Cybervorfälle stellen in der Schweiz das häufigste Risiko für Firmen und KMU dar, mit zumeist weitreichenden Folgen. Diese reichen von Betriebsunterbrüchen bis zu Lösegeld-forderungen. Doch schon mit zwei einfachen Mitteln kann ein Grossteil der Cyberangriffe vermieden werden.
Cyberangriffe erfolgen meist über ein Phishingmail. Die Angreifer locken damit zum Beispiel auf gefälschte Websites. Loggt sich der User dann dort ein, können die Angreifer das Passwort stehlen und damit in die Firmensysteme eindringen. Die Systeme und Daten werden dann so verschlüsselt, dass der Anwender oder sogar das ganze Unternehmen nicht mehr arbeiten kann. Danach erpressen die Angreifer die Firma und fordern ein Lösegeld. Erst wenn dieses bezahlt ist, erhält das Unternehmen die Codes, mit denen es die Daten entschlüsseln und dann den Betrieb wiederherstellen kann. Neuerdings werden die Daten auch verkauft oder veröffentlicht, um zusätzlich Druck aufzubauen und weitere Einnahmen für die Angreifer zu ermöglichen.
Zwei Schutzsäulen
Die Folgen von Cyberangriffen sind für KMU geschäftsgefährdend. Abgesehen von Lösegeldzahlungen oberhalb von 100 000 Franken selbst für kleinere Unternehmen entstehen auch noch Probleme mit Betriebsunterbrechungen, verzögerter Produktion, Wettbewerbsnachteilen und eventuell sogar juristischen Konsequenzen.
Obwohl es einfache und wirkungsvolle Mittel zum Schutz gibt, ist deren Gebrauch erst in wenigen KMU zu finden. Mit folgenden zwei Säulen können zwei Drittel aller Cyberangriffe vermieden werden.
Erste Säule: Zugänge zusätzlich schützen
Angriffe durch gestohlene Passwörter können verhindert werden mit Multifaktor-Authentifizierung (MFA). MFA bewirkt, dass der Zugang neben dem Passwort durch ein zusätzliches Merkmal geschützt wird. So etwas kennen wir oft bereits vom Online-Banking, also zum Beispiel eine SMS-Prüfzahl. Wie gut dieser Schutz wirkt, wird klar, wenn man sich Auswertungen von Microsofts Sicherheits-Teams ansieht. Sicherheitsgruppen haben berechnet, dass Anwender ohne MFA im Schnitt eintausend Mal häufiger Opfer von Hacking werden im Vergleich zu Usern mit MFA. Eine sicherere und gleichzeitig bequemere Option ist die Verwendung einer Authentifizierungs-App. Diese kann zum Beispiel auf dem Handy oder teils sogar auf der Smartwatch durch Antippen den Zugang erlauben. MFA ist in vielen Systemen kostenlos verfügbar und die Anwender gewöhnen sich recht schnell an die Nutzung.
Bei den MFA gibt es verschiedene Ausführungsarten, wobei nicht alle den gleichen Sicherheitswert bieten.
Zusendung eines Einmalcodes: Einmalcodes werden per SMS zugesandt und danach manuell im Computer eingetippt. Leider bieten die Mobilfunkstandards keinen guten Schutz für SMS-Daten, daher wird von solchen Lösungen abgeraten.
Authentifizierungs-App mit Einmalcodes: Diese Apps werden auf das Mobiltelefon geladen und mittels QR-Code mit dem entsprechenden Dienst (beispielsweise Buchhaltungssoftware) verbunden. Anschliessend wird alle 30 Sekunden ein neues Einmalpasswort auf der App angezeigt. Die Codes werden auf Basis eines Schlüssels erstellt, der nur dem Anwender und Server bekannt ist. Die User tippen den aktiven Code im zusätzlich zum Passwort ein.
Authentifizierungs-App mit Bestätigungs-Click: Nach Login beim betreffenden Dienst wird über das Mobiltelefon die Anmeldung genehmigt oder abgelehnt. Wer eine Smartwatch hat, kann die Freigabe unter Umständen direkt am Handgelenk machen, ohne das Handy zu suchen.
Physische Schlüssel: Diese Art von MFA ermöglicht einen sicheren Zugang direkt an der Hardware. Die physische Anmeldung wird durch einen speziellen USB-Stick oder Smartcard geschützt. Diese Variante ist ebenfalls sicher, da der Datenaustausch direkt über die Hardware stattfindet.
Geräteverwaltungssoftware: Eine Geräteverwaltungssoftware bietet die bequemste Möglichkeit, die Unternehmensdaten zu schützen, da das Gerät (PC, Laptop, Smartphone, Tablet) selbst den zweiten Faktor darstellt. Dazu wird auf dem Gerät ein digitales Zertifikat installiert. Wenn die Anwender sich mit so einem Gerät einloggen, brauchen sie nur das Passwort und haben trotzdem die Sicherheit von MFA.
Festzuhalten ist, dass jeder weitere Anmeldeschritt die Sicherheit erhöht und den Zugang zu Daten erschwert. Zudem bietet die MFA für Unternehmen eine gute und kostengünstige Möglichkeit, sensible Daten und persönliche Informationen sicher zu schützen.
Zweite Säule: Mitarbeiter schützen
Beim Schutz der Mitarbeiter gilt es zu verhindern, dass Phishingmails bei den Anwendern ankommen. Einen ersten Schutz stellen Anti-Phishing-Filter in E-Mail-Systemen dar.
Falls sie doch durch die Firewall und Mail-Filter kommen, sollen die Anwender aufmerksam sein und korrekt reagieren.
Die Mail-Filter können zirka 80 Prozent aller Angriffe verhindern. Sie blockieren dazu E-Mails, die bekannte Phishinginhalte enthalten. Die E-Mails werden laufend mit Daten bekannter Angriffe abgeglichen und gegebenenfalls in den Papierkorb oder eine elektronische Quarantäne geschickt.
Die zweite Stufe aber bleibt der Anwender, da er richtig reagieren muss, falls doch eine gefährliche Email bei ihm eintrifft. Dazu muss er gefährliche Inhalte erkennen können und die E-Mail an die zuständige IT-Stelle melden oder zerstören.
Zur ersten Überprüfung des Sicherheitsbewusstseins aller Mitarbeiter eignen sich Phishingtests. Ein einmaliger Phishingtest zeigt, wie der aktuelle Stand der Mitarbeiter in Bezug auf das Erkennen von Phishing und Malware ist. Typischerweise zeigt sich eine «Phishingquote» von 35 bis 40 Prozent, was bedeutet, dass mehr als ein Drittel aller Mitarbeiter die Angriffe nicht erkennen und sich auf die gefälschten Websites leiten lassen. Dort geben sie oft ohne weiteres Überlegen ihre Passwörter ein.
Mittels Security-Awareness-Trainings können die Mitarbeiter über einen längeren Zeitraum speziell in diesem Bereich trainiert werden. Über eine Online-Plattform werden regelmässige und gezielte Phishingangriffe durchgeführt. Falls der Mitarbeiter das E-Mail nicht als solches erkennt, erfährt er dank optischer Hinweise im E-Mail, worauf er hätte achten sollen. Zusätzliche Trainings mit verschiedenen Schwerpunkten (Phishing, Ransomware et cetera) verbessern die Sensibilisierung der einzelnen Mitarbeitenden. Durch diese regelmässigen Trainings zeigt sich, dass die Phishingquote nach einem Jahr auf unter fünf Prozent sinkt.
Der ganze Lernprozess sollte als Kreis lauf gestaltet sein und regelmässig stattfinden. Mit E-Learnings, Videos, Games, Postern oder Newslettern werden die Nutzer für spezifische Inhalte sensibilisiert. Anschliessend werden neue und schwierigere Phishingkampagnen durchgeführt, um die Mitarbeiter wieder zu testen. Die Analyse der Kampagnen zeigt genau, wo noch Schwächen vorhanden sind und welche Mitarbeitenden die E-Mails falsch einschätzen. Aus diesen Ergebnissen werden individuelle Trainingskampagnen erstellt und alle Mitarbeitenden erneut getestet. Das Ziel bleibt dabei immer, dass die Anwender echte Phishingmails erkennen und richtig reagieren.
Für solche Sicherheitstrainings gibt es verschiedene Anbieter, wobei die Kosten für Online-Tests und -Trainings nur bei wenigen Franken pro Benutzer und Monat liegen. Im Vergleich zu den oben erwähnten Kosten eines erfolgreichen Hackerangriffs lohnt sich diese kleine Investition sehr.
Arco IT kann Sie bei beiden Themen unterstützen. Wir helfen Ihnen, Ihre Zugänge zu schützen. Und wir können Sicherheitstrainings für Sie durchführen. Nehmen Sie Kontakt mit uns auf: info@arco-it.ch
Dieser Artikel wurde aus dem KMU-Magazin Nr. 04/05, April/Mai 2021, übernommen.
