Interview mit Max Klaus, MELANI Wie können sich Unternehmen vor Cyberattacken schützen?

Erst kürzlich wurde ein renommiertes Schweizer Unternehmen Opfer eines grösseren Datenklaus mit hohen Lösegeldforderungen. Max Klaus, stellvertretender Leiter der Melde- und Analysestelle Informationssicherung des Bundes sagt, dass die Angriffe immer professioneller werden. Im Gespräch wollten wir von ihm wissen, wie gerade Schweizer KMU ihre IT-Systeme und Netzwerke besser vor Datenmissbräuchen schützen können.

Herr Klaus, wie gut sind heute vertrauliche Daten in digitalen Unternehmensinfrastrukturen in der Schweiz geschützt?

Diese Frage lässt sich nicht allgemeingültig beantworten, da die Unternehmen in unterschiedlichsten Branchen tätig sind und somit mit unterschiedlich schützenswerten Daten und vertraulichen Informationen arbeiten. So muss ein Unternehmen im Gesundheitswesen, das unter anderem auch über sensible Patienteninformationen verfügt, seine Daten sicher stärker schützen als dies beispielsweise ein Onlinehändler machen muss.


Wo setzt der Schutz der Daten an?

Grundsätzlich gilt heute noch, was früher schon galt, jedoch durch die digitalen Unternehmensstrukturen und den elektronischen Datenaustausch komplexer geworden ist: Der Umgang mit Informationen muss in einem Unternehmen geregelt und die Daten müssen zum Beispiel als «intern», «vertraulich», «geheim» und so weiter klassifiziert sein. Für sämtliche Klassifikationen benötigt es anschliessend entsprechende Handlungsweisen. Hier geht beispielsweise die Bundesverwaltung mit gutem Beispiel voran, indem alle als «vertraulich» klassifizierten Daten nur verschlüsselt per E-Mail übermittelt werden.


Welchen Auftrag hat Ihre Stelle und wo liegt der Schwerpunkt Ihrer Arbeit?

Die Melde- und Analysestelle Informationssicherung, kurz MELANI, hat den Auftrag, Unternehmen und Organisationen, die kritische Infrastrukturen in der Schweiz betreiben, bei deren Schutz zu unterstützen. Im Fokus liegen die Früherkennung und Bewältigung von Gefahren sowie die Hilfestellung in Krisensituationen. Entsprechend befassten wir uns bislang vornehmlich mit Cyberbedrohungen gegenüber Grossunternehmen. Per 1. Januar 2020 wurde MELANI in das neu gegründete Nationale Zentrum für Cybersicherheit integriert. Das NCSC ist für Wirtschaft, Verwaltung, Bildung und Bevölkerung die erste Anlaufstelle bei Cyberfragen, wobei die Sensibilisierung der Schweizer Wirtschaft eine der Schwerpunkte bildet. Entsprechend werden wir uns künftig auch vermehrt um Anliegen kümmern, die zum besseren Schutz der Daten in KMU, Vereinen aber auch in der Bevölkerung beitragen.


Wie sensibel sind Schweizer Unternehmen, wenn es um Cybersicherheit geht?

In der Regel ist es sicher so, dass sich grössere Unternehmen stärker mit dem Thema auseinandersetzen. Sie betreiben meist eigene IT-Infrastrukturen, deren Schutz Teil der Aufgabe der IT-Abteilung ist. Mancherorts gibt es je nach Wichtigkeit gar einen IT-Sicherheitsbeauftragten. In kleineren Unternehmen wird die Infrastruktur immer häufiger ausgelagert bzw. Applikationen werden in der Cloud betrieben, wodurch intern häufig kein entsprechendes Informatikwissen mehr vorhanden ist. Cybersicherheit ist Aufgabe der Geschäftsleitung und geht heute jedes Unternehmen an. Fehlt das Verständnis für die Datensicherheit, ist auch der Schutz meist nicht ausreichend.


Wo bestehen gerade in kleineren Unternehmen die grössten Sicherheitslecks?

Aus dem KMU-Umfeld hören wir immer wieder das Argument, dass das Unternehmen ja für Hacker nicht interessant wäre. Dies ist ein Trugschluss. Die Risiken liegen häufig dort, wo Cyberangriffe unterschätzt oder gar nicht erwartet werden. Jedes Unternehmen verfügt über sensible Daten, die für Angreifer interessant sein können, wie beispielsweise Personaldaten, Kreditkartennummern und so weiter. Zudem gibt es Angriffe, bei denen die Art der Daten gar keine Rolle spielt. Wird ein Unternehmen beispielsweise Opfer eines Verschlüsselungstrojaners, kann dieser erheblichen Schaden anrichten, obwohl die Angreifer gar nicht an einem Datendiebstahl interessiert sind.


Wer trägt in der Schweiz die Verantwortung für die Sicherheit von Netzwerken, Systemen und Daten?

Grundsätzlich gilt immer das Prinzip der Eigenverantwortung. Das heisst, wer in der Schweiz eine Informatikinfrastruktur betreibt, ist für deren sicheren Betrieb verantwortlich. Sämtliche Informatiksysteme sollten deshalb einer Risikoanalyse unterzogen werden. Die Geschäftsleitung entscheidet, welche Risiken gedeckt und welche als so genannte Restrisiken bewusst in Kauf genommen werden können.


Sie sagen, dass technische Massnahmen alleine nicht genügen, um die Informationssicherung zu gewährleisten? Wo setzt Sicherheit demnach an?

In der Unternehmenswelt ist die Informatiksicherheit eine Kombination aus technischen und organisatorischen Massnahmen. Jedes Unternehmen muss technische Massnahmen wie Firewall, Antivirus, Datensicherung uns so weiter implementiert haben. Diese technischen Massnahmen sollten aber zwingend von organisatorischen Massnahmen begleitet sein. Dazu zwei typische Beispiele:

Wenn Mitarbeitende unternehmensintern eine neue Stelle antreten oder das Unternehmen verlassen, müssen die Benutzerrechte unverzüglich angepasst werden. Dies funktioniert nur, wenn klare Prozesse für den Umgang mit Benutzerrechten definiert sind. Oder aber die Informatiksysteme fallen während einer längeren oder kürzeren Zeitspanne aus, wofür nicht zwingend ein Hackerangriff verantwortlich sein muss. Möglich sind beispielsweise Stromausfälle, Überschwemmungen oder andere Ursachen. Deshalb sollte jedes Unternehmen über einen Notfallplan verfügen (Business Continuity Management), der festlegt, wie bei einem Ausfall der Systeme weitergearbeitet werden kann.


Wie stark tragen betriebswirtschaftliche Softwarelösungen zum sicheren Datenaustausch bei?

Keine Software bietet hundertprozentige Sicherheit. Es ist immer mit dem Risiko zu rechnen, dass früher oder später eine Sicherheitslücke bekannt und allenfalls ausgenützt wird. Dies gilt auch beim Einsatz betriebswirtschaftlicher Softwarelösungen. Die Software ist letztlich ein «Mittel zum Zweck», um gewisse Aufgabenstellungen zu vereinfachen und zu automatisieren. Softwarelösungen aller Art tragen nach Einschätzung von MELANI nur bedingt zum sicheren Datenaustausch bei. Deshalb braucht es auch hier klare Weisungen, wie mit sensiblen Daten umzugehen ist, wie diese übermittelt werden dürfen und so weiter.


Was muss in jedem Unternehmen sichergestellt sein, um sich vor Angriffen von aussen zu schützen?

Das Allerwichtigste sind die Erkenntnis und Einsicht, dass kein Unternehmen vor Angriffen sicher ist. Deshalb empfiehlt sich für jedes Unternehmen, unabhängig der Grösse und Branche eine Risikoanalyse durchzuführen und den Schutz der unterschiedlichen Systeme je nach Kritikalität zu definieren. Ein Beispiel: Wenn ein Unternehmen seinen Umsatz zum grössten Teil aus Verkäufen via Onlineshop erwirtschaftet, muss dieser Onlineshop entsprechend gegen DDoS-Angriffe, welche die Verfügbarkeit stören, geschützt sein. Dagegen benötigen andere, weniger kritische Systeme, wie beispielsweise das Backoffice, weniger Schutz.


Was empfehlen Sie Schweizer KMU, um sich langfristig sicher in der digitalisierten Geschäftswelt zu bewegen?

Jedes Unternehmen sollte offen sein für die Möglichkeiten, die sich durch die Digitalisierung und die verschiedenen Onlinedienste bieten. Gleichzeitig muss jedoch die Sensibilität für lauernde Gefahren vorhanden sein. Entsprechend geht es kurz zusammengefasst auf der einen Seiten darum, die Risiken vor Angriffen für die Unternehmenssysteme zu identifizieren und entsprechende Schutzmassnahmen zu definieren und auf der anderen Seite darum, die Mitarbeitenden im Umgang mit vertraulichen Daten und den neuen Technologien zu schulen und auf mögliche Gefahren hin zu sensibilisieren.


Weitere Informationen zur Datensicherheit in Unternehmen:

• Merkblatt «Informationssicherheit für KMUs» von MELANI
• IKT-Minimalstandard des Bundesamts für wirtschaftliche Landesversorgung BWL

Bildquelle: © Graphics Master | https://stock.adobe.com/326980754