Sicherheitsexperte warnt

«Schweizer KMUs merken Datenlecks erst nach 196 Tagen»

Lorenz KellerDigital-Redaktor

«Im Durchschnitt richtet eine Cyber-Attacke einen Schaden von zwei Millionen Franken an», sagt Damir Bogdan, der mit seinem Unternehmen Actvide Firmen bei der digitalen Transformation berät und bei den Swiss Cyber Security Days als Keynote-Speaker auftritt.

Die rennomierte amerikanische Denkfabrik Center for Strategic and International Studies rechnet damit, dass Cyberkriminalität pro Jahr 600 Milliarden Dollar kostet. Zum Vergleich: Naturkatastrophen richteten in den letzten 10 Jahren einen wirtschaftlichen Schaden von 208 Milliarden an.

In der Schweiz sind mehr als ein Drittel aller KMUs von Attacken betroffen. «Besonders ernüchternd ist, dass durchschnittlich 196 Tage vergeben, bis ein Datenleck entdeckt wird», sagt der Experte.

Zusammenarbeit in der Schweiz ist vorbildlich

Dabei wäre die Schweiz eigentlich im Kampf gegen Bedrohungen aus der virtuellen Welt gut gewappnet. Schliesslich gibts schon seit 15 Jahren Melani, die Melde- und Analysestelle Informationssicherung des Bundes. «Die Zusammenarbeit von Staat, Privaten und Unternehmern länderweit ist in dieser Form wohl einzigartig», sagt Bogdan.

Das Problem ist, dass die Mehrheit der Schweizer KMUs das Risiko, selber betroffen zu sein, nur als gering einschätzt. Laut einer Gfs-Studie setzen nur 15 Prozent der kleinen und mittleren Firmen grundlegende Massnahmen um.

Es gibt also oft keine Systeme zur Erkennung von Cyber-Vorfällen, keine festgelegten Prozesse, was man im Falle eines Angriffs machen muss und keine Mitarbeiter-Schulungen für den sicheren Gebrauch der IT.

«Vielen ist nicht bewusst, wie professionell Cyber-Kriminelle organisiert sind», sagt der Experte. So gebe es etwa im Darknet nicht nur Software, um Firmen auszuspionieren, Webcams anzuzapfen oder Kreditkarten-Daten zu stehlen. «Für diese Software gibts dann nicht nicht nur Updates wie bei legalen Programmen, sondern sogar Support-Hotlines, die rund um die Uhr erreichbar sind.»

Erpressung, Betrug, gestohlene Daten

Das sind laut Sicherheitspezialisten Damir Bogdan die wichtigsten Risiken für KMUs: Zugriff auf Unternehmens-Daten oder Kunden-Accounts, Erpressung mit gestohlenen Daten, Betrug mit gefälschten Anweisungen und Rechnungen sowie Spionage von Geschäftsgeheimnissen.

Und dieses Jahr werden auf viele Unternehmen neue Probleme zukommen. «Viele Firmen lagern Infrastruktur in die Cloud aus», sagt Bogdan. Einerseits ist das ein Klumpenrisiko, andererseits haben die meist sehr grossen Anbieter von solchen Lösungen auch genug Ressourcen, um genügend Schutz anzubieten.

Der Experte sieht im Internet of Things (IoT) eine zusätzliche Angriffsfläche. Je mehr Gegenstände mit dem Internet verbunden und untereinander vernetzt sind, desto grösser das Risiko. «Ein Sicherheitsleck an einem Ort kann so das gesamte System bedrohen.»

Fake News können auch KMUs treffen

Auch die zunehmende Verbreitung von digitalen Identitäten erhöht das Missbrauchspotenzial. Dazu kommen Fake News, die auch Unternehmen treffen können, wenn jemand mit der bewussten Verbreitung von Falschinformationen die öffentliche Meinung beeinflussen will.

Für Damir Bogdan stehen für KMUs bei der Bekämpfung von Cyber-Kriminalität drei Bereiche im Vordergrund. Mitarbeiter müssen ausgebildet werden und sich mit diesen Bedrohungen beschäftigen. Dazu braucht es eine firmenweite Disziplin, etwa beim Wechsel von Passwörtern oder bei der laufenden Aktualisierung der IT-Infrastruktur.

«Es braucht ein Sicherheitsmanagement und das kann man nicht im Nebenamt noch erledigen», findet der Experte. Besser eine KMU lagert den Cyber-Schutz aus. Wichtig wäre daher als dritter Punkt die Zusammenarbeit. Firmen gegen die Cyber-Kriminalität Allianzen bilden und Vorfälle unbedingt Melani melden, so dass alle davon lernen können.