfall rasch und kompetent unterstützen? Hat der zuständige Informatiker die notwendigen Passwörter, um sofort eingreifen zu können?

    Trotz Sicherheitsmassnahmen kann auch die bestgewartete IT ein Unternehmen nicht hundert-prozentig von Cyberattacken schützen. Als zusätzliche Massnahme entscheiden sich daher immer mehr Unternehmen, gewisse Risiken der Versicherung zu übertragen. Eine Cyber-Versicherung kommt u.a. für die Wiederherstellungskosten von Systemen, Programmen und Daten auf, übernimmt allfällige Mehrkosten (z.B. Überzeit der Mitarbeitenden, Miete für Ersatzgeräte etc.) und entschädigt für einen Gewinnausfall, wenn ein Auftrag nicht ausgeführt werden konnte. Auch Geldverluste im E-Banking nach einem Hackerangriff können versichert werden. Im Krisenfall unterstützt die Versicherung zudem bei der Organisation geeigneter Massnahmen und in der Kommunikation mit Kunden, Lieferanten und Medien. Noch haben erst wenige Firmen eine Cyber-Versicherung abgeschlossen, es dürfte jedoch eine Frage der Zeit sein, bis diese so üblich wird wie eine Feuerversicherung. Die Frage ist stets, wie viel Risiko man selber tragen kann und will.

    Der Ratgeber steht unserer Leserschaft kostenlos zur Verfügung.

    Senden Sie Ihr Anliegen oder Ihre Frage an folgende E-Mail-Adresse: axa@zuercherwoche.ch

    Mit etwas Glück wird Ihr Anliegen in einer der nächsten Ausgaben geklärt.
    Die AXA behält sich vor, welche Anfragen bearbeitet werden.

    Vorheriger ArtikelHöhen und Tiefen beim dritten Saisonwochenende
    Nächster ArtikelBahnangebot im Kanton Zürich wird erweitert