Auch KMU und kleine Organisationen werden Opfer von Cyberangriffen. Zwei Betroffene aus der Schweiz erzählen von den Konsequenzen und wie sie reagiert haben. Und geben Tipps, wie sich andere besser schützen können.
Umfassender Schutz mit beem
Einfach alle und alles, überall und immer sicher mit beem: Sicher surfen und auf Unternehmensdaten zugreifen mit Smartphone und Computer.
Wie jeden Morgen prüfte Felix Keller, Leiter der Geschäftsstelle der Gewerbeverbände St. Gallen (GSGV), an diesem Donnerstag auf dem Smartphone seine Mails. Doch der Server war nicht erreichbar. Also informierte er die Mitarbeitenden und die externe IT-Firma über das Problem und machte sich auf den Weg ins Büro in der Innenstadt. Als die Nachricht der Erpresser kam, war klar: Die gesamte IT-Infrastruktur inklusive der Backups der letzten zwei Monate war von einer Ransomware verschlüsselt worden. Ausgangspunkt war ein Phishing-Mail. «Mein erster Gedanke war: Wieso gerade wir? Das kann doch nicht sein», sagt Keller im Rückblick.
Dass KMU und kleinere Organisationen für Cyberkriminelle interessant sind, musste auch Remo Muggli feststellen, Geschäftsführer und Mitinhaber der Personalagentur stewards.ch: «Wir wurden darauf aufmerksam gemacht, dass Kundendaten von uns im Darknet verfügbar sind.» Dann begann die Suche: Sind die Daten echt? Und wenn ja, von welchem System stammen sie überhaupt?
Schliesslich stellte das Unternehmen fest, dass die Daten von einer Testdatenbank stammten. «Wir haben die Adresse nie öffentlich kommuniziert», sagt Muggli. «Aber offenbar haben die Angreifer den Zugriff bei einem automatisierten Scan trotzdem gefunden.» Und die Sicherheitslücke in der installierten Software-Version ausgenutzt. «Ich denke nicht, dass wir Opfer eines gezielten Angriffs wurden», ergänzt Muggli. «Sondern einer grossflächigen Suche.»
Aufräumen nach der Cyberattacke
Muggli und sein Team hatten so gesehen Glück im Unglück: Die Cyberabteilung der Polizei konnte den Link auf die Daten schnell entfernen lassen, und die betroffenen Personen reagierten überwiegend verständnisvoll. Dadurch konnte stewards.ch auch einen Reputationsschaden abwenden, was entscheidend ist in einem Vertrauensgeschäft wie dem Personalmanagement. «Bis wir die Quelle gefunden haben, war es eine stressige Zeit», erzählt Muggli. «Denn wir wollten ja innert nützlicher Frist die Betroffenen benachrichtigen.»
«Nach der Ransomware-Attacke haben wir unsere Sicherheitsmassnahmen stark aufgerüstet.»
Felix Keller, Leiter der Geschäftsstelle der Gewerbeverbände St. Gallen
Dagegen herrschte in den Büros der GSGV am Wochenende nach der Attacke reges Treiben: Die Organisation entschloss sich, die gesamte IT-Infrastruktur neu aufzubauen und die Daten aus den noch vorhandenen Backups wiederherzustellen. «Glücklicherweise hatten wir die offenen Debitorenrechnungen auf Papier», erinnert sich Keller. «So konnten wir wenigstens die Ausstände nachvollziehen.» Es versteht sich von selbst, dass die Wiederherstellung einen enormen personellen und finanziellen Aufwand verursachte.
Zusätzliche Massnahmen getroffen
Doch die Geschäftsstelle beliess es nicht bei einer neuen Infrastruktur. «Wir haben in ein zweites, räumlich getrenntes Backup investiert und in eine verbesserte Firewall», sagt Keller. «Da uns das entsprechende IT-Know-how fehlt, haben wir die Massnahmen zusammen mit unserem IT-Partner evaluiert und priorisiert.»
Auch an der Sensibilisierung der Mitarbeitenden hat die GSGV gearbeitet. Nach einem Awareness-Training melden heute die Mitarbeitenden verdächtige Mails dem IT-Partner, der den Inhalt prüft. Und obwohl Verbesserungsvorschläge hauptsächlich vom IT-Partner kommen, ist Keller klar, dass die Verantwortung für den Geschäftsbetrieb und damit auch für die IT-Sicherheit bei der Geschäftsleitung liegt: «Wir haben zwar einen IT-Partner, der Massnahmen vorschlägt und umsetzt. Aber die Verantwortung bleibt bei uns.» Und auch bei stewards.ch hat ein Umdenken stattgefunden, sagt Muggli: «Es ist uns klar geworden, dass auch ‹Kleine› interessant sind für Cyberkriminelle. Und wir verhindern müssen, dass wir zur leichten Beute werden.»
«Uninteressant zu sein reicht nicht aus, um geschützt zu sein.»
Remo Muggli, Geschäftsführer stewards.ch
Die Personalagentur hat deshalb nach dem Vorfall zusätzliche Sicherheitsmassnahmen ergriffen. «Wir haben diverse Prozesse angepasst», erklärt Muggli. «Und uns an den Sicherheitsvorgaben grosser IT-Anbieter orientiert, um Massnahmen für uns definieren zu können.» So hat das Unternehmen etwa den Zugriff aus dem Ausland mit Geofencing blockiert oder zumindest erschwert. Und ein Penetration-Test soll aufzeigen, ob weitere Sicherheitslücken bestehen.
Den beiden Geschäftsführern ist klar, dass einmalige Massnahmen nicht ausreichen, insbesondere bei der Sensibilisierung der Mitarbeitenden, wie es Muggli stellvertretend ausdrückt: «Du gerätst schnell wieder in den alten Trott.»
Cybersecurity als Daueraufgabe
Beiden ist bewusst, dass sie die Cybersecurity-Massnahmen regelmässig überprüfen müssen, um künftige Cyberattacken zu vereiteln. «Ich habe mir einen Reminder in den Kalender gesetzt, damit ich regelmässig mit unseren Lieferanten und IT-Partnern rede», sagt Muggli. «Das kostet nicht viel, kann aber präventiv viel zum Schutz beitragen.»
Einen ähnlichen Ansatz verfolgt die GSGV, betont Keller: «Ich schaue immer wieder mit dem IT-Partner, ob die Massnahmen noch ausreichen oder ob Anpassungen nötig sind.» Dieses Vorgehen scheint geholfen zu haben. Denn bis jetzt haben beide Organisationen keinen weiteren erfolgreichen Cyberangriff verzeichnet.
Umfassender Schutz für Ihr Unternehmen
Einfach alle und alles, überall und immer sicher mit beem: Sicheres Surfen im beemNet, sicherer Zugriff auf Unternehmensdaten, Abwehr von komplexen Cyberangriffen, umfassender Schutz vor Datenabfluss und vieles mehr.
Tipps für KMU für den Schutz vor Cyberangriffen
Aus den Erfahrungen mit den Cybervorfällen möchten Felix Keller und Remo Muggli anderen KMU die folgenden, nicht abschliessenden Handlungsempfehlungen mitgeben. Denn gute präventive Schutzmassnahmen – bevor etwas passiert – können den einen oder anderen Cyberangriff durchaus verhindern:
- Regelmässige und zeitnahe Aktualisierung von Betriebssystemen, aber auch Netzwerkgeräten wie Drucker
- Sensibilisierung der Mitarbeitenden mittels Awareness-Massnahmen und der Unterstützung durch die IT
- Systeme von Fachleuten prüfen lassen, etwa mit einem Assessment (Bestandesaufnahme) oder einem Penetration-Test (simulierter Angriff im Auftrag).
- Sicherheitsoptionen beim Hosting aktiv prüfen, etwa aktive Schutzmassnahmen oder die Aufbewahrungsfristen für Logdateien
- Polizei benachrichtigen bei einem erfolgreichen Cyberangriff
- Alternative Kommunikationskanäle festlegen für den Austausch mit Verwaltungsrat und Mitarbeitenden; zusätzlich eine neutrale E-Mail-Adresse (kein Rückschluss auf Firma und Name) einrichten für einen allfälligen Austausch mit den Erpressern
