Cybersicherheit in der Schweiz: Noch viel Luft nach oben
In Sachen Cybersicherheit in der Schweiz wird ordentlich aufgerüstet: Diesen Schluss kann man nach dem Ende der Swiss Cyber Security Days 2021 ziehen. Doch noch immer sind zu viele digitale Systeme quasi ungeschützt. Diesbezüglich müssen vor allem KMU über die Bücher.
Kriminalität ist an und für sich etwas Banales und findet zu jeder Zeit und fast überall statt – überall dort, wo es Gelegenheit gibt. So skizziert Serdar Günal-Rütsche, Chef Cybercrime der Kantonspolizei Zürich, die Situation und revidiert damit die Vorstellung, dass es sich bei Kriminellen ausschliesslich um «schwere Jungs» handeln muss. Denn Gelegenheiten für Kriminalität gibt es im Schweizer Cyberspace viele: Gemäss einer Analyse von Dreamlab Technologies ist ein Grossteil aller IP-Adressen in der Schweiz leicht oder relativ leicht angreifbar. Die Analyse wies sogar einige Tausend Fälle nach, wo die Systemsoftware derart veraltet ist, dass Rechner gleichsam ungeschützt der Unbill des Internets ausgeliefert sind.
Cybersicherheit in der Schweiz wird zur Chefsache
Cybersicherheit in der Schweiz rückt aber allenthalben immer höher auf der Agenda politischer und wirtschaftlicher Akteure. Zu stark sind wir mittlerweile von Technologie abhängig, als dass ein Totalausfall riskiert werden könnte. Und dieses Risiko besteht durchaus, wie etwa aktuelle Angriffe von staatlich unterstützten Akteuren auf Microsoft-Systeme belegen. Das bedeutet auch, dass es längst nicht mehr nur «Einzelmasken» sind, welche mit Hacks oder Internet-Betrügereien für Unruhe und Schaden sorgen. Inzwischen herrscht gewissermassen «Krieg» im Cyberspace. Entsprechend stark gewichtet waren denn auch sicherheitspolitische Aspekte an den diesjährigen Swiss Cyber Security Days, die am 10. und 11. März virtuell durchgeführt worden sind. Referenten wie Armeechef Thomas Süssli oder General Didier Tisseyre vom französischen Verteidigungsministerium wiesen auf die Dringlichkeit hin, Knowhow aufzubauen, um die vielseitigen Bedrohungen aus dem Cyberspace abwehren zu können. Bund und Kantone sind dabei, die föderalen Strukturen durchgängiger zu machen, um Cyberkriminalität effektiver bekämpfen zu können.
Innovationsoffensive in Sachen Cybersicherheit gefordert
Wichtige Stakeholder in diesem Unterfangen sind auch die Unternehmen – und damit auch die KMU. Sie sind es, welche Knowhow für die Cyberabwehr generieren könnten. Es braucht eine Innovations-Offensive, wie André Kudelski, Präsident von Innosuisse und CEO der Kudelski-Group, fordert. Es fehle derzeit an Investitionen von KMU in Forschung und Entwicklung. Deshalb brauche es besseren Zugang zu Venture Capital – verbunden auch mit einem Mentalitätswechsel: Förderung des Unternehmertums mit mehr Mut zum Risiko und weniger Schweizer Vorsicht. Zudem gelte es zu verhindern, dass innovative Startups zu schnell ins Ausland veräussert werden.
Doch es gibt auch konkrete Schritte zu vermelden: In einer Zeit, in der ein wachsendes Bedürfnis nach Sinn und Unterstützung besteht, um die Zukunftsfähigkeit einer Unternehmung zu sichern, wurde auch die Gründung der Stiftung digiVolution bekannt gegeben, einer neuen strategischen Kraft zur besseren Beherrschung der Cyber-Bio-Physical-Konvergenz und Digitalisierung.
Unternehmen wiegen sich in falscher Sicherheit
Was strategisch sinnvoll ist, scheint operativ noch vielerorts weit von der Realität entfernt zu sein. Eine Studie von gfs-zürich wies kürzlich nach, dass viele Unternehmen das Thema Cybersicherheit in der Schweiz noch nicht mit der nötigen Ernsthaftigkeit angehen. Umso mehr, als sich mit der Homeoffice-Pflicht die Angriffsfläche vervielfacht hat. Die Gründe sind vielfältig: Viele Entscheidungsträger sind überfordert oder überschätzen die Fähigkeiten der eigenen IT-Abteilungen. Viele sehen das Thema mit dem Ergreifen von technischen Massnahmen wie z.B. Firewalls als erledigt an und vergessen dabei, dass es eben auch organisatorische Massnahmen braucht. Dies bemängelte etwa Keynote-Speaker André Duvillard, Delegierter von Bund und Kantonen für den Sicherheitsverbund Schweiz. In die gleiche Kerbe schlugen Nicolas Mayencourt (CEO Dreamlab Technologies) und Marc K. Peter (Fachhochschule Nordwestschweiz FHNW): Der digitale Wandel bringt eine massive Zunahme an Komplexität und eine hohe Abhängigkeit von Technologie. Dies hat gerade die Corona-Pandemie aufgezeigt, welche den digitalen Wandel massiv beschleunigt hat. «2020 wurde zu einem Rekordjahr für Cybercrime», so Mayencourt. Ändern müsse sich noch vieles: Während etwa für Brandschutz ausführliche Standards und Regulierungen vorliegen, fehlt Vergleichbares für die Cybersicherheit. Und auch in der Bildung wird Cybersicherheit in der Schweiz viel zu wenig thematisiert. Und nicht zuletzt ist Cybersicherheit auch eine Frage der Führung: Sie kann nicht einfach delegiert werden, sondern muss auch in Unternehmen zur Chefsache werden.
Eindrückliches Beispiel, welchen Schaden Cyberangriffe anrichten können
Welche Folgen ein Cyberangriff auf ein KMU haben kann, zeigte Nisa Meta von Swisswindows AG, einem Unternehmen mit 150 Mitarbeitenden an drei Standorten. Es begann im Mai 2019 mit einer unverdächtig scheinenden E-Mail: Sie schien Teil einer schon bestehenden Konversation, trug aber ein kompromittiertes Attachment. Entsprechend sicher war sich der Empfänger, dass alles in Ordnung schien. Die Folgen des Klicks auf den Anhang waren letztlich fatal: Es handelte sich um Ransomware, welche die Daten des Unternehmens verschlüsselte, gekoppelt mit einer Lösegeldforderung. Swisswindows ging nicht auf die Forderung ein, meldete den Vorfall der Polizei und der Meldestelle MELANI. Doch viel ausrichten liess sich damit nicht: Das Unternehmen war zunächst 10 Tage lang offline, Projektdaten gingen verloren, für einen Monat musste man auf Handarbeit umstellen, weil auch die Produktionssteuerung flach lag. Erst nach zwei Monaten konnten die Maschinen wieder hochgefahren werden, ein halbes Jahr dauerte es, bis die Haupt-Schnittstellen wieder funktionierten. Der damit verbundene Produktions- und Umsatzausfall gekoppelt mit den hohen Reparaturkosten führten letztlich zur Zahlungsunfähigkeit des Unternehmens. Nisa Meta leitet aus diesen Erfahrungen folgende Empfehlungen ab: Auf verlässliche externe IT-Partner setzen, die über entsprechende Expertise für Produktionsbetriebe verfügen, daneben ein internes IT-Team für den First Level-Support aufbauen, ein Krisenmanagement implementieren, für Kostenpuffer sorgen und Mitarbeitende in Sachen Cybersicherheit schulen – damit Gelegenheiten für Cyberkriminelle erkannt werden, bevor es zu spät ist.
Treffpunkt für Cybersicherheit in der Schweiz
Die dritte Ausgabe der Swiss Cyber Security Days brachte online mehr als 1.800 Personen live zusammen und schuf so unzählige Interaktionen zwischen Experten, Dienstleistern und Teilnehmern. Die Hauptreferate wurden jeweils simultan ins Französische, Englische und/oder Deutsche übersetzt, eine digitale Meisterleistung, die – mit ein paar wenigen «Holperern» – erfolgreich umgesetzt werden konnte. Die Konferenzen bleiben nun das ganze Jahr auf der Plattform «SCSD 365» für die Öffentlichkeit zugänglich. Die Austausch- und Informationsplattform ist kostenlos zugänglich und ermöglicht der Cybercommunity das ganze Jahr über die Möglichkeit, miteinander in Kontakt zu treten. Der Marktplatz der Aussteller auf der Plattform SCSD365 wurde in den letzten zwei Tagen für rund 1’200 Kontakte genutzt und knapp 4’000 Meldungen wurden ausgetauscht. Die nächsten Swiss Cyber Security Days werden am 6. und 7. April 2022 stattfinden.
Weitere Informationen: Swiss Cyber Security Days
Tipps für IT-Sicherheit finden sich im Buch „IT-Sicherheit für KMU“
