Interview mit Florian Schütz

swissVR Monitor: Wie hat sich die Bedeutung der Cyber-Resilienz für Unternehmen in den letzten Jahren verändert? Und wie schätzen Sie die allgemeine Bedrohungslage im Jahr 2023 ein?

Florian Schütz: Das Bewusstsein für Cyber-Sicherheit ist in den letzten Jahren gestiegen und viele Unternehmen sind sich der Cyber-Risiken bewusst. Zwischen den Unternehmen gibt es jedoch grosse Unterschiede: Einige nehmen die Cyber-Sicherheit sehr ernst und setzten die nötigen Schutzmassnahmen um, andere kümmern sich jedoch kaum darum.

Der Meldungseingang zu Cyber-Vorfällen beim NCSC bewegt sich aktuell mit durchschnittlich rund 700 Meldungen pro Woche auf hohem Niveau. Dies führen wir einerseits auf die gestiegene Sensibilität der Bevölkerung zurück. Wir nehmen aber auch eine leichte Steigerung der Cyber-Angriffe wahr. Aktuell werden Betrugsfälle besonders häufig gemeldet. So machen angebliche Drohmails von Strafverfolgungsbehörden, sogenannte FakeExtortion-E-Mails, ca. einen Drittel der beim NCSC eingegangen Meldungen aus.

Auch bei den Ransomware-Angriffen beobachtet das NCSC eine leichte Zunahme der Angriffe in den letzten Wochen. Es ist davon auszugehen, dass sich diese Angriffe in Zukunft häufen werden. Dies ist unter anderem darauf zurückzuführen, dass der Ukrainekrieg die Ransomware-Angriffe eher gebremst hat, weil einige der Hackergruppen damit begonnen haben, sich für den Krieg zu engagieren und daher keine Zeit mehr für Erpressungsversuche im Ausland hatten. Nun ist aber damit zu rechnen, dass Ransomware-Angriffe wieder intensiver werden, da die Gruppierungen sehr wahrscheinlich neue finanzielle Mittel generieren müssen.

swissVR Monitor: Die Cyber-Resilienz kleiner und mittelständischer Unternehmen (KMU) erhält weniger mediale Aufmerksamkeit. Sind KMU seltener von Cyber-Angriffen betroffen?

Florian Schütz: Grundsätzlich sind alle Unternehmen, unabhängig von ihrer Grösse oder Branchenzugehörigkeit, gefährdet. Bei vielen KMU stellt sich jedoch das Problem, dass aufgrund knapper finanzieller und personeller ressourcen das für die Cyber-Sicherheit notwendige Know-how und die nötige Infrastruktur nur sehr beschränkt oder gar nicht vorhanden sind.

Ausserdem stellen auch Angreifer Kosten-/Nutzenrechnungen an. Sie wollen mit möglichst wenig Aufwand, möglichst viel erreichen. So gesehen, stehen KMU eher im Fokus der Angreifer, weil Angriffe auf komplexe IT Infrastrukturen von Grossunternehmen oft mit einem grossen Aufwand seitens der Angreifer verbunden sind.

Viele KMU entscheiden sich zudem nach einem Cyber-Angriff gegen den Gang an die Öffentlichkeit. Oft spielen hier Befürchtungen bezüglich eines drohenden Reputationsschadens eine grosse Rolle. Bei grösseren Unternehmen hat diesbezüglich ein Umdenken stattgefunden und so sind in der jüngsten Vergangenheit einige Unternehmen an die Öffentlichkeit gegangen und die Medien haben dies entsprechend thematisiert.

swissVR Monitor: Welche Massnahmen empfehlen Sie Unternehmen, die ihre Cyber-Resilienz auf- oder ausbauen möchten?

Florian Schütz: Cyber-Sicherheit ist Chefsache! Sie muss auf Geschäftsleitungsebene thematisiert werden und ein Risikomanagement bezüglich Cyber-Vorfälle muss in jedem Unternehmen etabliert sein. Allfällige Restrisiken müssen gegenüber der Geschäftsleitung ausgewiesen werden. Die Unternehmensleitung muss die Restrisiken kennen und schriftlich festhalten. Die Finanzierung der wichtigsten Massnahmen muss festgelegt, und für deren Umsetzung gesorgt werden. Die dazu benötigten Investitionen scheinen gross. Aber nicht alle Massnahmen müssen auf einmal umgesetzt werden. Eine Priorisierung ist wichtig. Erste Priorität hat das Aktuell-Halten der Systeme. Die meisten erfolgreichen Ransomware-Angriffe nutzen bekannte Schwachstellen aus, für die es bereits Patches gibt.

Neben den technischen Massnahmen zum Grundschutz, dem Erstellen von Backups und dem Einspielen von Updates, spielt auch die Sensibilisierung der Mitarbeitenden eine wichtige Rolle. Denn oftmals zielen Cyber-Angriffe in einer ersten Phase nicht auf die Infrastruktur, sondern gelten einer Person, die für das Unternehmen arbeitet. Mit so genanntem «Social Engineering» wird versucht, Mitarbeitende so zu beeinflussen, dass sie beispielsweise einen schadhaften E-Mail-Anhang öffnen oder ein Passwort bekanntgeben.

swissVR Monitor: Inwiefern unterstützt der Bund respektive das Nationale Zentrum für Cybersicherheit (NCSC) Unternehmen beim Thema Cyber-Resilienz?

Florian Schütz: Das NCSC stellt auf seiner Website zahlreiche Anleitungen und Checklisten zur Verfügung, die aufzeigen, wie man sich vor Cyber-Angriffen schützen kann und was zu tun ist, wenn ein Angriff erfolgt ist. Ausserdem informiert das NCSC laufend über seine Kanäle wie die Website und über LinkedIn zu neuen Angriffsformen, Sicherheitslücken usw.

Die nationale Sensibilisierungskampagne S-U-P-E-R, die der Bund mit diversen Partnern durchführt, thematisiert die fünf Punkte «sichern», «updaten», «prüfen», «einloggen» und «reduzieren» und gibt zahlreiche Tipps, wie man sich vor Cyber-Bedrohungen schützen kann.

swissVR Monitor: Das neue Datenschutzgesetz tritt am 1. September 2023 ohne Übergangsfristen in Kraft. Was verändert sich dadurch für Unternehmen in puncto Cyber-Resilienz?

Florian Schütz: Das neue Datenschutzrecht stellt die Vereinbarkeit der Schweizer Gesetzgebung mit dem europäischen Recht sicher. Dies ist wichtig, damit die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und die grenzüberschreitende Datenübermittlung auch künftig ohne zusätzliche Anforderungen möglich bleibt. Für den Wirtschaftsstandort und die Wettbewerbsfähigkeit der Schweiz ist dies zentral.

Die verschiedenen Massnahmen wie beispielsweise das rasche Melden eines Cyber-Vorfalls an den EDÖB (Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten), wenn die Datensicherheit verletzt wurde, sind ein wichtiger Beitrag zur Erhöhung der Cyber-Resilienz.