KMU
Ein Anruf und sie sind zur Stelle: Die IT-Security Experten von Swisscom. Sie rücken mehrmals die Woche aus, um Unternehmen jeder Grösse im Anschluss an einen erfolgreichen Hackerangriff zu unterstützen. Raphael Boullet, Cyber Security-Experte bei Swisscom erklärt, wieso professionelle Hilfe im Ernstfall Gold wert ist.
Erschreckend ist ja, dass viele Angriffe tage-, wenn nicht sogar wochenlang im Betrieb unentdeckt bleiben. In dieser Zeit können Hacker bereits unbemerkt auf Unternehmensdaten zugreifen, Daten an Kriminelle weiterverkaufen oder gar weitere Systeme infizieren. Umso früher ein Angriff daher entdeckt wird, desto besser. Mögliche Anzeichen, dass das Unternehmen gehacked wurde: Der Zugriff auf Daten oder Systeme funktioniert nicht mehr. Systeme reagieren nicht wie gewohnt. Das Passwort scheint falsch zu sein und lässt sich nicht mehr zurücksetzen. In jedem Fall sollten Unternehmensverantwortliche hellhörig werden und mit einem Experten für IT-Sicherheit Kontakt aufnehmen.
Im ersten Moment ist es ganz wichtig, Ruhe zu bewahren und nicht vorschnell zu handeln. Zum Beispiel sollte man auf keinen Fall IT-Systeme herunterfahren, da dies zu grösseren Schäden an Daten und Systemen führen kann. Insofern keine IT-Security Spezialisten im Haus sind oder zur Seite stehen, empfiehlt es sich einen externen Profi beizuziehen, der Sie in einer derartigen Krise begleitet und insbesondere auch entlastet. Diese Experten sind auf derartige Vorfälle vorbereitet und trainieren mögliche Angriffs-Szenarien regelmässig.
Genau, das sogenannte Rapid Response Team ist ein Teil des Cyber Security Incident Response Teams bei Swisscom. Es ist 24/7 per Telefon erreichbar. Geht ein Notfall ein, analysieren die Experten zuerst um welche Art von Angriff es sich genau handelt, um anschliessend Massnahmen zu ergreifen. Von der Analyse der betroffenen Systeme und Softwares, der Wiederherstellung von allfälligen Backup Dateien bis hin zur Sicherung von Beweismitteln. Danach muss der Fall bei der Strafverfolgungsbehörde gemeldet und Anzeige gemacht werden. Zum Schluss erstellen die Experten einen Bericht und empfehlen weitere Massnahme, um mögliche Folge-Angriffe zu vermeiden.
Das Team hat wöchentlich mehrere Einsätze. Momentan sind es vor allem Angriffe durch Ransomware, ab und zu aber auch Hackergruppen, die gezielt angreifen. Die Grösse des Unternehmens spielt hierbei keine Rolle. Es kann Unternehmen jeder Grösse und Branche treffen. Insbesondere KMU sind beliebte Angriffsziele, da die IT-Sicherheit oftmals Lücken aufweist. Gerade bei kleineren Unternehmen kümmert sich oft die Chefin, der Chef oder ein Mitarbeitender um die IT. Entsprechend gross ist hier die Entlastung, die unser Team erbringen kann.
Selbstverständlich kann ich keine Namen nennen.
Es gab einmal einen Krankenhausangriff, der sich über mehrere Wochen zog. Zu Beginn wurden E-Mails eines Arztes mittels eines Trojaners, welcher unentdeckt blieb, abgezweigt, danach folgte ein gezielter Angriff mittels hochprofessionellen Phishings und Malware breitete sich im ganzen System aus. Bei jedem Versuch, das Internet wieder zu aktivieren waren innerhalb von Sekunden mehrere hundert Rechner infiziert. Dies verursachte einen sehr grossen Aufwand zur Behebung.
Gleich vorweg: Man kann sich noch so gut schützen, eine 100% Garantie gibt es nie. Aber selbstverständlich können Unternehmen die Wahrscheinlichkeit reduzieren, Opfer eines Hackers zu werden. Ganz zentral ist hier der Schutz von E-Mail und Internet, dem Netzwerk sowie professionelle Daten-Backups. Fast noch wichtiger ist es jedoch, die Mitarbeitenden für die Gefahren aus dem Netz zu sensibilisieren. Denn wenn die Mitarbeitenden aufmerksam sind und Phishing erkennen, wirkt das wie eine Human Firewall.
Technische Schutzmassnahmen sind selbstverständlich sehr wichtig. Doch es reicht, wenn ein einzelner Mitarbeitenden auf die Phishing Mail klickt, um den Hackern Tür und Tor ins Unternehmen zu öffnen. Da können die Schutzmassnahmen noch so ausgefeilt sein. Daher ist die Sensibilisierung von Mitarbeitenden zentral. Zusätzlich ist es wichtig sich in der Geschäftsleitung abzusprechen und die Krisenkommunikation festzulegen. Was sind die wichtigsten Punkte? Wer muss informiert werden?
Security ist eben nicht nur IT sondern auch gute Organisation der Geschäftsleitung. Dementsprechend ist nicht nur die Sensibilisierung auf Mitarbeitendenstufe zentral, sondern auch die Auseinandersetzung auf Stufe Geschäftsleitung. Dazu gehört kritisch zu hinterfragen: "Inwiefern sind wir vor Cyber Attacken geschützt?"