Digitalisierung & Transformation

Digitalisierung / IT-Sicherheit III

Cybersicherheit: Noch nicht im ­digitalen Zeitalter angekommen

Amélie Lustenberger 25.05.2023
Vielen Unternehmen sind die Risiken der digitalen Welt nicht bewusst und sie sind entsprechend schlecht ausgerüstet. Dabei sind Cyberangriffe eine reale Gefahr und die Abhängigkeit von IT und vom Internet steigt. Der Beitrag vermittelt einige grundlegende Massnahmen für mehr Cybersicherheit.
PDF Kaufen

Die digitale Transformation bietet viele Potenziale und Chancen. Gleichzeitig steigt mit ihr auch die Komplexität und Abhängigkeit von der IT und dem Internet. Die Cybersicherheit wird so zum ­Erfolgsfaktor der digitalen Transformation. 

«Wir sind noch nicht im digitalen Zeit­alter angekommen», sagt Prof. Dr. Marc K. ­Peter, Leiter des Kompetenzzentrums ­Digitale Transformation der FHNW und Dozent bei Rochester-Bern im «CAS Wirksames KMU-Management», und erklärt dies anhand eines Beispiels: «Wenn Sie am Sonntag an Ihrem Büro vorbeifahren und feststellen, dass die Fenster offen sind, schliessen Sie diese. Im digitalen Raum hingegen sehen wir unsere Schwachstellen oft gar nicht», so Peter. Dabei ist Cyberkriminalität ein reales Risiko. Befragungen zeigen, dass ein Viertel bis ein Drittel der Schweizer KMU bereits einen Cyberangriff erlebt haben, der mit grösserem Aufwand verbunden war. Verwaltungsrat und Geschäftsleitung sind dafür verantwortlich, die Cybersicherheit zu garantieren – eine Aufgabe, die noch viel zu wenig ernst genommen wird. Peter zeigt, wo die Gefahren liegen, und gibt einige konkrete Empfehlungen. 

Gefahren und Schwachstellen 

Hacker sehen Schwachstellen, auch wenn sie uns nicht bewusst sind. «Sie erkennen, wenn Fenster bei unserem Haus offen sind, und nutzen dies aus», so Peter. Es ist daher wichtig, selbst auch hinzuschauen und sich klarzumachen, wo Angriffspunkte liegen könnten. 

Ein erstes wichtiges Element ist ein si­cheres WLAN. Dabei geht es nicht nur um das WLAN des Unternehmens, sondern jedes WLAN, das Mitarbeitende nutzen, ist eine potenzielle Schwachstelle. Sobald Mitarbeitende im Homeoffice sind und darüber mit dem Geschäftscomputer ­online gehen, ist der Arbeitsplatz zuhause eine Erweiterung des Büros und ein mögliches Einfallstor. 

Eine ganz perfide Cybergefahr birgt das Social Engineering – die zwischenmenschliche Beeinflussung einer Person. Dabei versucht der Hacker, das Vertrauen des Opfers zu gewinnen und es so zum Beispiel zur Preisgabe von vertraulichen Informationen oder zur Freigabe von Kreditkartendaten und Passwörtern zu bewegen. «Stellen Sie sich vor, dass Sie am Vorabend an einem Apéro waren und dann erhalten Sie eine E-Mail von ­einer Person, die sich für das nette Gespräch von gestern bedankt und einen Link mit Ihnen teilen möchte. Hier könnte es sich um einen Hacker handeln, der auf Social Media gesehen hat, dass Sie an dem Apéro waren und dies ausnutzt, um Ihr Vertrauen zu gewinnen», sagt Peter.

Die Nachricht könnte ein sogenanntes Phishing sein: Der Versuch, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Ziel des Betrugs ist es, zum Beispiel an persönliche Daten eines Internet-Benutzers zu gelangen oder ihn zur Ausführung einer schädlichen Aktion zu bewegen. In der Folge werden dann beispielsweise Kontoplünderung oder Identitätsdiebstahl begangen oder eine Schadsoftware installiert. Es handelt sich dabei um eine sehr gefährliche Form des Social Engineerings: Ein falscher Klick auf einen Link kann innert Sekunden einen Trojaner installieren. 

Eine etwas abgeänderte Form ist das Physical Social Engineering. Auch hier ist das Ziel eine Kontoplünderung, Identitätsdiebstahl oder eine schädliche Schadsoftwareinstallation. Allerdings kommt noch eine physische Komponente dazu, zum Beispiel in Form eines verkleideten Technikers, der sich Zugang zu den Büroräumlichkeiten verschafft und so einen Trojaner installiert. Wichtig ist deshalb auch die physische Sicherheit, wie zum Beispiel ein abgeschlossener Serverraum, den Laptop zu blockieren, wenn man aus dem Zimmer geht, oder sicherzustellen, dass keine USB-Datenträger an die eigene Infrastruktur angeschlossen werden, welche eine Schadsoftware installieren könnten. 

Cybersicherheit als Basishygiene

KMU haben bereits einen ersten Schritt getan, wenn sie sich der Schwachstellen und Cybergefahren bewusst sind. Zudem gibt es ein paar grundsätzliche Massnahmen, die jedem Unternehmen helfen können, die Gefahren eines Cyberan­griffes zu reduzieren. 

Segmentierung

Eine erste Sicherheitsmassnahme besteht darin, das IT-Netzwerk zu segmentieren. «Wenn Sie zum Beispiel eine Niederlassung in Asien oder Südamerika haben, dann muss diese nicht auf alle Daten in der Schweiz zugreifen können», so ­Peter. Durch eine Segmentierung haben ­Hacker weniger Andockpunkte, um an Daten und Informationen zu kommen. 

Firewalls

Firewalls sind Geräte, die einen unbefugten Zugriff auf ein Netzwerk verhindern. Der Name stammt aus dem Mittelalter und bezieht sich auf physische Feuerwände, die vermeiden sollen, dass ein Feuer von einem Haus auf das andere übergeht. Schweizer Telekommunikationsunternehmen bieten in der Regel in ihrem Router auch eingebaute Firewalls an. Es gilt nun sicherzustellen, dass diese auch aktualisiert werden. Unternehmen wird zudem geraten, ihre eigenen Firewalls zu installieren.

Virtual Private Network (VPN)

Sicherheitsfördernd ist auch ein Virtual Private Network (VPN) – eine Netzwerkverbindung in einem privaten Tunnel, die von Unbeteiligten nicht einsehbar ist. Diese sollte von Mitarbeitenden immer genutzt werden, wenn sie auf Firmen­daten zurückgreifen oder sich über ein firmenfremdes W-LAN verbinden. Kleine Firmen können auf bestehende VPN-­Anbieter zurückgreifen, während es sich für grössere Unternehmen lohnt, eine ­eigene VPN-Infrastruktur aufzubauen.

W-LAN

W-LANs sollten sparsam genutzt werden. Zudem sollte überprüft werden, dass die Antennen nicht unnötig weit strahlen und somit ein zusätzliches Sicherheits­risiko darstellen. «Auf dem Parkplatz oder im Nachbargebäude sollten Sie sich nicht mehr mit ihrem W-LAN ver­binden können», so Peter. 

Datenverschlüsselung

Auch die Datenverschlüsselung ist ein grundlegender Baustein der Datensicherheit. Sie ist die einfachste und wichtigste Art und Weise, um zu gewährleisten, dass die Informationen eines Computersystems nicht zu betrügerischen Zwecken gestohlen und gelesen werden. «Bevor Sie eine Cloud nutzen, stellen Sie sicher, dass die Daten dort verschlüsselt sind», so Peter. Die meisten KMU nutzen die Cloud eines externen Hosting-Anbieters. Marc K. Peter empfiehlt hier eine Risi­koanalyse durchzuführen: Welche Daten sind auf der Cloud? Sind diese auch auf einem Back-up gespeichert? Sind die wichtigen Daten verschlüsselt? Und wo sind die Daten physisch gespeichert?

Social-Media-Datenhygiene

Idealerweise verfügen KMU über Richt­linien, was auf Social Media preisgegeben werden darf und was nicht. Dies garantiert eine «Social-Media-Datenhygiene» und stellt sicher, dass keine Informationen veröffentlicht werden, die Hacker zu ihren Gunsten nutzen können. 

Passwörter

Eine einfache Massnahme, um die Cybersicherheit zu erhöhen, sind gute Pass­wörter. Es sollten nicht immer die gleichen benutzt werden und sie sollten ­möglichst komplex sein. Eine Strategie ist, sich ­einen Satz auszudenken, von den Wörtern die Erstbuchstaben zu nehmen und noch ein paar Sonderzeichen einzufügen. Bei sehr heiklen Daten kann sogar ein ­gutes Passwort nicht mehr sicher genug sein. Hier helfen weitere Sicherheitschecks mittels Mehrfachauthentifizierung («Multi Factor Authentication»), zum Beispiel über SMS-Codes, Apps auf dem Mobiltelefon oder USB-Sticks. 

Back-up und Daten-Recovery

Essenziell sind auch das Back-up und die Daten-Recovery. «Am besten haben Sie mehrere Back-up-Versionen an unterschiedlichen Orten», sagt Peter. Ohne Daten ist ein Unternehmen aufgeschmissen. Bei einem Hackerangriff oder auch einem physischen Unglück, zum Beispiel einem Feuer, sollte es Back-ups geben, die sicherstellen, dass die Daten wiederher­gestellt werden können. 

Rollen und Berechtigungen

«Wenn Sie in Ihrem Unternehmen Microsoft Teams haben und die entsprechenden Einstellungen nicht anpassen, können alle Mitarbeitende schauen, mit welcher Person Sie über Teams am meisten Kontakt hatten und an welchen Dokumenten sie gerade arbeiten. Wollen Sie das?», so Peter. Dies ist eine Frage der ­Rollen und Berechtigungen. Nicht alle müssen Zugriff auf alles haben: Verwaltungsrat und Geschäftsleitung sollten sicherstellen, dass die Einstellungen entsprechend ausgewählt wurden. 

Fazit

Bei den zuvor genannten Massnahmen handelt es sich nur um die Grundlagen der Datensicherheit. Um bei der Metapher des physischen Hauses zu bleiben: Durch diese Schritte können zumindest die sichtbaren Fenster des Hauses geschlossen werden. Natürlich gibt es aber noch den Weg über den Balkon, die Kellertür und das Katzentor. Ein guter Grund für Führungskräfte, sich vertiefter mit dem Thema auseinanderzusetzen. Prof. Dr. Marc K. Peter unterrichtet im «CAS Verwaltungsrat» und «CAS Wirksames KMU-Management» bei Rochester-Bern über die digitale Trans­formation inklusive Cybersicherheit und ­digitales Marketing.

Porträt

Amélie Lustenberger (Autor)

Communication Manager, Rochester-Bern

Rochester-Bern Executive Programs (RoBe) ist eine ­Boutique-Business School, welche Weiterbildungen für Fach- und Führungskräfte sowie Verwaltungsräte entwickelt, organisiert und implementiert.

Kontakt

amelie.lustenberger(at)rochester-bern.ch www.rochester-bern.ch