Cyberattacken erfolgreich abwehren: Strategien und Techniken

Klaus Julisch: Cyberangriffe nehmen stark zu, Firmen investieren in Sicherheit. Ist in diesem Katz-und-Maus-Spiel eher die Katze oder eher die Maus im Vorteil?

Grundsätzlich eher die Katze. Als Verteidiger bin ich an vielen Punkten angreifbar – ich muss meine gesamte Infrastruktur schützen, und zwar laufend. Der Angreifer hingegen braucht nur einmal Erfolg zu haben. Als Verteidiger unterliege ich auch regulatorischen und ethischen Einschränkungen, wie zum Beispiel im Bereich der Künstlichen Intelligenz. Angreifer unterliegen keinen solchen Einschränkungen beim Einsatz neuer Technologien.

Wo wittern Hacker neuerdings ihre Chance?

Die IT-Landschaft von Unternehmen wird immer komplexer und vernetzter. Denken Sie nur an Cloud-Computing, Robotik, Künstliche Intelligenz, Homeoffice, «Bring your own device», Fernwartung oder an all die IT im Alltagsleben – sei es in Flugzeugen oder in Krankenhäusern. Das macht die Prozesse effizienter, bringt Geschäftspartnerinnen und -partner näher zueinander und ebnet den Weg für Innovationen. Leider vergrössert sich damit auch die digitale Angriffsfläche.

Erkennen Sie neue Vorgehensweisen auf der Angriffsseite?

Seit drei, vier Jahren haben Angriffe auf Lieferketten stark an Bedeutung gewonnen. Cyberkriminelle suchen Schwachstellen bei Lieferanten, um diese als «Sprungbrett» in die IT-Systeme ihrer Opfer zu verwenden. Ansonsten setzen Cyberkriminelle auf etablierte Vorgehensweisen. Sie sind hier pragmatisch: Wenn ein Angriffsmodell funktioniert, warum sollten sie es ändern?

Dr. Klaus Julisch ist Managing Partner für Risk Advisory, Mitglied des Executive Teams und Lead Partner für die Cyber Practice von Deloitte Schweiz. Als Mitglied des European Cyber Leadership Teams ist er daran beteiligt, das Wachstum der Cyber-Dienstleistungen von Deloitte in der Region zu steuern.

Klaus Julisch: Betrügerische Mails sind bei Cyberkriminellen noch immer sehr beliebt. Werden sie eines Tages dank KI so gut sein, dass wir sie nicht mehr erkennen?

Im Moment lassen sich die meisten Phishing-Mails mit etwas Erfahrung enttarnen. Oft suggerieren Hacker eine Dringlichkeit – der Empfänger muss möglichst schnell handeln und macht so Fehler. Verdächtig sind auch Links auf obskure Webseiten sowie schlechtes Deutsch. Ich rate zudem, die Absender-Mailadresse zu prüfen. Doch die KI lernt. Klassische Erkennungsmerkmale von Phishing-Mails werden über kurz oder lang ihre Aussagekraft verlieren.

Was raten Sie Firmen in diesem Kampf der ungleich langen Spiesse?

Firmen haben eine Vielzahl an Möglichkeiten, um sich zu schützen. Ich plädiere als Erstes dafür, dass sich Firmen einer «Cyberhygiene» unterziehen. Hygiene wird hier im Sinne von «Händewaschen» verstanden, das zwar nicht gesund macht, aber hilft, sich nicht anzustecken. Für die Cybersicherheit einer Firma bedeutet Cyberhygiene, zuerst die selbstverständlichen Hausaufgaben zu machen.

Zum Beispiel?

Ein gutes Beispiel ist das «Patch-Management», mit dem Firmen ihre Software regelmässig, unternehmensweit und im besten Fall automatisiert auf den neuesten Stand bringen. Zudem sollten Firmen unbedingt Anti-Malware-Software einsetzen. Und natürlich muss man seine Passwörter schützen, etwa mit einer Zwei-Faktor-Authentifizierung. In diesem Kontext wäre zudem ein Konzept zu entwickeln, wie die Zugriffsrechte von privilegierten Personen, etwa Systemadmins, kontrolliert werden können.

Wie wichtig ist die Aufklärung der Mitarbeitenden? Cyberkriminelle missbrauchen ja oft falsches Vertrauen und nutzen Angst oder Unachtsamkeit, um sich Zugang zu Gebäuden, Systemen oder Daten zu beschaffen.

Das wäre ein weiteres Beispiel für «Cyberhygiene». Es ist heute Standard, dass Firmen kontinuierlich Phishing-Attacken simulieren, um Mitarbeitende zu sensibilisieren. Neben einer Sensibilisierung ist es wichtig, dass Firmen ihren Mitarbeitenden aufzeigen, wie sie verdächtige Aktivitäten erkennen und melden können. Ein weiterer Punkt geht eher in Richtung Unternehmenskultur: Firmen müssen ein offenes Umfeld schaffen, in dem Mitarbeitende ermutigt werden, Vorfälle zu melden – ohne Angst vor Repressalien, wenn zum Beispiel ein vertrauliches Dokument aus Versehen an die falsche E-Mail-Adresse gesandt wurde.

Klaus Julisch: Was, wenn trotz aller Vorsicht ein Hackerangriff erfolgreich war?

Auch wenn Cyberkriminelle in die Firmen-IT eindringen können, ist nicht zwangsläufig alles verloren. Mit einem Notfallplan können sich Firmen auf solche Situationen vorbereiten. Der Plan umfasst klare Handlungsanweisungen, um im Notfall eine schnelle Reaktion und Schadensbegrenzung zu ermöglichen. Wichtig: Der Notfallplan muss auch regelmässig geübt werden.

Was kann eine Firma in diesem Fall tun?

Das hängt sehr von der Natur des Angriffs ab. Generell muss man das Ausmass und die Methoden eines Angriffs verstehen, um diesen eindämmen zu können. In vielen Fällen müssen Systeme oder Daten wiederhergestellt werden. Die Kommunikation mit Kundinnen und Kunden, Lieferfirmen, Presse und Regulatoren spielt oft eine wichtige Rolle. Es kann auch notwendig werden, Ersatzsysteme hochzufahren, um eine minimal-IT zu haben, während die Hauptsysteme wiederhergestellt werden. Dies kann sich als komplex erweisen.

Soll eine Firma Lösegeld bezahlen?

Viele Betriebe kaufen sich frei, das ist leider eine Tatsache. Die klare Empfehlung der Expertenwelt ist hingegen, keine Lösegelder zu bezahlen, denn wer zahlt, der finanziert die Cyberkriminalität.