Professionalisierte Angreifer

Ein umfassendes Lagebild über die IT-Sicherheit existiert zurzeit nicht. Die Schätzungen gehen zum Teil weit auseinander. Einzelnen  zufolge wurde sogar mehr als die Hälfte aller Unternehmen bereits einmal erfolgreich angegriffen. Nicht alle wissen davon. «Cyber-Angriffe zielen zunehmend auf die Vertraulichkeit von Daten», sagt Malz.

«Die Angreifer dringen in ein System ein, stehlen die Daten und verlassen das System wieder unbemerkt – entweder auf Bestellung oder um die Daten danach zum Verkauf anzubieten.» Diese Angreifer haben es primär auf Geschäftsgeheimnisse oder Kundendaten abgesehen. Technologiefirmen, zum Beispiel Biotech- und Pharma-Firmen, sind für die Angreifer ganz besonders interessant. Andere möchten das Bankkonto des Opfers plündern oder dessen Infrastruktur für weitere Angriffe missbrauchen.

Bei DDos-Attacken oder Ransomware wiederum geht es vor allem um Erpressung.

Wer die Angreifer sind, lässt sich kaum zurückverfolgen. «Aber wir sehen deutlich, dass sich diese Kreise professionalisieren. Entwickler, Vertreiber und Anwender von Malware sind heute selten die gleichen Personen. Ausserdem finden vermehrt spezifische Angriffe statt», sagt Malz. «Ein Trojaner wird so angepasst, dass der Virenscanner ihn nicht entdeckt und er auf das anzugreifende System ausgerichtet ist. Immer häufiger wird er kein zweites Mal wiederverwendet. So erfassen Analysesysteme weltweit alle vier Sekunden eine neue Malwaresignatur.»

KMU brauchen einen Grundschutz

Bereits durch den Aufbau einer minimalen digitalen Umgebung, zum Beispiel durch ein simples Online-Bestellsystem, wird ein Unternehmen angreifbar. Und durch die digitale Transformation, in der wir uns alle befinden, wird es immer mehr solche Angriffsflächen geben.

Das müsse man als KMU verstehen und sich dann überlegen, wie man mit dem Risiko umgehen will, sagt Malz. IT-Sicherheit sei ein Thema, das sich laufend verändere, und die Massnahmen sollen letztlich verhältnismässig sein.

«Man kann das Risiko nicht aus der Welt schaffen, also muss man es bewirtschaften», sagt Malz. 100 Prozent IT-Sicherheit ist nicht möglich. «Deshalb brauchen auch KMU einen IT-Grundschutz, der es den Angreifern bereits viel schwerer macht. Unsere Expertengruppe erarbeitet derzeit einen solchen IT-Grundschutz. Er soll eine Orientierungshilfe sein, wie man die IT-Sicherheit im eigenen Unternehmen pragmatisch und zielgerichtet gestalten kann.

Setzt man diesen Grundschutz um, hat man schon viel erreicht. Denn: Mehr IT-Sicherheit sind nicht nur Kosten, sondern eine Investition in die Zukunft und in das Vertrauen der Geschäftspartner. Wir müssen zwar auch nachträglich rekonstruieren können, was passiert ist, wenn wir etwas nicht verhindern konnten. Aber jedes Unternehmen, das einmal betroffen war, würde sich wünschen, präventiv besser gehandelt zu haben. Reaktives Handeln verursacht langfristig den grösseren Schaden und die höheren Kosten.»

Umfrage

In Zusammenarbeiten mit Fachverbänden (ICT Switzerland, ISSS, Schweizer Versicherungsverband) und weiteren Stellen im Bund führte die Expertengruppe Ende 2017 eine repräsentative Umfrage unter KMU aus allen Branchen durch.

  • 14 % aller Geschäftsleiter haben demnach nicht das Gefühl, einer grossen Gefahr aus dem Cyberraum ausgesetzt zu sein. 
  • 58 % denken, dass sie sehr gut davor geschützt sind. 
  • 35 % wurden bereits einmal erfolgreich angegriffen.