Perspektiven
Cyberattacken erfolgreich abwehren: Strategien und Techniken
Plötzlich haben Hacker Zugriff auf interne Firmendaten und drohen, diese zu veröffentlichen oder zu verschlüsseln. Sie nutzen dieses Druckmittel, um das Unternehmen zu erpressen und Geld zu erhalten. Wie können sich Unternehmen gegen Cyberattacken schützen?
Welchen finanziellen Schaden Cyberkriminalität genau verursacht, ist schwierig zu beziffern. Doch es gibt Schätzungen. Das Forschungsunternehmen Cybersecurity Ventures geht davon aus, dass Cyberkriminelle im Jahr 2023 weltweit einen Schaden von 8’000 Milliarden US-Dollar verursacht haben.
Das entspricht dem Zehnfachen des Schweizer Bruttoinlandproduktes. Und die Tendenz ist steigend – um etwa 15 Prozent jährlich. Hinter den Kosten verbirgt sich eine breite Palette an Schäden wie zum Beispiel gestohlene, beschädigte und zerstörte Daten, Produktivitätsverluste, Industriespionage und der damit verbundene Diebstahl von geistigem Eigentum. Dazu kommen die forensischen Untersuchungen des Diebstahls, die Wiederherstellung der Daten und Systeme, Rechtskosten, Rufschädigung und natürlich Lösegelder, welche bei sogenannten Ransomware-Angriffen erpresst werden.
Der Cyberkriminalität gegenüber steht die ebenfalls stark wachsende Cybersicherheitsindustrie. Diese ist laut Zahlen des Weltwirtschaftsforums WEF 2023 viermal so schnell gewachsen wie die Weltwirtschaft. Doch reicht dies aus, um Cyberkriminellen die Stirn zu bieten?
Klaus Julisch: Cyberangriffe nehmen stark zu, Firmen investieren in Sicherheit. Ist in diesem Katz-und-Maus-Spiel eher die Katze oder eher die Maus im Vorteil?
Grundsätzlich eher die Katze. Als Verteidiger bin ich an vielen Punkten angreifbar – ich muss meine gesamte Infrastruktur schützen, und zwar laufend. Der Angreifer hingegen braucht nur einmal Erfolg zu haben. Als Verteidiger unterliege ich auch regulatorischen und ethischen Einschränkungen, wie zum Beispiel im Bereich der Künstlichen Intelligenz. Angreifer unterliegen keinen solchen Einschränkungen beim Einsatz neuer Technologien.
Wo wittern Hacker neuerdings ihre Chance?
Die IT-Landschaft von Unternehmen wird immer komplexer und vernetzter. Denken Sie nur an Cloud-Computing, Robotik, Künstliche Intelligenz, Homeoffice, «Bring your own device», Fernwartung oder an all die IT im Alltagsleben – sei es in Flugzeugen oder in Krankenhäusern. Das macht die Prozesse effizienter, bringt Geschäftspartnerinnen und -partner näher zueinander und ebnet den Weg für Innovationen. Leider vergrössert sich damit auch die digitale Angriffsfläche.
Erkennen Sie neue Vorgehensweisen auf der Angriffsseite?
Seit drei, vier Jahren haben Angriffe auf Lieferketten stark an Bedeutung gewonnen. Cyberkriminelle suchen Schwachstellen bei Lieferanten, um diese als «Sprungbrett» in die IT-Systeme ihrer Opfer zu verwenden. Ansonsten setzen Cyberkriminelle auf etablierte Vorgehensweisen. Sie sind hier pragmatisch: Wenn ein Angriffsmodell funktioniert, warum sollten sie es ändern?
Dr. Klaus Julisch ist Managing Partner für Risk Advisory, Mitglied des Executive Teams und Lead Partner für die Cyber Practice von Deloitte Schweiz. Als Mitglied des European Cyber Leadership Teams ist er daran beteiligt, das Wachstum der Cyber-Dienstleistungen von Deloitte in der Region zu steuern.
Künstliche Intelligenz verändert die Bedrohungslage
Die Angriffe von Cyberkriminellen werden zusehends ausgefeilter. Eine wichtige Rolle spielt hier die Künstliche Intelligenz (KI). Hacker finden dank KI schneller Schwachstellen in Systemen, und da KI viele Prozesse automatisiert, werden gewisse Angriffe günstiger. Haben die Angreifer die Verteidigungslinien durchbrochen, kann KI dazu verwendet werden, die gestohlenen Daten zu analysieren. Allerdings hat die Cybersicherheitsindustrie diese Bedrohung erkannt und arbeitet an Gegenmassnahmen sowie Möglichkeiten, KI zur Verteidigung einzusetzen.
Klaus Julisch: Betrügerische Mails sind bei Cyberkriminellen noch immer sehr beliebt. Werden sie eines Tages dank KI so gut sein, dass wir sie nicht mehr erkennen?
Im Moment lassen sich die meisten Phishing-Mails mit etwas Erfahrung enttarnen. Oft suggerieren Hacker eine Dringlichkeit – der Empfänger muss möglichst schnell handeln und macht so Fehler. Verdächtig sind auch Links auf obskure Webseiten sowie schlechtes Deutsch. Ich rate zudem, die Absender-Mailadresse zu prüfen. Doch die KI lernt. Klassische Erkennungsmerkmale von Phishing-Mails werden über kurz oder lang ihre Aussagekraft verlieren.
Was raten Sie Firmen in diesem Kampf der ungleich langen Spiesse?
Firmen haben eine Vielzahl an Möglichkeiten, um sich zu schützen. Ich plädiere als Erstes dafür, dass sich Firmen einer «Cyberhygiene» unterziehen. Hygiene wird hier im Sinne von «Händewaschen» verstanden, das zwar nicht gesund macht, aber hilft, sich nicht anzustecken. Für die Cybersicherheit einer Firma bedeutet Cyberhygiene, zuerst die selbstverständlichen Hausaufgaben zu machen.
Zum Beispiel?
Ein gutes Beispiel ist das «Patch-Management», mit dem Firmen ihre Software regelmässig, unternehmensweit und im besten Fall automatisiert auf den neuesten Stand bringen. Zudem sollten Firmen unbedingt Anti-Malware-Software einsetzen. Und natürlich muss man seine Passwörter schützen, etwa mit einer Zwei-Faktor-Authentifizierung. In diesem Kontext wäre zudem ein Konzept zu entwickeln, wie die Zugriffsrechte von privilegierten Personen, etwa Systemadmins, kontrolliert werden können.
Wie wichtig ist die Aufklärung der Mitarbeitenden? Cyberkriminelle missbrauchen ja oft falsches Vertrauen und nutzen Angst oder Unachtsamkeit, um sich Zugang zu Gebäuden, Systemen oder Daten zu beschaffen.
Das wäre ein weiteres Beispiel für «Cyberhygiene». Es ist heute Standard, dass Firmen kontinuierlich Phishing-Attacken simulieren, um Mitarbeitende zu sensibilisieren. Neben einer Sensibilisierung ist es wichtig, dass Firmen ihren Mitarbeitenden aufzeigen, wie sie verdächtige Aktivitäten erkennen und melden können. Ein weiterer Punkt geht eher in Richtung Unternehmenskultur: Firmen müssen ein offenes Umfeld schaffen, in dem Mitarbeitende ermutigt werden, Vorfälle zu melden – ohne Angst vor Repressalien, wenn zum Beispiel ein vertrauliches Dokument aus Versehen an die falsche E-Mail-Adresse gesandt wurde.
Firmendaten schützen ist ein wichtiges Gebot
Ein weiteres Puzzleteil der Cybersicherheit ist der Schutz von Firmendaten. Bei Ransomware-Angriffen verschlüsseln Hacker solche Daten und ermöglichen Firmen nur gegen Lösegeld wieder Zugang. Darum kann es sinnvoll sein, wenn Firmen in einen zusätzlichen Speicherort investieren, der von den Cyberkriminellen nicht kompromittiert werden kann. Bei kleineren Firmen reicht mitunter schon eine simple vom Netzwerk getrennte Festplatte, bei grösseren Unternehmen bieten Cloud-Anbieter entsprechende Infrastrukturen an.
Klaus Julisch: Was, wenn trotz aller Vorsicht ein Hackerangriff erfolgreich war?
Auch wenn Cyberkriminelle in die Firmen-IT eindringen können, ist nicht zwangsläufig alles verloren. Mit einem Notfallplan können sich Firmen auf solche Situationen vorbereiten. Der Plan umfasst klare Handlungsanweisungen, um im Notfall eine schnelle Reaktion und Schadensbegrenzung zu ermöglichen. Wichtig: Der Notfallplan muss auch regelmässig geübt werden.
Was kann eine Firma in diesem Fall tun?
Das hängt sehr von der Natur des Angriffs ab. Generell muss man das Ausmass und die Methoden eines Angriffs verstehen, um diesen eindämmen zu können. In vielen Fällen müssen Systeme oder Daten wiederhergestellt werden. Die Kommunikation mit Kundinnen und Kunden, Lieferfirmen, Presse und Regulatoren spielt oft eine wichtige Rolle. Es kann auch notwendig werden, Ersatzsysteme hochzufahren, um eine minimal-IT zu haben, während die Hauptsysteme wiederhergestellt werden. Dies kann sich als komplex erweisen.
Soll eine Firma Lösegeld bezahlen?
Viele Betriebe kaufen sich frei, das ist leider eine Tatsache. Die klare Empfehlung der Expertenwelt ist hingegen, keine Lösegelder zu bezahlen, denn wer zahlt, der finanziert die Cyberkriminalität.
Die drei wichtigsten Tipps gegen Cyberrisiken
- Nehmen Sie das Thema ernst. Jede Firma ist verwundbar.
- Investieren Sie in die Cyberhygiene.
- Überlegen Sie sich, gegen welche Angriffe Sie den Betrieb noch besser schützen sollten. Gehen Sie dabei risikobasiert vor: Wie könnte ein Angriff stattfinden? Welchen Schaden könnte ein Angriff verursachen? Welche Gegenmassnahmen sollten ergriffen werden?