Was ist überhaupt ... Cybercrime?
Cyberkriminalität gilt als eines der grössten Risiken für Unternehmen des 21. Jahrhunderts. Auf rund 600 Milliarden US-Dollar schätzen die Rückversicherer die weltweiten Schäden – Tendenz steigend. Naturkatastrophen dagegen schlagen mit rund 200 Milliarden zu Buche. Dennoch sieht sich nur eines von zehn Schweizer Unternehmen durch Cyberkriminalität bedroht – eine gefährliche Fehleinschätzung.
Um was geht’s?
In der heutigen Welt funktioniert nichts mehr ohne Informationstechnik. Jedes Unternehmen ist mit dem Internet verbunden und kein Bereich ist davon ausgenommen. Egal ob Produktion, innerbetriebliche Kommunikation, Service oder Vertrieb: Ohne Netz geht gar nichts mehr. Und das kann schnell gefährlich werden. «Die Technologie-Basierung öffnet die Tür für Kriminalität», erklärt Damir Bogdan. Der Gründer und CEO der Actvide AG berät weltweit Unternehmen, Start-ups und Hochschulen in den Bereichen Digitalisierung und Innovation.
Für ihn ist wichtig, zwischen digitaler Kriminalität und Cybercrime zu unterscheiden. «Unter den Begriff digitale Kriminalität fallen normale Verbrechen, die heute mit moderner Technologie durchgeführt werden», so Bogdan. Das sind zum Beispiel mittels Kamera und Kartenleser geknackte Bankkarten. «Früher wurden dafür Personen überfallen, heute kriegt man davon gar nichts mit, bis Geld auf dem Konto fehlt.» Diese Fälle beschäftigen die Polizei mehr und mehr, betreffen aber eher Privatpersonen. Unternehmen sind dagegen häufig von Cybercrime betroffen, also von Straftaten, die ohne Technologie gar nicht möglich wären. Die Bandbreite der möglichen Angriffe ist dabei ebenso gross wie die damit verbundenen Ziele. «Mit Viren oder Trojanern, die viele aus dem Privatleben kennen, geht es da erst los.»
Grob lassen sich fünf verschiedene Formen des Cybercrime definieren.
Cyberangriffe auf Staaten:
«Manche Staaten nutzen Cyberattacken, um gegen andere vorzugehen», weiss Bogdan. Dabei geht es zum Beispiel um das Lahmlegen wichtiger Industrien oder Spionage im politischen und militärischen Bereich. So wurde zum Beispiel im Jahr 2010 das Steuerungssystem hinter iranischen Urananreicherungsanlagen durch den Computerwurm Stuxnet empfindlich gestört. Vergleichbare Steuerungssysteme werden weltweit vielfach eingesetzt, zum Beispiel in Wasserwerken oder Pipelinesystemen. Bis heute ist unklar, wer genau hinter dem Angriff auf die iranischen Anlagen stand, sicher ist aber, dass so etwas jederzeit und überall wieder passieren kann.
Cyber-Extortion (Erpressung):
Der Name ist hier Programm: «Bei dieser Form des Angriffs geht es den Tätern vor allem um Geld», erklärt Bogdan. Dafür nutzen sie verschiedene Methoden.
DDOS-Attacken:
Jedes Unternehmen kommuniziert über eine gewisse Bandbreite mit dem Netz und durch viele Zugriffe zur gleichen Zeit können die Server lahmgelegt werden. Das sorgt für empfindliche Störungen im Betriebsablauf und kann so weit gehen, dass ein Unternehmen arbeitsunfähig ist. Die Täter fordern meist eine hohe Summe, um die Attacken einzustellen. Weitere Schäden entstehen aber eher nicht.
Random-Software:
Wesentlich gefährlicher ist ein Angriff mittels eingeschleuster Random-Software. Diese bleibt meist eine ganze Weile unbemerkt, bis sie mit ihrer eigentlichen Arbeit beginnt: Die Server und Rechner eines Unternehmens werden wie aus dem Nichts heraus verschlüsselt. Die Verschlüsselung wird, wenn überhaupt, nur gegen die Zahlung von Lösegeld wieder aufgehoben. Hier droht nicht nur ein kurzfristiger Ausfall und ein finanzieller Schaden, sondern der Verlust aller Daten.
Cyber-Spionage:
Dabei geht es vor allem darum, die Konkurrenz auszuspionieren oder Daten zu entwenden. Letztere sind an sich schon wertvoll, können aber auch für Erpressungen genutzt werden. Denn es schadet der Reputation von Unternehmen massiv, wenn bekannt wird, dass Kundendaten in die falschen Hände geraten sind. Aber auch die reine Spionage kann schwerwiegende Folgen haben. «Bei öffentlichen Aufträgen mit Ausschreibung zum Beispiel ist es ein grosser Vorteil, wenn man weiss, wie viel der Konkurrent fordert», sagt der Experte. Im Prinzip funktioniert Cyber-Spionage wie Cyber-Extortion: Unbemerkt eingeschleuste Software kopiert die gewünschten Daten von den Servern der Unternehmen und leitet sie an die Auftraggeber weiter.
Welches sind die Einfallstore?
Für DDOS-Attacken müssen die Hacker nicht einmal ins System eindringen. Sie attackieren die Server einfach von aussen. «Solche Attacken kann man ganz einfach bestellen und zur vereinbarten Zeit legen die gebuchten Hacker los», erklärt Bogdan. Auch Angriffe mit Random-Software können so eingekauft werden. Die Software wird dann meist wie bei Privatpersonen auch über Phishing-Mails oder infizierte USB-Sticks und Ähnliches eingeschleust. Auch Identitätsklau spielt eine Rolle. «Es ist schon vorgekommen, dass Hacker ein Mail geschickt haben, das vermeintlich vom Chef kam, der gerade auf Dienstreise war», berichtet Bogdan. In der Folge haben leichtsinnige Mitarbeitende Geld überwiesen oder Passwörter verschickt. Auch Fälle, in denen die Hacker vorgaben, die Personalabteilung zu sein, sind dem Experten bekannt. «Da wurden die Mitarbeitenden aufgefordert, sich über einen Link ins Unternehmenssystem einzuloggen und prompt wanderten die Zugangsdaten zu den Hackern.» Gestiegen ist das Risiko auch durch die Zunahme von Homeoffice. «Privatrechner oder private Internetzugänge von Mitarbeitenden sind oft nicht so geschützt wie die entsprechende Unternehmensausrüstung», warnt Bogdan. Hier müssten vor allem kleinere Unternehmen durch professionelle Ausrüstung vorsorgen.
Wie kann man sich schützen?
Viele Unternehmen sind bereits mit Antivirenprogrammen, Phishing-Alarmsystemen oder anderen technischen Schutzvorkehrungen ausgestattet. Auch sei den meisten bewusst, dass die Softwaresysteme immer auf dem aktuellsten Stand gehalten werden müssen. «Technisch sind wir da schon sehr weit», so Bogdan. Die Schwachstelle sei in den meisten Fällen aber leider der Mensch. Das betrifft keineswegs nur die normalen Angestellten. «Gerade das höhere Management fordert oft Ausnahmen von geltenden Sicherheitsregelungen, zum Beispiel, um einen Prozess zu beschleunigen», hat der Cyberexperte die Erfahrung gemacht. Damit geht dann meist ein Sicherheitsrisiko einher. Aber auch naive oder obrigkeitshörige Mitarbeitende sind eine Gefahr. Denn wer sich nicht traut, bei einem ungewöhnlichen E-Mail vom Chef nochmals persönlich nachzufragen oder gar nicht erkennt, dass dieses gefälscht sein könnte, der ist ein leichtes Ziel. «Es muss erlaubt sein, auf sein Bauchgefühl zu hören und jeder Chef sollte froh sein, wenn die Assistenz ihm mit Hinblick auf die Sicherheit auf die Finger schaut.»
Idealerweise weiss vom einfachen Mitarbeitenden bis zum Chef jeder über die Risiken von Phishing-Angriffen Bescheid und ein Mitarbeitertraining zur Aufklärung sollte eine Pflichtübung sein. Das allein sei aber längst nicht so wirkungsvoll wie Aha-Momente. «Unternehmen können zum Beispiel auch Phishing-Angriffe auf die eigenen Mitarbeitenden in Auftrag geben und so testen, wie sie sich verhalten.» In der Praxis fallen bei solchen Tests 10 bis 20 Prozent darauf rein. «Die betreffenden Mitarbeitenden können dann gezielt sensibilisiert werden.»
Wer ist betroffen?
«Cybercrime kann jedes Unternehmen treffen», warnt Bogdan. Die Grösse spiele dabei keine Rolle. «Wenn ich 500 kleine angreife und davon 20 erwische, habe ich mehr davon, als wenn ich drei grosse angreife und die gut gesichert sind.» Wie viele Schweizer Unternehmen schon von Cyberangriffen betroffen waren, ist unklar. Denn zugeben will das kaum jemand. In einer Umfrage unter 300 Schweizer KMU hat allerdings ein Drittel angegeben, 2019 bereits von Viren, Trojanern oder Malware angegriffen worden zu sein und rund 4 Prozent wurden bereits erpresst. Und die Zahlen nehmen zu. Allein die Finanzbranche verzeichnete im ersten Halbjahr 2020 schon zweieinhalb Mal mehr Angriffe als 2019. «Das sind alarmierende Zahlen», sagt der Experte.
«Viele Schweizer Unternehmen kennen die Gefahren, nehmen sie aber nicht ernst genug.» Gerade kleine und mittlere Unternehmen fühlen sich weniger bedroht. «Doch jedes Unternehmen braucht einen Plan, der dann umgesetzt werden muss.»