Was die Schweizer IT-Bedrohungslandschaft im Dezember geprägt hat

Was waren im vergangenen Monat die grössten IT-Bedrohungen für Schweizer Unternehmen?

Serdar Günal Rütsche: Das war in erster Linie und mit Abstand wieder Ransomware. Obwohl wir in der Schweiz eigentlich sehr gut geschützt sind, bieten natürlich alle Firmen, die Internetdienste  nutzen, solchen Attacken eine Angriffsfläche. Wer das verlangte Lösegeld nicht zahlt, verliert seine Daten. Aber ob man diese wirklich zurückerhält, wenn man zahlt, kann man auch nicht sagen. Kommt es zu einer Anzeige, kommen wir von der Kantonspolizei ins Spiel. Wir sind nicht dafür zuständig, die betroffene IT wiederherzustellen. Unsere Aufgabe ist es , zu ermitteln. Wir können die Täterschaft lokalisieren und identifizieren - egal wo auf der Welt sie hockt. Und wenn es sich um eine Örtlichkeit handelt, in der Rechtssysteme greifen, können wir sie auch verhaften. So kam es etwa gerade kürzlich zu Verhaftungen in der Ukraine. 

Wie kann man sich davor am besten schützen?

Unternehmen müssen über ein mehrschichtiges Sicherheitskonzept verfügen. Dieses Konzept muss einerseits technische Aspekte umfassen. Hier gibt es viele Frameworks, die funktionieren und an die man sich halten kann. Fahrlässigkeit, darf man sich hier nicht erlauben. Wenn man etwa einen Patch nicht installiert oder ein veraltetes Gerät weiterhin nutzt, weil es ja noch läuft, kann dies schwerwiegende Konsequenzen nach sich ziehen. Das Konzept sollte auch den Menschen, der diese Technologie nutzt, miteinbeziehen. Die Mitarbeitenden müssen die nötige Awareness haben, sodass sie selbstdiszipliniert und sicher mit der Technologie umgehen und nicht aus Paranoia die Finger davon lassen. Wenn diese kombinierte Abwehr aus Mensch und Technologie funktioniert, wird es schwierig für die Täterschaft. Reagiere ich etwa nicht auf eine Phishing-Mail, können die Cyberkriminellen mir so auch nicht meine Zugangsdaten stehlen. 

Der dritte und letzte Punkt ist das Monitoring der Schnittstellen. Ich muss wissen, was in meinem Netzwerk passiert. Eine komplette Zero-Trust-Umgebung bringt wohl niemand zustande. Aber man sollte versuchen, so nah wie möglich daran heranzukommen. Zudem sollte das Management ein Verständnis dafür haben, dass IT-Sicherheit etwas kostet und dass man darin investieren sollte. 

Serdar Günal Rütsche, Leiter der Abteilung Cybercrime bei der Kantonspolizei Zürich. (Source: zVg)

Welche Lehren können wir aus den Cybervorfällen des vergangenen Monats ziehen?

Da sehe ich zwei Lehren: 

1. Dass man nicht nur einen Plan für den Notfall haben, sondern diesen auch noch üben muss! Wir merken immer wieder, dass diese Pläne entweder nicht vorhanden sind, oder dass die Pläne nicht eingeübt wurden. Das genügt nicht. Wenn es knallt, muss man schon bereit sein. Wie reagiere ich? Wie kommuniziere ich? Wie erreiche ich meine Kunden und Stakeholder? Wie isoliere ich betroffene Systeme und was passiert, wenn ich diese Systeme isoliere? Funktionieren meine Backups? Und was mache ich, wenn der Vorfall länger dauert? IT-Fachpersonen sind in ihrem Bereich top. Bei der Dokumentation ist noch viel Luft nach oben vorhanden. Was dies betrifft, ist es aber unerlässlich, dass man diese Punkte festhält. Am besten auch ausgedruckt, denn wer hat heutzutage noch Telefonnummern im Kopf? Für KMUs gilt zudem, dass sie sich schon vor einem Zwischenfall einen IT-Partner suchen, der ihnen hilft. Wenn ich während eines Vorfalls versuche, einen IT-Dienstleister zu finden, komme ich nicht vorwärts. 
2. Dass man Datenfriedhöfe eliminiert. Unternehmen sollten regelmässig prüfen, was für Daten sie horten. Alle Daten, die man nicht mehr benötigt, sollte man löschen. Alle Daten, die ein Unternehmen von seinen Kunden bei sich aufbewahrt, können für ihn zu einer Gefahr werden. Heikle Daten darf man nicht aufbewahren - auch nicht zu Testzwecken. Das haben wir beispielsweise beim Xplain-Hack gesehen. Der Vorfall erweckte den Eindruck, als seien mehrere Bundesstellen gehackt worden. Aber dem war nicht so: Der IT-Dienstleister Xplain hatte  Daten von Behörden und Polizeien auf seinen Systemen gespeichert, als er gehackt wurde.  So gelangten Daten  in die Hände der Hacker.

Was sollten Schweizer Unternehmen jetzt tun - in Bezug auf die IT-Sicherheit?

Auf der technischen Seite ist die Schweizer Bevölkerung zwar gut aufgestellt. Aber im Bereich Data Governance müssen wir einen Schritt vorwärts machen. Es ist wichtig, dass wir uns den bewussten Umgang mit Daten wieder einmal in Erinnerung rufen. Das gilt für Unternehmen und auch für Privatpersonen. Welche Daten speichere ich? Welche teile ich? Wie und wo sichere ich diese Daten? Früher fürchtete man sich immer von einem Überwachungsstaat. Davon sind wir weit entfernt. Dafür befinden wir uns zurzeit in einer Überwachungswirtschaft. Weshalb sind Instagram, Google und Co. kostenlos? Weil wir mit unseren Daten zahlen. Die grossen Player überwachen uns bereits. 

Wie wird sich die Bedrohungslandschaft in den nächsten Monaten entwickeln?

Die Bedrohungslandschaft wird sich nicht gross verändern: Ransomware wird weiterhin eine grosse Bedrohung bleiben für die Schweiz. Das heisst, dass wir weiterhin daran arbeiten müssen, die IT-Anwender und -Anwenderinnen zu sensibilisieren. Was aber ein Game Changer sein wird, ist die künstliche Intelligenz (KI). Früher musste man doch einiges an Wissen mitbringen, um eine Ransomware zu bauen. Heutzutage kann man sich so ein Schadprogramm relativ schnell durch eine KI zusammenstellen lassen. Die KI erweitert die Fähigkeiten von Menschen. Das sehen wir etwa auch beim Schreiben: Es ist erstaunlich, wie viele Menschen jetzt plötzlich schreiben können, seitdem es ChatGPT und Co. gibt. Das gilt auch im Cybercrime. Eine KI alleine kann aus einer bestehenden Malware nicht eine ganz neue Cyberbedrohung kreieren - aber in Kombination mit einem Menschen schon.

Was 2023 bisher geschah

• Was die Schweizer IT-Bedrohungslandschaft im November geprägt hat, lesen Sie hier (eine Einschätzung von Sarah Burkhard, Founder und Corporate Development von Itsense).

• Was die Schweizer IT-Bedrohungslandschaft im Oktober geprägt hat, lesen Sie hier (eine Einschätzung von Guido Kamann, Executive Vice President & Managing Director von Capgemini Switzerland).

• Was die Schweizer IT-Bedrohungslandschaft im September geprägt hat, lesen Sie hier (eine Einschätzung von Achim Freyer, Country Manager Schweiz bei Fortinet).

• Was die Schweizer IT-Bedrohungslandschaft im August geprägt hat, lesen Sie hier (eine Einschätzung von Marcel Zumbühl, CISO der Schweizerischen Post).

• Was die Schweizer IT-Bedrohungslandschaft im Juli geprägt hat, lesen Sie hier (eine Einschätzung von Philipp Grabher, CISO des Kantons Zürich).

• Was die Schweizer IT-Bedrohungslandschaft im Juni geprägt hat, lesen Sie hier (eine Einschätzung von Niklaus Manser, Head of IT Security Consulting bei Swiss Infosec).

• Was die Schweizer IT-Bedrohungslandschaft im Mai geprägt hat, lesen Sie hier (eine Einschätzung von Katja Dörlemann, Security Awareness Expert bei Switch und Präsidentin der SISA).

• Was die Schweizer IT-Bedrohungslandschaft im April geprägt hat, lesen Sie hier (eine Einschätzung von René Buff, Leiter Cyber Committee bei Helvetia Versicherungen).

• Was die Schweizer IT-Bedrohungslandschaft im März geprägt hat, lesen Sie hier (eine Einschätzung von Stephan Schweizer, CEO von Nevis Security).

• Was die Schweizer IT-Bedrohungslandschaft im Februar geprägt hat, lesen Sie hier (eine Einschätzung von Sascha Maier, Group CISO der SV Group).

• Was die Schweizer IT-Bedrohungslandschaft im Januar geprägt hat, lesen Sie hier (eine Einschätzung von Gregor Wegberg, Head of Digital Forensics & Incident Response bei Oneconsult).

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.