Lautlos, schleichend und zerstörerisch: Cyberrisiken sind schwer zu erfassen, treten in den verschiedensten Formen und Ausprägungen auf und stellen eine grosse Gefahr besonders für KMU dar, beispielsweise Ransomware-Angriffe, die das IT-System verschlüsseln, mit dem Ziel, Geld für die Freigabe der Daten und Systeme zu erpressen. Oder Manipulationsversuche wie der CEO-Betrug, bei dem sich Betrüger als vermeintliche CEOs ausgeben und Mitarbeitenden falsche Zahlungsanweisungen geben.
Das sind nur die bekanntesten Formen von Cyberangriffen, der Fantasie der Kriminellen sind keine Grenzen gesetzt. Die Folgen für Unternehmen können fatal sein, wie zahlreiche aktuelle Beispiele von Angriffen auf bekannte Schweizer Unternehmen zeigen.
Mitarbeitende im Fokus
Eine aktuelle Marktforschungsstudie von «gfs-zürich» zeigt, dass bereits jedes vierte KMU zum Opfer eines Cyberangriffs wurde. Insbesondere Ransomware-Angriffe haben gemäss dem Nationalen Zentrum für Cybersicherheit (NCSC) zugenommen – gleichzeitig auch die Lösegeldforderungen.
Um einen erfolgversprechenden Angriff zu starten, konzentrieren sich Cyberkriminelle in der Regel auf den einfachsten und effizientesten Weg: den Faktor Mensch. Der Startpunkt ist dabei oft eine Phishing-Mail, die einen Link oder einen Anhang enthält, der angeklickt oder geöffnet werden soll. Dadurch installiert sich unbemerkt eine Schadsoftware. Oder der Mitarbeitende wird durch eine verblüffend echt und seriös wirkende Mail dazu aufgefordert, persönliche Informationen wie Benutzerdaten und Passwörter einzugeben, hinter der sich allerdings eine gefälschte Website verbirgt.
Die Mitarbeitenden stehen also im Fokus der Angreifer. Die besten IT-Sicherheitsmechanismen nützen dabei wenig, wenn die Umgehung über Mitarbeitende einfach gemacht wird. Im übertragenen Sinne: Die beste Alarmanlage und Mehrfachverriegelung sind nutzlos, wenn der Einbrecher ins Haus gelassen wird. In der aktuellen Lage, in der ein Teil der Belegschaft aufgrund der Covid-19-Massnahmen «isoliert» im Homeoffice arbeitet, sind Mitarbeitende sogar anfälliger auf Manipulationsversuche als sonst. Diese Schwachstelle ist dann auch der Ausgangspunkt einer gemeinsamen Studie der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) und Allianz Suisse.
Studie zeigt Themenbilder
Die wichtigste Erkenntnis daraus: Besonders die Haltung der Mitarbeitenden gegenüber Cyberangriffen hat eine direkte Auswirkung auf die Cybersicherheit der KMU. Wer diese Haltung besser versteht, kann relativ schnell praxisnahe Verbesserungsvorschläge entwickeln. Die Methodik der Studie war speziell: Mitarbeitende aus drei KMU aus der Wärme- und Fertigungsindustrie wurden im September 2020 mit der Methode der «Tiefen-Metaphern» interviewt (siehe Box). Die von ihnen zuvor ausgewählten Bilder unterstützten die Beschreibung ihrer Gefühle in Bezug auf Cyberangriffe und brachten unterbewusste und emotionale Gründe für Verhaltensweisen an die Oberfläche.Die Mitarbeitenden zeigten eine differenzierte Denkweise und gaben nuancierte und facettenreiche Antworten auf die teils hartnäckigen Fragen zu den von ihnen gewählten Bildern.
Sieben wiederkehrende Themen kamen zum Vorschein: die Zuordnung der Cyberangriffe auf geopolitische Themen und die Verbindung zum organisierten Verbrechen, ihre Ansichten zu «Hacker», die Hilflosigkeit, Cyberangriffe zu erkennen und zu bewältigen, und das Bewusstsein, für Phishing-Angriffe anfällig zu sein.
Weitere Themen waren die möglichen Auswirkungen von Cyberangriffen auf das Unternehmen, gleichzeitig das Gefühl, zu unwichtig für einen Angriff zu sein, und die äusserst proaktive Haltung für eine aktive Teilnahme an der Problembewältigung.
Ein achtes Thema bezieht sich auf die verschiedenen Profile und Tätigkeiten der Mitarbeitenden. So sind Mitarbeitende in der Verwaltung eines Unternehmens in der Regel direkt von IT-Ausfällen betroffen und scheinen sich deshalb des Risikos und der Auswirkungen bewusster zu sein. Zusätzlich scheinen Mitarbeitende aufgrund des geringeren Schadenpotenzials und ihrer gefühlten Unwichtigkeit im privaten Umfeld weniger wachsam zu sein als in der beruflichen Umgebung. Dieses Verhalten kann sich durch die Zunahme von Homeoffice zu einem erhöhten Risiko entwickeln.