E.M. aus A.: Ich bin Inhaberin eines Handelsunternehmens und habe kürzlich eine Cyberversicherung abgeschlossen. Nun fragen wir uns in der Geschäftsleitung: Wie merken wir überhaupt, wenn ein Hacker ins System eingedrungen ist? Welche Anzeichen gibt es und was gilt es dann zu tun?

Sehr geehrte Frau M: Hacker verhalten sich wie Einbrecher. Sie versuchen möglichst wenig Verdacht zu erregen und ihre Spuren zu verbergen. Oft ist nicht sofort erkennbar, wenn Cyberkriminelle ins System eingedrungen sind. Es kann Wochen oder sogar Monate dauern, bis der Hacker zuschlägt.

So erkennen Sie eine Cyberattacke

Es kann sein, dass Passwörter nicht mehr funktionieren, der Bildschirm flimmert oder der Computer selbstständig Aktionen ausführt. Weitere Indizien können sein, dass Programme nicht starten oder viele Fehlermeldungen auftauchen. Manchmal kommen die Erpresser aber auch gleich zur Sache, und es erscheint eine Lösegeldforderung auf dem Bildschirm. Hier empfehlen wir, nicht zu zahlen. Denn nicht jeder Angreifer ist in der Lage, die Daten wiederherzustellen oder bereit, es nach der Zahlung überhaupt zu tun. Wer einmal erfolgreich erpresst wurde, wird leicht erneut zum Opfer.

So reagieren Sie bei einem Cyberangriff richtig

1. Nehmen Sie umgehend alle Systeme vom Netz und schalten Sie das WLAN aus.

2. Informieren Sie die interne oder externe Person, die für Ihre IT-Sicherheit zuständig ist. Bei KMU ist dies meistens der IT-Dienstleister. Nun gilt es, das Problem und die Schäden zu analysieren.

3. Informieren Sie die Mitarbeitenden.

4. Da Sie eine Cyberversicherung abgeschlossen haben, sollten Sie nun die Versicherung kontaktieren. Sie arbeitet mit spezialisierten Partnerfirmen, die Sie unterstützen. Ausserdem übernimmt sie die Kosten für die Reinigung der IT-Systeme, Datenwiederherstellung und entschädigt den Betriebsunterbruch. Bestenfalls haben Sie bereits im Vorfeld einen Notfallplan erstellt, den Sie abarbeiten können. Denn je besser Sie vorbereitet sind, desto eher können Sie Schäden und Fehler vermeiden.

5. Informieren Sie die Polizei.

6. Wenn Sie wieder Zugriff auf Ihre Systeme haben: Informieren Sie das Nationale Zentrum für Cybersicherheit (NCSC) über den Vorfall via Meldeformular auf:

ncsc.admin.ch.

Nach dem Cyberangriff ist vor dem Cyberangriff

Auch wenn die Daten wiederhergestellt sind und Sie wieder in den Normalbetrieb übergehen: Nehmen Sie sich Zeit und reflektieren Sie mit Ihrem IT-Dienstleister, was gut und was weniger gut funktioniert hat und entwickeln Sie den Notfallplan gemeinsam weiter. Je besser die Prozesse ablaufen, desto geringer werden die Schäden und desto schneller wird Ihr Betrieb bei einem nächsten Angriff wieder normal funktionieren.

Präventive Massnahmen zum Cyberschutz sind genauso wichtig wie die Planung für den Ernstfall. Denn obwohl Angriffe nie ganz verhindert werden können, reduzieren sie die Wahrscheinlichkeit für einen Angriff. Werden zum Beispiel regelmässig Backups erstellt und Software-Updates durchgeführt? Ist der Zugang zu WLAN mit Passwörtern geschützt? Und wie steht es um die Mitarbeitenden? Verhalten sie sich im Sinne der Cybersicherheit oder braucht es Schulungen?

Mitarbeitende sollten in der Lage sein, Phishing-E-Mails zu erkennen, sichere Passwörter zu nutzen und nicht auf unbekannte, verdächtige Links zu klicken. Gerade die Schwachstelle Mensch geht oft vergessen. Dabei ist er das schwächste Glied der Sicherheitskette und somit ein beliebtes Einfallstor für Cyberkriminelle.