Sicher im Cyberraum
In der Lotterie absahnen oder ein Millionenvermögen erben und dafür nur auf einen Link klicken? Wenn etwas zu schön ist, um wahr zu sein, ist es das meistens auch. Über die Risiken im Cyberraum und wie man sich schützt.
«HERZLICHE GLÜCKWÜNSCHE!» steht da in der E-Mail, unübersehbar in Grossbuchstaben. «Sie sind der glückliche Online-Gewinner eines brandneuen Gewinnspiels iPhone14.» Alles, was man tun müsse, sei, den Empfang zu bestätigen, indem man auf den Link in der E-Mail klicke. Wenn Sie nun denken: «Hä? Was denn für ein Empfang? Warum bestätigen, wenn ich nichts bekommen habe? Und warum ist das so miserabel geschrieben?», dann stellen Sie die richtigen Fragen. Denn leider haben Sie weder ein Handy gewonnen, noch erhalten Sie eine Rückerstattung, weil Sie eine Rechnung doppelt bezahlt haben. Schon gar nicht erben Sie das Millionenvermögen einer verschollenen Grosstante aus einem Überseeparadies. Sondern – herzliche Glückwünsche! – Sie haben eine Phishing-Mail bekommen. Und zwar von Betrügern, die an Ihre Passwörter oder Kreditkarteninfos wollen oder einen Computervirus verbreiten.
«Phishing ist ein grosses Thema», bestätigt Raphael Boullet, Head Cyber Security Midmarket bei Swisscom. Der Fachmann berät kleine und mittlere Unternehmen (KMU) zu Cyberrisiken. Was er zu erzählen hat, lässt einen nicht gerade ruhig schlafen: «Es gibt zwar noch immer die schlecht gemachten E-Mails, bei denen man auf den ersten Blick erkennt, dass es sich um Betrug handelt. Aber die Kriminellen werden immer raffinierter, Phishing lässt sich je länger, je weniger von echten Nachrichten unterscheiden.» Beunruhigend, in der Tat. Doch leider ist diese Art von Täuschung nicht die einzige Gefahr, die im Cyberraum lauert, sei es für Private oder für Firmen.
Kriminalität im Netz
Knapp 22 000 Fälle wurden im Jahr 2021 dem Nationalen Zentrum für Cybersicherheit (NCSC) gemeldet, die im Zusammenhang mit Cyberkriminalität standen. Darunter befanden sich diverse Betrugsmaschen, wie etwa der Vorschuss- und Investmentbetrug oder der CEO-Fraud, bei dem CEO-nahe Personen getäuscht werden, bestimmte Freigaben zu machen und Gelder zu überweisen. Auch viele sogenannte Ransomfälle waren dabei. «Bei Angriffen mit Ransomware handelt es sich um das Verschlüsseln von Firmendaten und die darauffolgende Erpressung von Lösegeld gegen Herausgabe eines Schlüssels», erklärt Raphael Boullet.
Dabei schleusen die kriminellen Hacker Ransomware, das heisst schädliche Software, in das Firmennetzwerk ein und legen damit die Firma lahm. Das Unternehmen kann erst wieder arbeiten, nachdem die Erpresser den Schlüssel herausgerückt haben, mit dem es seine Daten zurückbekommt. «Die Hacker erpressen nicht nur einmal Lösegeld, sondern vielfach kommt es zu einer Double Extortion. Das heisst, die Firma soll dafür bezahlen, dass die Daten wieder zugänglich gemacht werden. Dann wird damit gedroht, die gestohlenen Daten im Darknet zu verkaufen. Um das zu verhindern, soll weiteres Lösegeld gezahlt werden.» Die Kriminellen hätten festgestellt, dass es sich bei Ransom um ein gut funktionierendes Business-Modell handelt – und ihre Abläufe professionalisiert: «In manchen Erpressernachrichten finden Sie sogar die Nummer einer Hotline», sagt Boullet. «Dort können Sie anrufen und es wird Ihnen freundlich beim Überweisen des Lösegeldes in der verlangten Kryptowährung geholfen.»
Keiner zu klein, um Opfer zu sein
Wer jetzt denkt: Uns passiert das nicht, wir sind zu klein, muss wissen, dass die Frage leider nicht ist, ob man Opfer einer Cyberattacke wird, sondern wann. Weil unsere Welt zunehmend digital funktioniert und hochgradig vernetzt ist, muss eine Firma nicht einmal spezifisch von Kriminellen ins Visier genommen werden. Manchmal reicht es, Teil einer Lieferkette zu sein, um einen Schaden zu erleiden, sagt Maya Bundt, Vorstandsmitglied und Vorsitzende des «Cyber Resilience Chapter» bei der Swiss Risk Association. Bundt ist auch Mitglied der Cyber-Security-Kommission von Digital Switzerland, arbeitet beim World Economic Forum (WEF) zum Thema Cyber mit und hat bis vor Kurzem die «Cyber & Digital Solutions» beim Rückversicherer Swiss Re geleitet.
«Ich höre immer wieder von KMU-Vertretern, dass es sich aufgrund ihrer Grösse nicht lohne, sie anzugreifen», sagt die Expertin. Doch das sei gar nicht der Punkt: «Eine Hackergruppe muss es nicht auf ein bestimmtes Unternehmen abgesehen haben. Es gibt auch Streuangriffe, die einen zufällig treffen können. Oder man hat einen Serviceprovider, der angegriffen wurde, und man ist mitbetroffen.» Doch beobachtet Maya Bundt auch ein zunehmendes Risikobewusstsein bei den Firmen. Festzustellen sei dies an den Entwicklungen auf dem Versicherungsmarkt in den letzten fünf Jahren: «Die Zahl der Unternehmen, die sich spezifisch gegen Cyberrisiken versichern, ist gewaltig gestiegen.» Das erhöhte Bewusstsein sei vor allem darauf zurückzuführen, dass es viele Cybervorfälle gegeben habe und viel darüber berichtet wurde. «Die Entscheidungsträger in den KMU haben gemerkt: Wir sind ebenfalls verwundbar.»
Die Kriminellen werden immer raffinierter, Phishing lässt sich je länger, je weniger von echten Nachrichten unterscheiden.
Doch wer glaubt, mit dem Abschluss einer Versicherungspolice sei es getan, wähnt sich in trügerischer Sicherheit. «Es wäre falsch zu denken, ich bin versichert und damit ist alles gut», sagt Bundt. «Eine Versicherung ist kein Ersatz für ein gutes Risikomanagement, sondern nur ein Teil davon. Es ist wie bei anderen Schädigungen auch: Wenn Sie sich das Bein brechen, zahlt die Versicherung zwar die Behandlungskosten. Aber die Schmerzen und den Ärger haben Sie trotzdem.» Deshalb sei eine gute Cyberhygiene wichtig, sagt die Expertin. So habe man im Angriffsfall Optionen und könne den Schaden in Grenzen halten, zum Beispiel, wenn der Betrieb aufgrund eines Ransomvorfalls unterbrochen wird. Überhaupt müssen Firmen bestimmte Sicherheitsvorkehrungen nachweisen, bevor sie eine Versicherung abschliessen können. «Sonst bekommt man unter Umständen keine Police.» Dazu gehört etwa ein Daten-Backup, das offline ist. Das Ziel müsse nämlich sein, dass eine Firma möglichst selbst oder mithilfe eines Dienstleisters wieder auf die Beine kommt, ohne auf die Forderungen der Erpresser eingegangen zu sein, so Bundt.
Auch Raphael Boullet empfiehlt, regelmässig Sicherheitskopien anzufertigen. Ausserdem rät er: «Man sollte solide Sicherheitslösungen für Angriffsvektoren wie E-Mail, Internet und Netzwerk im Einsatz haben. Denn mit dieser Art von Grundschutz hat man bereits vieles abgedeckt.» Um wirklich sicher sein zu können, reiche es allerdings nicht, sich nur um die technische Seite zu kümmern: «Die Sensibilisierung der Mitarbeitenden ist mindestens so wichtig.» Ein gut informierter Mitarbeiter könne Phishing erkennen – jemandem, den man nicht geschult habe, dürfe man im Ereignisfall keinen Vorwurf machen, findet Boullet. Für die Schulung der Mitarbeitenden empfiehlt er sogenannte Micro-E-Learnings: «Das sind Lerneinheiten von 5 bis 15 Minuten, idealerweise übers Jahr verteilt.» So werden die Leute immer wieder ans Thema erinnert und können sich ausserdem die Inhalte besser merken, als wenn sie einmal ein Tagesseminar besucht haben.
Im Ernstfall: Spezialisten involvieren
Doch aller Vorsichtsmassnahmen zum Trotz kann der Ernstfall eintreten. «Hundertprozentige Sicherheit gibt es nicht», sagt Boullet. Wenn etwas passiere, sei es wichtig, einen kühlen Kopf zu bewahren und sich Hilfe zu holen: «Wenn plötzlich nichts mehr funktioniert und man obendrein eine Lösegeldforderung bekommen hat, ist man mit hoher Wahrscheinlichkeit Opfer einer Ransomware-Attacke geworden. In einem solchen Fall hilft es, Ruhe zu bewahren und so schnell wie möglich jemanden zu involvieren, der sich damit auskennt.» Denn wer versuche, selbst eine Lösung zu finden, könne unter Umständen den Schaden vergrössern, sagt Boullet. Wer keine Cybersecurity-Spezialisten inhouse hat oder mit einem entsprechenden IT-Partner zusammenarbeitet, könne sich an das Cyber Security Incident Response Team (CSIRT) von Swisscom wenden. Dieses steht Unternehmen, die Opfer einer Cyberattacke geworden sind, zur Verfügung und hilft mit technischem Know-how. «Die Experten analysieren die Situation und empfehlen Sofortmassnahmen», erklärt Raphael Boullet. Nicht nur das: «Sie helfen auch, die Strafverfolgungsbehörden zu involvieren. Denn wenn Sie angegriffen wurden, ist es wichtig, dass Sie Strafanzeige bei der Polizei erstatten und das NCSC informieren, das Nationale Zentrum für Cybersicherheit.» Neben der Swisscom bieten im Schadenfall auch die Versicherer Unterstützung, sagt Maya Bundt. «Beim Abschluss einer Cyberpolice geht es nicht nur um den finanziellen Risikotransfer, sondern oft werden auch Dienstleistungen geboten wie ein solcher Incident-Response-Service.» Wenn etwas passiert sei, könne man die Versicherung anrufen und ähnlich wie die Swisscom involviert diese Experten, die sich um das Krisenmanagement kümmern.
Doch trotz all der Hilfe, die man von verschiedenen Stellen bekommt – wichtig sei, sich im Vorfeld Gedanken zu machen, wie die Abläufe im Fall einer Krise zu sein haben, sagt Raphael Boullet, indem man sich einen Plan zurechtlege. Dazu gehöre, einen Krisenstab zu definieren und die wichtigsten Anlaufstellen zu bestimmen; nebst der IT etwa einen Rechtsbeistand für den Fall, dass sensitive Daten gestohlen werden. «Kümmern Sie sich um einen Notfallplan, bevor etwas passiert. Dann sind Sie in der Krise handlungsfähig.» Das Thema Sicherheit könne ausserdem nicht delegiert werden, findet der Fachmann: «Cybersecurity sollte bei der Geschäftsleitung angesiedelt sein, und nicht bei der IT-Abteilung als alleinige Verantwortliche.»
Wenn man nun aber erpresst wird und eine Lösegeldforderung erhält: Sollte man auf diese eingehen oder nicht? «Wenn man als Firma in dieser Situation ist, kann ich verstehen, dass man eine Lösegeldzahlung für den schnellsten Weg hält, sich des Problems zu entledigen», sagt Raphael Boullet. «Aber leider garantiert eine Zahlung weder, dass die Erpresser den Schlüssel für die Daten herausgeben, noch dass die Entschlüsselung tatsächlich funktioniert. Es ist eher wahrscheinlich, dass die Kriminellen bald darauf wieder auf der Matte stehen, weil die Firma signalisiert hat, dass sie erpressbar ist.» Es sei besser, entsprechende Spezialisten und die Behörden zu involvieren und auf diesem Weg aus der Krise herauszufinden.
Wenn Ihnen nun der Schreck in die Glieder gefahren ist und Sie sich selbst besser vor Gefahren aus dem Cyberraum schützen möchten – Maya Bundt, die Cybersecurity-Expertin der Swiss Risk Association, hat eine Empfehlung für Sie: «iBarry.ch ist eine ganz tolle Webseite, auf der Experten aus der Schweizer Cyberszene nützliche Tipps und aktuelle Infos für Privatpersonen zusammentragen.» Die Themen sind tatsächlich einfach erklärt und auch für Laien verständlich. Es lohnt sich also, da ein bisschen herumzustöbern. Denn wer informiert ist, kann verhindern, den Hackern in die Falle zu gehen – und erhöht damit die Sicherheit von allen.
Raphael Boullet, Head Cyber Security Midmarket bei Swisscom, und Maya Bundt, Vorstandsmitglied und Vorsitzende des «Cyber Resilience Chapter» bei der Swiss Risk Association.