Was die Schweizer IT-Bedrohungslandschaft im Juli geprägt hat

Was waren im vergangenen Monat die grössten IT-Bedrohungen für Schweizer Unternehmen?

Philipp Grabher: Im vergangenen Monat mussten sich die Schweizer Unternehmen weiterhin mit dem Dauerbrenner "Mehrfacherpressung durch Verschlüsselung und Datendiebstahl" beschäftigen. Auch die weiteren Bedrohungen sind alte Bekannte: zum einen der Umgang mit Cyberrisiken in der Lieferketten, zum anderen Risiken im Umgang mit neuen Technologien wie Cloud oder auch KI. Beim Umgang mit Cyberrisiken in der Lieferkette wurde der Bund nach dem Angriff auf das Unternehmen Xplain vergangenen Monat aktiv: So verlangte er Nachweise zur Sicherheit von seinen IT-Dienstleistern. Die betroffenen Unternehmen wurden per Brief aufgefordert, zu prüfen, ob sie explizit aufgeführte Anforderungen im Bereich Cybersicherheit erfüllen können. Für Aufsehen sorgte der Vorfall bei Microsoft rund um den Diebstahl eines Signaturschlüssels, welcher Angreifern prinzipiell Zugang zu fast allen Konten bei Diensten der Microsoft-Cloud verschafft haben könnte. 

Wie kann man sich davor am besten schützen?

Um sich vor Ransomware-Angriffen bestmöglich zu schützen, sollte die Cyberhygiene (u.a. Schliessen von Schwachstellen, Schulung der Mitarbeitenden) im Unternehmen kontinuierlich verbessert werden. Eine weitere effiziente technische Massnahme in diesem Bereich ist der flächendecke Rollout einer sogenannten Endpoint-Detection-and-Response-Lösung (EDR). Diese ermöglicht es, Anomalien in der digitalen Landschaft rasch zu erkennen und automatisierte Gegenmassnahmen in die Wege zu leiten. Für den Umgang mit Cyberrisiken in der Lieferkette sollten - abgesehen von einem stichhaltigen Vertrag - die Lieferanten auch kontinuierlich betreffend ihrer Cybersicherheit bewertet werden. Hierfür eignen sich verschiedene Instrumente, u.a. Security Rating Services, Zertifikate im Bereich Cybersicherheit (z.B. ISO27001, SOC 2) oder auch Auditberichte von unabhängigen Drittfirmen.

Philipp Grabher, CISO des Kantons Zürich. (Source: zVg)

Welche Lehren können wir aus den Cybervorfällen des vergangenen Monats ziehen?

Die Fälle in den vergangenen Wochen zeigten eindrücklich, dass sich Cybersicherheit nicht auslagern lässt. Auch wenn ein Dienstleister kompromittiert wurde, fallen der mögliche finanzielle Schaden und der Reputationsschaden letztlich auf das Unternehmen zurück, welches seine Daten oder auch den Betrieb ausgelagert hat. Die Vorfälle werfen auch die Frage auf, ob es Anpassungen auf rechtlicher Seite braucht. Während es heute unvorstellbar ist, dass Autos ohne funktionierende Bremsen auf den Markt kommen, gibt es heute diese Garantie bei IT-Produkten betreffend der Cybersicherheit nicht.

Was sollten Schweizer Unternehmen jetzt tun – in Bezug auf die IT-Sicherheit?

Aufgrund der Bedrohungslage und der Vorfälle ist heute in diversen Unternehmen ein Hang zu einem sogenannten Sicherheitstheater festzustellen. Dieser Begriff umfasst Massnahmen, die aussehen, als würden sie etwas bewirken, aber die Risiken schlussendlich nur gering reduzieren. Beispielsweise fliessen heute unverhältnismässig viele Anstrengungen in die Spezifikation von Passwortrichtlinien oder Kontrollen mit Fokus ausschliesslich auf Compliance ohne Blick auf technische Resilienz – Zeit und Ressourcen, die besser investiert werden könnten. Ebenfalls empfehle ich allen Cybersicherheitsteams, "Erwartungsmanagement" zu betreiben. Bei der Definition der Rolle der Cybersicherheit geht es nicht mehr nur darum, zu erklären, was das Team tut, sondern zunehmend auch darum, deutlich zu machen, wofür es nicht zuständig ist. Cybersicherheit ist keine Einzel-, sondern eine Kollektivaufgabe – von den Mitarbeitenden bis zum CEO. Hier empfiehlt es sich, zusammen mit der Kommunikation entsprechende Botschaften im Unternehmen zu vermitteln.

Wie wird sich die Bedrohungslandschaft in den nächsten Monaten entwickeln?

Es ist davon auszugehen, dass die Bedrohungslage konstant hoch bleiben wird. Das heisst, es ist wichtig, dass sich Unternehmen bestmöglich gegenüber dem unvermeidbaren Angriff aufstellen. Insbesondere sind Pläne für Incidents und Krisen auf die aktuellen Angriffstechniken auszurichten und zu trainieren. Da oftmals das Fachwissen innerhalb der Unternehmen nicht vorhanden ist, empfiehlt es sich, mit Drittanbietern zusammenzuarbeiten, insbesondere in den Bereichen Forensik, Rechtsberatung oder auch für die Krisenkommunikation.

Was 2023 bisher geschah

• Was die Schweizer IT-Bedrohungslandschaft im Juni geprägt hat, lesen Sie hier (eine Einschätzung von Niklaus Manser, Head of IT Security Consulting bei Swiss Infosec).

• Was die Schweizer IT-Bedrohungslandschaft im Mai geprägt hat, lesen Sie hier (eine Einschätzung von Katja Dörlemann, Security Awareness Expert bei Switch und Präsidentin der SISA).

• Was die Schweizer IT-Bedrohungslandschaft im April geprägt hat, lesen Sie hier (eine Einschätzung von René Buff, Leiter Cyber Committee bei Helvetia Versicherungen).

• Was die Schweizer IT-Bedrohungslandschaft im März geprägt hat, lesen Sie hier (eine Einschätzung von Stephan Schweizer, CEO von Nevis Security).

• Was die Schweizer IT-Bedrohungslandschaft im Februar geprägt hat, lesen Sie hier (eine Einschätzung von Sascha Maier, Group CISO der SV Group).

• Was die Schweizer IT-Bedrohungslandschaft im Januar geprägt hat, lesen Sie hier (eine Einschätzung von Gregor Wegberg, Head of Digital Forensics & Incident Response bei Oneconsult).

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.