Massiver Schutz für den Hochstämmer – und wie hat’s der Bauer mit dem Schutz seiner IT? / Bild: Daniel Schweizer (sdl)
Cyberangriffe: Sensibilisierung gilt als eine der wichtigsten Massnahmen gegen Attacken aus dem Netz. Denn diese Angriffe gelten sehr oft den Menschen, nicht nur der IT-Infrastruktur.
2023 war ein erfolgreiches Jahr – auf jeden Fall für Hacker im Netz. In ihrer Ausgabe vom 27. Dezember listet die «Neue Zürcher Zeitung» die prominentesten Fälle auf. Im Februar versuchten Angreifer, Schadsoftware in die IT-Systeme der SBB einzuschleusen. Im März war die NZZ selbst davon betroffen. Weiter gings im April, als Hacker heikle
Daten einer Walliser Kindes- und Erwachsenenschutzbehörde (Kesb) absaugten und veröffentlichten. Gross der Aufschrei dann im Mai, als ein bedeutender IT-Zulieferer des Bundes betroffen war. Da wurden neben sensiblen Projektdaten auch die Privatadressen der Mitglieder des Bundesrates publik. Diese Aufzählung ist nicht abschliessend.
Aber solche kriminellen Angriffe passieren auch im Kleinen. Privatpersonen, Landwirtschaftsbetriebe und KMU, auch sie sind immer wieder Ziele von Hackerangriffen. Wer hat nicht schon eine Mail erhalten mit dem täuschend echten Logo seiner Hausbank und der Bitte, die Kontodaten zu aktualisieren. Und nur einen Klick weiter warten die Cyber-Banditen – bereit, das Konto zu räumen.
50´000 Meldungen in einem Jahr
Die stete Zunahme dieser kriminellen Aktivitäten hat auch die Gemeinde Trachselwald auf den Plan gerufen. Um Unternehmerinnen und Landwirte ihrer Gemeinde für das Thema zu sensibilisieren, machte die Gemeindepräsidentin Kathrin Scheidegger letzte Woche die Cybersicherheit zum Thema am Gewerbe- und Landwirtschaftsabend im Chrummholzbad, Heimisbach. Max Klaus, stellvertretender Informationsverantwortlicher beim Bundesamt für Cybersicherheit (BACS), bestätigte den Trend zu immer zahlreicheren und raffinierteren Betrugsversuchen. Letztes Jahr seien 50´000 Meldungen bei der zentralen Meldestelle, dem nationalen Zentrum für Cybersicherheit (NCSC), eingegangen. Mit Abstand am häufigsten würden Betrugsformen wie Fake-Mails und Fake-SMS verschiedenster Art sowie Phishing-Fälle gemeldet. Bei Letzteren werde beispielsweise versucht, vom Empfänger vertrauliche Daten zu erhalten, um in der Folge auf sein Erspartes zuzugreifen.
KMU häufig im Fokus
«Was will ein Hacker schon bei mir?» Das sei eine häufige Aussage von KMU-Verantwortlichen. «Das ist eine gefährliche Haltung», hielt Max Klaus fest. Jedes Unternehmen habe sensible Daten. Besonders kleinere Unternehmen seien häufig das Ziel von Cyberattacken. Es könnten hier Finanzzahlen oder geschützte Personendaten abgezogen und in der Folge versucht werden, Lösegeld zu erpressen, berichtete der Referent. Aber oft seien die Daten eines Gewerblers gar nicht das Endziel der Angreifer. «Das KMU dient als Sprungbrett für einen Angriff», erklärte Max Klaus. «Als Zulieferer von grösseren Unternehmen mit den entsprechenden Schnittstellen bilden sie das Einfallstor für Attacken auf Grossbetriebe.» Gemäss Klaus ist die Sensibilisierung von Mitarbeitenden eine der wichtigsten Massnahmen im Kampf gegen Angriffe aus dem Netz. Denn solche Attacken würden häufig dem Menschen, nicht der IT-Infrastruktur gelten. So können beispielsweise fiktive Phishing-Kampagnen im Unternehmen durchgeführt werden.
Die Daten sichern
Ein Muss sei zudem, die vielfach lästigen Updates von eingesetzten Programmen immer durchzuführen, denn häufig handle es sich dabei um Sicherheits-Updates. Und eigentlich eine Selbstverständlichkeit seien im Weiteren der Schutz der Rechner mit stets aktualisierten Antiviren-Programmen sowie ein regelmässiges Backup. «Datensicherung ist Lebensversicherung», lautete der Ratschlag von Max Klaus. Denn sollte es zu einem Ausfall des IT-Systems einer Firma kommen und der Betrieb über längere Zeit stillstehen, ginge ihr das «ans Läbige.» Selbstredend, dass solche Sicherheitskopien in einem anderen Gebäude aufbewahrt werden müssen. Und – last but not least – sei ein veritabler Passwortschutz unabdingbar. Passwörter sollten mindestens zwölf Zeichen lang sein, regelmässig geändert werden und pro Anwendung unterschiedlich sein.
Nie Lösegeld zahlen
Wachsamkeit und ein gesundes Misstrauen seien weitere Massnahmen, um nicht Opfer von Attacken zu werden, führte Max Klaus weiter aus. Mails mit unbekanntem Absender im Zweifelsfall löschen oder sich zumindest die Frage stellen, ob der Mail-Inhalt überhaupt Sinn macht. Bei Geldverlust durch Cyberangriffe unbedingt Strafanzeige gegen Unbekannt bei der zuständigen Kantonspolizei einreichen sowie das Vorkommnis dem NCSC melden. «Und», sagte Klaus zum Schluss, «zahlen Sie nie Lösegeld. Denn es besteht absolut keine Sicherheit, dass die Daten in der Folge tatsächlich bereitgestellt werden.» Zudem mache man sich zusätzlich erpressbar.