Homeoffice – Einfallstor für Cyberkriminelle
Die Arbeit in den eigenen vier Wänden erweist sich als wirksam gegen das Coronavirus. Für Computerviren öffnet diese Arbeitsweise aber Tür und Tor. Denn die Eintrittspunkte in Unternehmenssysteme werden vervielfacht. Viele Firmen sind immer noch schlecht gerüstet, um sich effizient vor Cyberkriminellen zu schützen.
Ende September fand sich der Schweizer Uhrengigant Swatch Group im Visier von Hackern. Ihr Einfallstor: Ein leitender Angestellter soll gemäss Informationen der Agentur AWP einen infizierten USB-Stick an einen Unternehmenscomputer in den Vereinigten Staaten angeschlossen haben. Er löste damit einen Dominoeffekt aus.
Der Konzern behauptet, es sei “jetzt alles unter Kontrolle”, und man habe kein Lösegeld gezahlt. Der Cyberangriff störte jedoch die Aktivitäten des weltweit führenden Uhrenherstellers erheblich. Das ging so weit, dass die Produktion der Omega-Uhren beeinträchtigt wurde, der am stärksten von der Attacke betroffenen Marke der Gruppe. Laut internen Quellen hielten zudem Probleme mit dem Internetzugang innerhalb des Unternehmens mindestens einen Monat lang an.
Hacker werden nur selten auf frischer Tat ertappt. Die Besonderheit eines Computerangriffs besteht darin, dass er oft erst mehrere Monate nach der Tat entdeckt wird.
“Im Durchschnitt dauert es zwischen 200 und 400 Tage, bis ein Unternehmen das Vorhandensein von bösartiger Software in seinem System erkennt”, sagt Cyber-Sicherheitsexpertin Solange Ghernaouti. Oft sind es Kunden oder Partner, die das geschädigte Unternehmen zuerst alarmieren.
Bezeichnenderweise ist der Fall des berühmten Uhrenkonzerns kein Einzelfall. So wurden der britischen Fluggesellschaft Easyjet im Mai die Daten von neun Millionen Kundinnen und Kunden gestohlen. Und Anfang Oktober gelang es Hackern, die Gehälter von Mitarbeitenden mehrerer deutschsprachiger Universitäten zu kapern.
Ein weiteres Schweizer Grossunternehmen, der Bahnbauer Stadler Rail, wurde kürzlich um sechs Millionen Franken Lösegeld erpresst. Er war Opfer von Schadsoftware geworden, die Daten verschlüsselt und diese quasi in Geiselhaft nimmt.
In einer zunehmend vernetzten Welt nimmt die Zahl der Cyber-Angriffe exponentiell zu. Im schlimmsten Fall können solche ein Unternehmen völlig lahmlegen: keine E-Mails, keine Telefonanrufe, keine Verwaltungs-, Liefer-, Zahlungs- oder Reservierungssysteme mehr.
Die Folgen eines solchen Angriffs können katastrophal sein. In Norwegen sah sich zum Beispiel der Aluminiumgigant Norsk Hydro gezwungen, seine verschiedenen Standorte und Anlagen voneinander abzukoppeln. Die Verluste wurden auf 30 Millionen Franken geschätzt.
Mehr Angriffe während Lockdown
Als im März die erste Welle des Coronavirus begann, mussten viele Unternehmen quasi über Nacht auf Homeoffice umstellen. Die von den Regierungen angeregte Massnahme trug dazu bei, die Zahl der Covid-19-Fälle einzudämmen. Dabei entstanden aber auch neue Computer-Sicherheitslücken, in die sich Hacker schnell einschleusen konnten.
Die Zahlen sind aufschlussreich: Während des Teil-Lockdowns Mitte April, als fast die Hälfte der arbeitenden Bevölkerung in der Schweiz von zu Hause aus arbeitete, verzeichnete das Nationale Zentrum für CybersicherheitExterner Link (NCSC, ehemals Melani), eine stark erhöhte Zahl von Vorfällen. Während zu Beginn des Jahres etwas über 100 pro Woche eingingen, waren es im April fast 400 pro Woche.
Solange Ghernaouti ist von diesen Zahlen nicht überrascht. Sie ist Professorin an der Universität Lausanne und internationale Expertin für Cybersicherheit. “Homeoffice erhöht die Zahl der Einfallstore in das IT-System eines Unternehmens. Es macht aber auch die Datenströme für Hacker attraktiver, weil mehr strategische Informationen im Umlauf sind.”
Das Arbeiten von zu Hause – in grösster Eile als Notmassnahme verfügt – war schon bisher nicht als sicher eingeschätzt worden. Die Verwendung von persönlichen Computern, ungesicherte Verbindungen, Schwächen bei der Authentifizierung für den Zugriff auf das interne System: Das sind alles quasi Einladungen, die Hacker ohne zu zögern annehmen.
Aber das Arbeiten daheim birgt auch grössere physische Risiken. So etwa den Diebstahl von Firmengeräten oder das Ausplappern strategischer Informationen, die aufmerksame Augen oder Ohren aufschnappen können.
“Sicher sein heisst, sich einzuschränken. Um eine Pandemie zu bekämpfen, sperrt man sich ein, man trägt eine Maske. Um Computerviren zu bekämpfen, muss man bestimmte unsichere Praktiken aufgeben und vorausschauend sein.”
Solange Ghernaouti, Expertin für Cybersicherheit
Die Schweiz sei weder verwundbarer als ihre Nachbarn noch besser gerüstet, um Cyber-Angriffe zu verhindern, sagt Ghernaouti. “Cyberkriminelle sehen überall Chancen.” Sicherheit sei in erster Linie eine Frage von Kultur und Bildung, betont die Spezialistin.
Aber Sicherheit entstehe nicht an einem Tag. “Grössere Unternehmen, die bereits Telearbeit erlaubten oder unterwegs arbeitende Mitarbeitende hatten, waren offensichtlich besser gewappnet als kleine und mittelgrosse Unternehmen (KMU), die unvermittelt auf Homeoffice umstellen mussten”, sagt sie.
Nein sagen können, um sich zu schützen
Bei der Cybersicherheit reimt sich Bequemlichkeit nicht auf Sicherheit. “Wenn man einfache und kostenlose Software wie etwa Zoom für Videokonferenzen benutzt, bezahlt man dafür einen Preis, das heisst, man hat keine Sicherheit”, sagt Ghernaouti.
Sich selbst zu schützen, bedeute manchmal, auf etwas zu verzichten. “Sicher sein heisst, sich einzuschränken. Um eine Pandemie zu bekämpfen, sperrt man sich ein, man trägt eine Maske. Um Computerviren zu bekämpfen, muss man bestimmte unsichere Praktiken aufgeben und vorausschauend sein”, sagt die Expertin.
Beim Risikomanagement geht es darum, das Bewusstsein der Mitarbeitenden und Chefs zu schärfen und die Jüngsten im Betrieb auszubilden. Ghernaouti ist der Meinung, Cybersicherheit sollte ein integraler Bestandteil der Computerausbildung an Schulen sein. Sie befürwortet die Schaffung einer langfristig ausgelegten Sicherheitspolitik.
Mehr
Wer die Kosten für Homeoffice trägt, ist umstritten
“Das grösste Problem ist, dass wir im Notfall immer wie die Feuerwehr reagieren. Wir antizipieren Sicherheitseinschränkungen und -bedürfnisse nicht genug, wir sind nicht proaktiv genug, wir haben keine langfristige Vision. Es wird Jahrzehnte dauern, bis ein solches Verhalten Einzug ins Tagesgeschäft finden wird.”
Stéphane Koch, Vizepräsident von Immuniweb, einer auf Cybersicherheit spezialisierten Schweizer Firma, erwähnt einen weiteren wunden Punkt: Die Schweizer Gesetzgebung ist nicht an das digitale Zeitalter angepasst.
“Innerhalb der Europäischen Union wird eine Firma, die eine Sicherheitslücke hatte, mit einer Geldstrafe belegt, die einem bestimmten Teil seines Umsatzes entspricht. In der Schweiz können die Unternehmen rechtlich nicht genügend zur Verantwortung gezogen werden, um die Konsequenzen einer laxen IT-Sicherheit zu tragen”, sagt der Experte.
Cyberangriff kann Firmen zu Fall bringen
Ein wirksamer Schutz vor Computer-Piraterie ist nicht zuletzt deshalb so wichtig, weil die Gesamtkosten der Cyberkriminalität etwa 1% des Bruttoinlandprodukts der Länder ausmachen, wie Ghernaouti sagt. Im schlimmsten Fall kann ein Angriff zum Bankrott eines Unternehmens führen.
Koch führt das Beispiel einer französischen Firma an, die nach einem Angriff auf dessen Geschäftsführer für immer ihre Türen schliessen musste. “Jemand gab sich als Chef des Unternehmens aus und schaffte es, 1,6 Millionen Euro ins Ausland zu transferieren”, sagt er. Ein Jahr später ging das Unternehmen in Konkurs. 44 Mitarbeitende verloren ihren Arbeitsplatz.
Über die finanziellen Auswirkungen hinaus steht auch der Ruf eines Unternehmens auf dem Spiel. Oft zögern diese aus Angst vor Imageschäden, über Cybervorfälle zu sprechen. Deshalb gibt es in der Schweiz keine genauen Zahlen über die wirtschaftlichen Folgen solcher Angriffe. Die Regierung prüft die Möglichkeit der Einführung einer MeldepflichtExterner Link in diesem Bereich. Sie sollte bis Ende des Jahres einen Grundsatzentscheid treffen.
Mehr
Coronavirus: Die Situation in der Schweiz
Hygienemassnahmen… digitaler Art
Die Pandemie hat uns gelehrt, strenge Hygienemassnahmen anzuwenden, um das Virus abzuwehren. Wird sie uns auch lehren, zum Schutz unserer Daten eine bessere digitale Hygiene anzuwenden?
Koch hat da seine Zweifel. Er befürchtet, dass viele Firmen zu sehr mit ihrem Überleben beschäftigt sind, um in Cybersicherheit zu investieren. “Kleine Läden könnten versucht sein, eine Website einzurichten, um ihre Waren weiterhin verkaufen zu können, ohne sich um die Sicherheit der Website zu kümmern”, sagt er.
Eine grundsätzlichere Frage lautet: Ist die Digitaltechnik die Lösung für alles? Nein, antwortet Ghernaouti. “Sie wird einen Teil des Problems im Zusammenhang mit der Pandemie lösen. Mit der fortschreitenden Digitalisierung schwächen wir jedoch auch die Wirtschaft und die Infrastruktur.” Die Moral für die Cyber-Sicherheitsexpertin: “Ohne wirksame Sicherheitsmassnahmen gibt es einige Dinge, die man online nicht tun sollte!”
(Übertragung aus dem Französischen: Christian Raaflaub)
In Übereinstimmung mit den JTI-Standards
Einen Überblick über die laufenden Debatten mit unseren Journalisten finden Sie hier. Machen Sie mit!
Wenn Sie eine Debatte über ein in diesem Artikel angesprochenes Thema beginnen oder sachliche Fehler melden möchten, senden Sie uns bitte eine E-Mail an german@swissinfo.ch