In all den Jahren meiner Selbstständigkeit und nach Hunderten von erlebten Fällen ergibt sich für mich folgender Leitsatz: «Die Aufarbeitung eines Schadens nach einem Cyberaist in jedem Fall um ein Vielfaches teurer und nervenaufreibender als der frühzeitige proaktive Aufwand in Form von gezielter Prävention und zugeschnittenen Abwehrmassnahmen.»

Wichtig scheint mir, dass sämtliche proaktiven Massnahmen, welche angegangen werden, in jedem Fall zugeschnitten und überschaubar für Ihr Unternehmen geplant werden. Damit lassen sich gezielte Effektivität und massive Kostenersparnis vereinen.

Gemäss unseren Erfahrungen betragen die durchschnittlichen Kosten der Ereignisbewältigung bei einem Angriffsschaden mindestens das Zehnfache gegenüber geeigneten und proaktiven Massnahmen – Zahlungen an Erpresser nicht eingerechnet, ebenfalls nicht die schlaflosen Nächte als Verantwortlicher. Und allfällige Reputationsschäden für Ihr Unternehmen sind auch nicht inkludiert. Einzelne individuelle Vollkostenvergleiche haben wir firmenintern erstellt. Diese geben ein tragisches Bild ab, sollten in den Geschäftsleitungen und im Verwaltungsrat zu denken geben.

Verantwortung wahrnehmen

Wie schon erwähnt sind die heutigen Angriffe und massgeblichen Vorfälle in und mit der Informationstechnologie, die im Zusammenhang mit Ransomware stehen, an der Tagesordnung. In den vergangenen fünf Jahren sollen rund 4800 erfolgreiche Cyberangriffe auf Schweizer Unternehmen erfolgt sein. Wohlgemerkt: Die Fälle, bei denen Lösegelder bezahlt wurden sind dabei nicht mit gezählt (Quelle: Netzwoche). 56 Prozent all dieser Fälle schreibt man dem Jahre 2020 zu (Quelle: Beobachter).

Meist werden die immensen Folgen erst nach Eintritt des Schadenbeginns sichtbar, Höhe und Dauer desselben manchmal auch erst einige Tage später: Lahmlegen der Produktion, fehlendes Know-how bei der Ereignisbewältigung, ungewisser Fortgang der Geschäftstätigkeit; um nur einige negative Einflüsse zu nennen.

Leider stösst der Spruch «Sicherheit und Unternehmensschutz sind Chefsache» immer noch bei einem überwiegenden Teil der Entscheidungsträger auf taube Ohren. Das elegante Wegdelegieren an einen tiefer eingeordneten Stelleninhaber im 23. Nebenamt – und das alles möglichst kostenneutral! – ist immer noch en vogue. Als Verantwortlicher habe ich mich dann mit diesem lästigen und kostspieligen Thema, welches ich auch nicht genau verstehe, nicht mehr zu befassen. Sicherheit kostet ja nur, bringt kaum messbare Erfolge und in unserer Firma ist eh noch nichts passiert.

Wenn dann aber doch mal etwas passiert, ist dann ohnehin die bereits überlastete Informatikabteilung Schuld …

Es braucht eine Schubumkehr!

Alle Verantwortlichen auf allen Stufen, Inhaber von Unternehmen und Chefs in Institutionen können viel tun, um die Eintrittswahrscheinlichkeit eines Angriffsschadens zu reduzieren sowie die Reaktionszeit bei dessen Aufarbeitung und Behebung zu verringern. Sich damit zu befassen und danach zu handeln ist angesagt! Rein technische Massnahmen in der Informatik eines Unternehmens, losgelöst von einer Gesamtbetrachtung, bringen in der Regel keine oder nur marginale Besserung.

Packen Sie es jetzt an, es ist nie zu spät! Prävention und Massnahmen in der Informationssicherheit bedeuten folgende zwei Bereiche:

Sicherheitsstrategie (Mitarbeiter, Organisation und Prozesse)

• Ist sich die Geschäftsleitung / der Verwaltungsrat betreffend die Auswirkungen bei einem Schaden / Ausfall der Systeme genügend bewusst? Wissen die obersten Entscheidungsträger, wer letztlich die Verantwortung trägt und welche finanziellen Folgen entstehen können?

• Sind die Abhängigkeit der Geschäftsprozesse von der Informatik / Elektronik jemals gesamthaft hinterfragt worden?

• Sind alle Mitarbeitenden im Umgang mit den Informationen und Daten sowie der IT-Infrastruktur sensibilisiert, regelmässig geschult?

• Sind die Geschäftsrisiken innerhalb der Governance beurteilt? Sind Business Continuity Management (BCM), Notfall- und Krisenkonzepte, IT-Ausfallpläne erarbeitet worden?

• Sind die Verantwortlichkeiten und Zuständigkeiten im Bereich der Informationssicherheit geregelt? An wen meldet sich der Mitarbeitende z. B. beim Erhalt einesPhishing-Mails?

• Existiert eine Klassifizierung Ihrer Daten? Weiss jeder, welche Daten / Informationen extern weitergegeben werden dürfen?

• Existiert ein Informationssicherheitskonzept? Existiert generell ein Firmenschutzkonzept?

• Gibt es eine Passwort-Policy? Sind der Umgang und die Zusammensetzung von Passwörtern für alle verbindlich geregelt?

• Sind Rollen und Berechtigungen bei den Zugriffsmöglichkeiten vergeben und eingeschränkt?

Technik (IT, Elektronik)

• Sind all Ihre IT-Systeme immer mit Sicherheitsupdates versorgt worden? Sind nicht mehr unterstützte Software / Systeme umgehend ersetzt worden?

• Ist der Empfang von gefährlichen E-Mail-Anhängen blockiert? Sind die Möglichkeiten zum Schutz vor Phishing-Angriffen genutzt?

• Ist Ihre Backup-Infrastruktur geschützt? Werden Ihre Daten regelmässig gesichert? Befindet sich die Sicherungskopie physisch getrennt vom Rechner / Netzwerk?

• Sind Rollen und Berechtigungen bei den Zugriffsmöglichkeiten richtig vergeben und eingeschränkt?

• Sind sogenannte Fernzugänge (z. B. VPN) auf interne Ressourcen (z. B. Sharepoint) mit einer Zwei-Faktor-Authentifizierung abgesichert?

• Sind der Virenschutz und Firewall aktualisiert?

Chris Eckert

Mehr Auskünfte und gezielte Schulungen erteilt Ihnen: www.swissbp.ch