Cyberattacken: So schützen sich Unternehmen in der aktuellen Situation

«Ich will Unternehmen vor Leuten schützen, wie ich selbst einer war», sagt Ex-Hacker Patrick Brielmayer. Der Informatiker hat früher Viren und Trojaner programmiert oder DDOS-Attacken ausgeführt, also das gezielte Lahmlegen von Webauftritten. Erwischt wurde er nie – «aber ich musste immer aufpassen und war angespannt». Deshalb hat Patrick Brielmayer die Seiten gewechselt und eine IT-Sicherheitsfirma gegründet. Heute öffnen ihm seine Unternehmenskunden freiwillig die Netzwerke, damit er sie nach Spuren von Cyberangriffen durchforstet. Sein Schwerpunkt ist die Analyse von Schad-software: «Ich finde heraus, wie der Angriff stattgefunden hat und welcher Schaden entstanden ist.» Brielmayers Mission: Er will Firmen über die Gefahren von Cyberkrimi-nalität aufklären und zu einer besseren Absicherung beitragen.

Dieses Anliegen treibt auch Daniel Nussbaumer an. Der doktorierte Jurist ist Chef der Abteilung Cybercrime bei der Zürcher Kantonspolizei. In seinem Team arbeiten mittlerweile 15 Ermittler und 30 digitale Forensiker, darunter auch viele Informatiker. Die zunehmende Digitalisierung hat die Arbeit der Polizei komplexer gemacht, denn übers Internet entstehen ganz neue Wege, um Verbrechen zu begehen. 

Viele KMU, so berichtet Daniel Nussbaumer, sind beispielsweise vom «CEO-Fraud» betroffen: Cyberkriminelle bauen eine typische E-Mail des Chefs nach. Darin bittet er, eine dringende Zahlung von 5’000 Franken zu veranlassen. Doch wenn der Buchhalter das Geld überweist, landet es bei den Hackern. «Dahinter stecken in der Regel ganze Teams», so Nussbaumer. «Einer programmiert, einer kann gut schreiben und der Dritte macht die Recherchen.» Der Kapo-Spezialist rät, bei überraschenden E-Mails immer telefonisch rückzufragen.

Die Kapo Zürich ist ausser­dem häufig mit sogenannter Crypto-­Ransomware kon­fron­tiert: Eine Schad­software verschlüsselt alle Infor­mationen im Computer­system der betroffenen Firma. Kurz darauf erscheint eine Löse­geld­forderung auf dem Bild­schirm, normaler­weise in Bitcoin. «Wir empfehlen ganz klar, nicht zu zahlen», sagt Daniel Nussbaumer. «Jede Zahlung finanziert neue Angriffe.» Ausser­dem wisse man nie, ob die Erpresser die Daten tatsächlich frei­geben. Und hat der Hacker eine bislang unbe­kannte Crypto-­Ransomware verwendet, ist diese selbst für Profis nicht zu knacken. Deshalb rät Daniel Nussbaumer allen Unter­nehmen dringend, sich auf solche Attacken vorzubereiten.

Stephan von Watzdorf leitet das Team Berufshaftpflicht und Cyberrisiken, das die Cyberversicherung von Zurich entwickelt hat. Für ihn sind die Crypto-Ransomware-Attacken ein schwerwiegendes Problem. Er spricht sogar von einem Sicherheitsmythos: «Viele Unternehmen glauben, mit regelmässigen Back-ups seien sie bereits geschützt.» Doch wird das Back-up nicht vom Netz genommen, fällt es ebenfalls dem Angriff zum Opfer. Ausserdem werde die Schadsoftware oft erst Wochen nach der Hackingattacke aktiviert. Dann sei meist auch das Back-up schon kontaminiert. «Zudem ist es viel kostspieliger und mühsamer, die Daten wieder aufzuspielen, als die Leute denken.»

Laut Ex-Hacker Brielmayer erfahren die Firmen oft erst von einem Cyberangriff, wenn der Angreifer etwas fordert – oder die Daten des Unter­nehmens irgendwo auf­tauchen. Es sei eine Illusion, sich dank Firewall und Antivirusprogramm sicher zu fühlen. Mit den handels­üblichen Instru­menten könne man zwar einen Basis­schutz gegen bekannte Viren erwerben, doch neu geschriebene Schad­-Software werde nicht erkannt: «Es ist ein Katz-und Maus-Spiel.» Er empfiehlt deshalb, dass auch KMU mindestens einmal pro Jahr ihre Mitar­beitenden in einer IT-Security-Schulung sensibilisieren. Denn: «Der Mensch ist das schwächste Glied, die meisten Hacks passieren durch die Unaufmerksamkeit von Mitarbeitenden», ist Zurich­ Experte Stephan von Watzdorf über­zeugt.

Patrick Brielmayer schätzt den Dieb­stahl von Unter­nehmens­daten als grösste Cyber­gefahr in der Schweiz ein: «Jedes KMU hat seine Geheimnisse, mit denen es auch Geld verdient – Ideen, Rezepte, Bau­pläne oder Kunden­daten wie Kredit­karten­nummern, Bank­daten oder Versicherungs­nummern. Wenn diese Daten weg­kommen, ist das gar nicht gut.» Das bestätigt auch Daniel Nussbaumer von der Kapo. Jedes KMU könne zum Opfer werden und müsse sich deshalb fragen, welche seiner Daten einen besonderen Schutz benötigen.

Für Patrick Brielmayer sind Bewerbungen per E-Mail, fingierte Be­schwerden oder Produktanfragen das perfekte Vehikel für eine Cyberattacke. Auch klassische Phishing­E-Mails seien heutzutage oft so gut gemacht, dass selbst ein aufmerksamer Leser darauf herein­fallen könne. Zuweilen fälschen die Hacker ganze Webseiten mit Formularen, die denen von Telekomfirmen oder Online­kaufhäusern zum Verwechseln ähnlichsehen. Oder die Cyberkriminellen geben sich als Techniker aus und fragen Kundendaten per Telefon ab.

Besonders gefährdet, glaubt Brielmayer, sind Firmen mit Online­shops. Wenn diese mit einer sogenannten DDOS-Attacke lahmgelegt werden, liegt das Geschäft für Stunden oder sogar Tage brach. «Noch schlimmer ist es, wenn Kundendaten geklaut oder ver­öffentlicht werden. Ich kenne solche Fälle, das hat weitreichende Folgen.» Patrick Brielmayer hält es sogar für möglich, dass manche Schweizer Firmen regelmässig «Schutzgelder» zahlen, damit ihre Online­shops nicht gehackt werden. Davon ist Daniel Nussbaumer von der Kapo nichts bekannt. Er ist überzeugt, dass man mit den heutigen technischen Schutzvorkehrungen relativ viele DDOS-Attacken abwehren kann. «Doch einen 100-prozentigen Schutz gibt es nicht – denn die Hacker finden immer wieder neue Wege.»

Sind die Cyber­krimi­nellen einmal im Netz­werk, besorgen sie sich zum Beispiel die Kredit­karten­daten der Kunden, kaufen damit Bitcoins und laden anonyme Prepaid-­Kredit­karten auf, erläutert Ver­sicherungs­experte von Watzdorf. Für die KMU sei vor allem der Reputations­schaden relevant, doch auch Schaden­ersatz­forderungen können die Folge sein. 

Werden dem Unter­nehmen eigene Gelder gestohlen, fühlen sich viele KMU fälschlicher­weise sicher. Sie glauben, ihre Bank hafte für den Schaden. «Das ist ein Irrtum», so der Zurich-­Experte. Ohnehin liege die Ursache meistens in der IT des betroffenen KMU: Der Hacker installiert beispiels­weise einen Trojaner und beobachtet damit den Buch­halter, bis sich dieser ins E-­Banking einloggt. «Nun übernimmt der Hacker die Session, während der Mitar­beiter auf den schwarzen Bild­schirm blickt. Später stellt er fest, dass 100’000 Franken über­wiesen wurden.»

Aus Sicht von Patrick Brielmayer ist es sehr schwer, Cyber­kriminelle dingfest zu machen: «Sie können überall auf dem Globus sitzen.» Daniel Nussbaumer ist anderer Meinung: «Die komplette Anonymi­sierung gelingt auf Dauer nicht, denn Täter sind auch Menschen. Und Menschen machen Fehler.» Ausser­dem arbeitet die Kantons­polizei Zürich eng mit den Polizeibehörden anderer Kantone und Länder zusammen. «Deshalb haben wir durchaus Chancen, auch aus­ländische Täter zu erwischen.» Sogar abgeflossene Gelder lassen sich immer öfter zurück­holen

Nussbaumer bedauert, dass viele betroffene Firmen keine Anzeige erstatten: «Wir sehen wohl nur einen kleinen Teil der Fälle. So verpassen viele die Chance auf Aufklärung.» Sein Rezept, damit Cyber­risiken nicht zur Katastrophe werden: «Durch gute IT sowie Auf­klärung der Mitarbeiter Angriffe verhindern. Einen möglichen Schaden begrenzen. Und wenn doch etwas passiert ist: den Weg zu uns nicht scheuen. Es ist keine Schande, zum Hacking­-Opfer zu werden – das kann jedem passieren.»