Cyber-Angriffe können alle treffen – auch das sicherste KMU

Am Freitag, 2. November lud das Kommunikationsunternehmen GGA Maur zusammen mit dem ewz und Studerus AG zu einem Weiterbildungs- und Networking-Event im Kraftwerk in Zürich ein. Experten aus Wirtschaft und Wissenschaft präsentierten den über 90 Teilnehmenden Fakten, Trends und Best Practices zu den Themen Kommunikation der Zukunft und Cybersecurity.

Technologischer Wandel bietet mehr Chancen als Probleme

Den Anfang machte Jürg Leuthold. Mit eindrücklichen Zahlen und Fakten zeigte der Professor für Photonik und Kommunikation der ETH Zürich auf, wie sich Informationstechnologien in Zukunft entwickeln werden. «Im Jahr 2000 waren wir mit einer Übertragungsrate von 128 kbit/Sekunde zufrieden. Heute benötigen wir 1 Gbit/Sekunde und bis 2030 wird mehr als das Zehnfache davon der Standard sein.» Die Anwendungsfälle für neue Technologien sind fast grenzenlos – von individueller Bekleidung aus dem 3D-Drucker und zahlreichen medizinischen Anwendungen anhand von Machine Learning über das autonome Fahren bis hin zu Cyborgs. «Informationstechnologien werden unseren Lebensstandard nachhaltig verbessern. Jedoch ist dazu der kontinuierliche Ausbau der bestehenden Infrastruktur nötig», so Leuthold.

Die Physik ist kein Problem, soviel steht fest. Laut dem ETH Professor können im Labor bereits heute in einer einzigen Glasfaser Geschwindigkeiten von bis zu 1.01 Petabyte pro Sekunde erreicht werden. Auch bei mobilen Daten ist das Potenzial bezüglich Kapazität noch längst nicht ausgeschöpft. Herausforderungen beim Energieverbrauch, der Prozessorenleistung und den optischen Komponenten sind lösbar, ist sich Leuthold sicher. Schwieriger gestalten sich gesellschaftliche Herausforderungen, die sich aus dem technologischen Wandel ergeben – etwa mögliche gesundheitliche Belastungen durch Strahlung, Sicherheitsaspekte und der Wandel im Arbeitsmarkt und Bildungssystem. «Der technologische Wandel hält mehr Chancen als Probleme für uns bereit. Wir müssen aber bereit sein, uns den Begebenheiten und Realitäten anzupassen. Mit alten Zöpfen bestreiten wir die Zukunft nicht.»

Wie viel Sicherheit ist möglich?

Marc Henauer von der Melde- und Analysestelle Informationssicherung des Bundes – kurz MELANI – ging in seinem Referat auf die Cyber-Risiken und Herausforderungen ein. «Cyber-Risiken ergeben sich durch den Einsatz von IT zur Unterstützung von Prozessen und zur Effizienzsteigerung. Sie bedrohen jedes Unternehmen unabhängig von Branche und Grösse.» Mit der zunehmenden Bedeutung von Informationstechnologien für Unternehmen steigen laut Henauer die Vernetzung und der Wert des Informationszugangs. Gleichzeitig nimmt damit auch die Möglichkeit für Betrug, Spionage, Erpressung, Sabotage und andere Cyber-Angriffe zu. Dies veranschaulichte Henauer anhand von unterschiedlichen Beispielen, wie etwa dem WannaCry-Angriff, der 2017 weltweit zahlreiche Computersysteme lahmgelegt hatte. «Die Cyberkriminellen arbeiten in organisierten dezentralen Gruppen, entwickeln ihre Methoden laufend weiter und gehen dabei sowohl virtuell wie auch physisch gegen ihre Opfer vor. Eine komplette Absicherung ist deshalb unmöglich.»

Die Lösung sieht Henauer für Unternehmen auf einer anderen Ebene. Cyber-Risiken sind nur ein Teil der Informationssicherheit eines Unternehmens, denn auch physische und personelle Risiken können zu entsprechenden Attacken führen. «Eine technologische Lösung macht als Sicherheitsmassnahme für die IT Sinn. Für einen gesamtheitlichen Informationsschutz benötigen Unternehmen jedoch einen übergeordneten Sicherheitsansatz, der auf Ebene Geschäftsleitung ins Risikomanagement integriert werden sollte.»

Aus Sicht des Gegners

Einen Perspektivenwechsel bot im Anschluss Ivan Bütler, CEO von Compass Security AG. Im Dezember 2017 konnte sich Bütler im Auftrag des SRF trotz Ankündigung erfolgreich in das Netzwerk des Energieversorgungsunternehmens EBL im Kanton Baselland hacken und einen Teil der Weihnachtsbeleuchtung ausschalten. «Die Achillesferse des Internets sind die Menschen, die auf die Geschichten der Hacker hereinfallen und ihnen so Zugang gewähren.» Dies geschieht normalerweise etwa über eine Fake-Bewerbung auf einem USB-Stick oder über einen Mailanhang. Im Falle des EBL funktionierten diese Ansätze jedoch nicht, deshalb setzte Bütler auf einen weiteren Trick.

Ein einfaches Ablenkungsmanöver am Empfang des EBL reichte, um einen fremden Techniker ins Unternehmen einzuschleusen, der ungestört ein Schadprogramm auf dem System installieren konnte. «Man sollte keine Geschenke verteilen – ein unbedachter Umgang mit E-Mail-Anhängen, Links oder Passwörtern ist eine Einladung für Hacker. Ein gesundes Mass an Skepsis ist angebracht», fasst Bütler zusammen.

Tipps gegen Cyber-Angriffe

Abgerundet wurde das Thema Cybersecurity von Hugo Bossard, CIO von Studerus AG. Er erläuterte wie KMU mit Schadprogrammen umgehen können und stellte konkrete Firewall-Dienste von Studerus AG wie GeoIP oder Content Filter zum Schutz vor. Weniger effektiv sind laut Bossard Anti-Virus und Anti-Spam-Dienste auf der Firewall.

In einem zweiten Teil gab Bossard den Anwesenden fünf Tipps zur Ransomware Prävention:

1. Als solide erste Abwehr sollten KMU eine Firewall installieren.
2. KMU sollten regelmässige Backups machen, die ausserhalb des Gebäudes und des Netzwerks abgelegt werden und im Notfall wiederhergestellt werden können.
3. Das verwendete Betriebssystem sollte auf allen verwendeten Computern immer auf dem neusten Stand sein. Sicherheitsupdates verringern die Möglichkeiten für Cyberkriminelle.
4. E-Mail-Anhänge und unbekannte Links sollten vorsichtig behandelt und im Zweifelsfall nicht geöffnet werden.
5. Auf jeden Rechner des Unternehmens gehört ein aktuelles Anti-Virus Programm.

Weitere Informationen: GGA Maur