Forschung & Entwicklung

Studie: IT-Sicherheit

Mitarbeitende für Cybersicherheit aktivieren

Die Zahl der Cyberangriffe steigt rapide und stellt für Unternehmen eine immer grösser ­werdende Bedrohung dar. Die grösste Schwachstelle sind dabei die Mitarbeitenden. Gerade KMU sind in dieser Situation besonders gefordert, die Widerstandsfähigkeit zu stärken und Notfallprozesse zu entwickeln.
PDF Kaufen

Lautlos, schleichend und zerstörerisch: Cyberrisiken sind schwer zu erfassen, treten in den verschiedensten Formen und Ausprägungen auf und stellen eine gros­se Gefahr besonders für KMU dar, beispielsweise Ransomware-Angriffe, die das IT-System verschlüsseln, mit dem Ziel, Geld für die Freigabe der Daten und Systeme zu erpressen. Oder Manipula­tionsver­suche wie der CEO-Betrug, bei dem sich Betrüger als vermeintliche CEOs ausgeben und Mitarbeitenden falsche Zahlungs­­anweisungen geben. 

Das sind nur die bekanntesten Formen von Cyberangriffen, der Fantasie der Kriminellen sind keine Grenzen gesetzt. Die Folgen für Unternehmen können fatal sein, wie zahlreiche aktuelle Beispiele von Angriffen auf bekannte Schweizer Unternehmen zeigen. 

Mitarbeitende im Fokus

Eine aktuelle Marktforschungsstudie von «gfs-zürich» zeigt, dass bereits jedes vierte KMU zum Opfer eines Cyberangriffs wurde. Insbesondere Ransomware-Angriffe haben gemäss dem Nationalen Zentrum für Cybersicherheit (NCSC) zugenommen – gleichzeitig auch die Lösegeldforderungen.

Um einen erfolgversprechenden Angriff zu starten, konzentrieren sich Cyber­kriminelle in der Regel auf den einfachsten und effizientesten Weg: den Faktor Mensch. Der Startpunkt ist dabei oft eine Phishing-Mail, die einen Link oder einen Anhang enthält, der angeklickt oder geöffnet werden soll. Dadurch installiert sich unbemerkt eine Schadsoftware. Oder der Mitarbeitende wird durch eine verblüffend echt und seriös wirkende Mail dazu aufgefordert, persönliche Informationen wie Benutzerdaten und Passwörter einzugeben, hinter der sich allerdings eine gefälschte Website verbirgt. 

Die Mitarbeitenden stehen also im Fokus der Angreifer. Die besten IT-Sicherheitsmechanismen nützen dabei wenig, wenn die Umgehung über Mitarbeitende einfach gemacht wird. Im übertragenen Sinne: Die beste Alarmanlage und Mehrfach­verriegelung sind nutzlos, wenn der Einbrecher ins Haus gelassen wird. In der aktuellen Lage, in der ein Teil der Belegschaft aufgrund der Covid-19-Massnahmen «isoliert» im Homeoffice arbeitet, sind Mit­arbeitende sogar anfälliger auf Manipulationsversuche als sonst. Diese Schwachstelle ist dann auch der Ausgangspunkt einer gemeinsamen Studie der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) und Allianz Suisse.  

Studie zeigt Themenbilder 

Die wichtigste Erkenntnis daraus: Besonders die Haltung der Mitarbeitenden gegenüber Cyberangriffen hat eine direkte Auswirkung auf die Cybersicherheit der KMU. Wer diese Haltung besser ver­steht, kann relativ schnell praxisnahe Verbesserungsvorschläge entwickeln. Die Methodik der Studie war speziell: Mitarbeitende aus drei KMU aus der Wärme- und Fertigungsindustrie wurden im September 2020 mit der Methode der «Tiefen-Metaphern» interviewt (siehe Box). Die von ihnen zuvor ausgewählten Bilder unterstützten die Beschreibung ihrer Gefühle in Bezug auf ­Cyberangriffe und brachten unterbe­wusste und emotionale Gründe für Verhaltensweisen an die Oberfläche.Die Mitarbeitenden zeigten eine differenzierte Denkweise und gaben nuancierte und facettenreiche Antworten auf die teils hartnäckigen Fragen zu den von ihnen gewählten Bildern. 

Sieben wiederkehrende Themen kamen zum Vorschein: die Zuordnung der Cyberangriffe auf geopolitische Themen und die Verbindung zum organisierten Verbrechen, ihre Ansichten zu «Hacker», die Hilflosigkeit, Cyberangriffe zu erkennen und zu bewältigen, und das Bewusstsein, für Phishing-Angriffe anfällig zu sein. 

Weitere Themen waren die möglichen Auswirkungen von Cyberangriffen auf das Unternehmen, gleichzeitig das Gefühl, zu unwichtig für einen Angriff zu sein, und die äusserst ­proaktive Haltung für eine aktive Teilnahme an der Problembewältigung. 

Ein achtes Thema bezieht sich auf die verschiedenen Profile und Tätigkeiten der Mitarbeitenden. So sind Mitarbeitende in der Verwaltung eines Unternehmens in der Regel direkt von IT-Ausfällen betroffen und scheinen sich deshalb des Risikos und der Auswirkungen bewusster zu sein. Zusätzlich scheinen Mitarbeitende aufgrund des geringeren Schadenpotenzials und ihrer gefühlten Unwichtigkeit im ­privaten Umfeld weniger wachsam zu sein als in der beruflichen Umgebung. Dieses Verhalten kann sich durch die ­Zunahme von Homeoffice zu einem erhöhten Risiko entwickeln.

Empfehlungen

Die Mitarbeitenden zeigten, dass sie einen guten Wissensstand hinsichtlich Cyber­gefahren und deren Auswirkungen ha­-ben und erkannten ihre eigene Anfälligkeiten. Das ist eine gute Grundlage, um ihre Rolle als erster Verteidiger eines Angriffs ­wahrzunehmen. Die Ansicht, dass sie als Person zu unwichtig sind oder ihr Unternehmen zu klein, um als Angriffsziel zu gelten, ist jedoch eine klare Schwachstelle für KMU. Zusätzlich neigten Mitarbeitende dazu, die Verantwortung für den Schutz gegen Cyberangriffe an Dritte wie zum Beispiel externe IT-Dienstleister abzugeben. Dieses systematische Problem muss angegangen werden.

Positiv ist: Die Mitarbeitenden können und wollen bei der Cybersicherheit mitwirken. Sie zeigten in den Interviews eine bemerkenswerte Begeisterung für die Problembewältigung und eine vor­wärtsgerichtete Haltung, nach einem  Cyberangriff die Arbeit weiterzuführen. Aus diesen Beobachtungen folgen drei Empfehlungen. 

Bewusstsein schärfen
KMU-Mitarbeitende sind für Cyberge­fahren sensibilisiert. Die gleichzeitige ­Ansicht, zu unbedeutend zu sein, ist jedoch eine gefährliche Schwachstelle, die an­gegangen werden sollte. Wir empfehlen deshalb, das Bewusstsein der Mitarbeitenden durch regelmässige Informa­tionsveranstaltungen gezielt zu schärfen: 

  • Statistiken (zum Beispiel durch NCSC) und publizierte Fälle in den Medien direkt und konsistent mit den Mitarbeitenden teilen
  • Mitarbeitende regelmässig über die Anzahl misslungener Angriffe auf das IT-System des Unternehmens informieren.
  • Getroffene Massnahmen zum Schutz des Unternehmens kommunizieren (zum Beispiel Upgrading der Firewalls, Implementierung neuer Virenerkennungssoftware)
  • Mitarbeitende regelmässig an einfache Gewohnheiten erinnern, die sie verinnerlichen sollten, um das Risiko zu reduzieren, einem Phishing-Versuch zum Opfer zu fallen (zum Beispiel wie eine Phishing-Mail erkannt werden kann) 
  • Abwehrmechanismen der IT-Systeme und Anfälligkeiten der Mitarbeitenden testen – beispielsweise durch vorgetäuschte Phishing-Angriffe – und die Ergebnisse kommunizieren 

Mitarbeitende befähigen
Cyberangriffe zielen auf menschliche Schwächen. Mitarbeitende sind deshalb die entscheidende Verteidigungslinie. Wir empfehlen, sie einzubinden und ­zu befähigen:

  • Mitarbeitende ermutigen, sich an der Aufdeckung und Meldung von Angriffen zu beteiligen, um den Stellenwert ihrer Rolle beim Schutz des Unternehmens zu unterstreichen 
  • Externe Dienstleister wie IT-Provider bitten, Mitarbeitende ebenfalls als Kunden einzubinden, anzuleiten, so intensiv wie möglich zu informieren und mitwirken zu lassen
  • Zusammen mit externen Dienstleistern prüfen, ob hilfreiche Tools implementiert werden können wie zum Beispiel ein einfacher Meldeprozess für verdächtige E-Mails oder dergleichen
  • Mitarbeitende in die Entwicklung von Lösungen einbinden (siehe nächste Empfehlung) 

Wiederherstellungsmodus üben
Im Fall eines Angriffs oder bei einer Systemstörung sollten die Mitarbeitenden auf bereits definierte und geübte Ar­beitsvorgänge zurückgreifen können. Wir empfehlen, diese vorzubereiten:

  • Prozesse und Tools für den Fall, dass die IT-Infrastruktur nicht zur Verfügung steht, zusammen mit den Mitarbeitenden entwickeln. Das ist gleichzeitig auch eine Gelegenheit für Teambildung und den Einsatz der Fachkenntnisse ­jedes Mitarbeitenden. 
  • Dabei prüfen, welche Informationen für das Unternehmen entscheidend sind (zum Beispiel Kunden-, Rechnungs- oder technische Produktdaten) und über Offline-Systeme bereitgestellt werden müssen, welche Aufgaben auf privaten Ge­räten erledigt werden können und was auf Papier aufbewahrt werden muss. 
  • Exakte Trigger für den Betrieb im ­Wiederherstellungsmodus definieren, die vom betroffenen System und der Ausfalldauer abhängen
  • Prozesse und Tools regelmässig unter realen Notfallbedingungen testen und verbessern. Unsere Empfehlung ist, ­einen bis zwei Tage im Jahr dafür zu investieren.

Diese Empfehlungen sind eine Ergänzung zu den allgemeinen Schutzmassnahmen und unterstützen diese. Dazu zählt der ­angemessene Schutz der IT-Infrastruktur, etwa durch Firewalls und Passwörter, das Betreiben aktueller Systeme und Software mit regelmässigen ­Updates, regelmässige und getrennt aufbewahrte Backups sowie das vorgängige Erstellen von Notfallreaktions- und Wiederherstellungsplänen. Weiter empfehlen wir, die sogenannten Kronjuwelen – beispiels­weise selbst ent­wickelte Daten, Kunden­informationen oder Produktions­anlagen – zu eruieren und angemessen zu schützen, damit die schlimm­sten Folgen eines Angriffes vermindert werden können. 

Eine Cyber-Risk-Versicherung kann helfen, Cyberrisiken für KMU kontrollierbar zu machen. Dadurch können Haftpflicht­ansprüche und Eigenschäden wie Wiederherstellungskosten und der Betriebsunterbruch im Zusammenhang mit Cy­berangriffen und Datenschutzver­letzun­gen, Krisenmanagementkosten, finan­zielle Schäden infolge Täuschung durch ­einen Dritten wie der CEO-Betrug und Rechtsstreitigkeiten im Zusammenhang mit Cyberrisiken gedeckt werden.

Bei einem Cyberangriff sind die Mitarbeitenden im Fokus der Hacker. Mit unseren menschlichen Schwächen sind wir be­sonders anfällig für Täuschungs- und Manipulationsversuche wie Phishing-Angriffe. Im gleichen Zug bilden Mitarbeitende die wichtigste Verteidigungslinie für KMU. Spezialisierte Dienstleister sind ein Element eines wirksamen Schutz- und Reaktionssystems, sie können jedoch nicht isoliert arbeiten, und die Verantwortung eines jeden sollte nicht vollständig an sie ausgelagert werden. Durch die Umsetzung der Empfehlungen und das aktive Adressieren der Cyberrisiken sind Unternehmen besser auf einen Angriffsversuch vorbereitet. Wachsame und befähigte Mitarbeitende sind dabei der ­entscheidende Schlüssel zur Cybersicherheit eines jeden KMU. Sollte ein Angriff trotzdem gelingen, sorgen die vorbereiteten Mitarbeitenden und die eingeübten ­Wiederherstellungspläne dafür, dass der Schaden möglichst gering bleibt. 

Porträt