Am 6. und 7. April finden in Fribourg die Swiss Cyber Security Days statt. Wir nutzten die Gelegenheit, um Romain Queinnec (Orange Cyberdefense) und Johny Gasser (Orange Business Services) fünf Fragen rund um die Cybersecurity zu stellen.
Cyberangriffe nehmen weiterhin zu – nehmen auch die erfolgreichen Angriffe zu?
Romain Queinnec: Ja, und ja. Unsere Daten über verifizierte Sicherheitsvorfälle bei unseren Managed-Services-Kunden zeigen einen Anstieg von 13 Prozent im Vergleich zum Vorjahr (wenn man die Anzahl der verifizierten Vorfälle pro Kunde und Monat betrachtet). Auch die erfolgreichen Angriffe nehmen zu. Wenn wir uns die bestätigten Kompromittierungen durch Ransomware-Betreiber (Cyber-Erpressung) ansehen, wie sie auf ihren eigenen «Leak-Sites» beworben werden, sehen wir einen Anstieg um 53 Prozent von 2020 auf 2021. Und dieser Aufwärtstrend setzt sich bis 2022 fort.
Welche Unternehmen sind besonders betroffen?
Romain Queinnec: Diese Bedrohungen sind wirklich universell. Unternehmen irren sich, wenn sie glauben, dass sie aus irgendeinem Grund kein Ziel sind. Die Angreifer scheinen sich in hohem Masse opportunistisch zu verhalten. Und wo wir bei den Angriffsopfern Muster erkennen, glauben wir, dass dies eine Funktion der Opfer ist und nicht eine Entscheidung der Angreifer.
Johny Gasser: Auf internationaler Ebene zielen die meisten Angriffe auf grosse multinationale Unternehmen ab. In der Schweiz sind es eher die kleinen Organisationen, die Opfer erfolgreicher Angriffe werden. Im Fokus der Cyberkriminellen standen bisher die öffentlichen Verwaltungen und derzeit der medizinische Sektor. Aber die Cyberkriminellen sind opportunistisch. Wenn sie eine anfällige Organisation finden, wägen sie die möglichen finanziellen Vorteile ab, die sie erzielen könnten. Vergessen Sie nicht, dass Cyberkriminelle an Geld interessiert sind.
Die verschiedenen Gruppen von Cyberkriminellen haben unterschiedliche bevorzugte Ziele: Einige haben es auf grosse multinationale Unternehmen abgesehen, um nach einigen Monaten Millionenbeträge zu erbeuten, während andere kleinere Organisationen ausgewählt haben, wobei sie aber viele gleichzeitig angreifen. Dann gibt es noch spezifische Bedrohungen im Zusammenhang mit Industriespionage und politisch motivierten Angriffen auf bestimmte Unternehmen und Organisationen. Aufgrund ihrer Innovations- und Forschungskapazitäten ist die Schweiz ein vorrangiges Ziel für Wirtschaftsspionage, dies umfasst auch kleinere Unternehmen mit besonderem Know-how wie die EPFL oder die ETHZ sowie Inkubatoren von Start-ups.
Romain Queinnec: Die überwiegende Mehrheit der Opfer in unseren Daten wird als „klein» eingestuft. Das heisst, dass sie weniger als 1’000 Mitarbeitende haben. Zweitens ist das produzierende Gewerbe (im weitesten Sinne) in allen unseren Datensätzen deutlich überrepräsentiert. Dies bedeutet, dass wir mehr Angriffe und Kompromittierungen verzeichnen, als wir es für die Grösse der Branche erwarten würden. Aus den Daten geht nicht klar hervor, warum dies der Fall ist, aber wir vermuten, dass es mit dem Reifegrad der Sicherheit in diesem Sektor zusammenhängt.
Was machen diese Unternehmen denn falsch?
Johny Gasser: Bei kleineren und mittleren Unternehmen gibt es bestimmt manchmal zu wenig Aufmerksamkeit und es mangelt an wissensbasierten Ressourcen. In der Regel vertrauen sie einem lokalen IT-Partner in der Annahme, dass dieser auch im Bereich der Cyber Security stark ist. Doch IT und Cyber Security sind unterschiedliche Disziplinen, die unterschiedliche Fachkenntnisse und Erfahrungen erfordern. Einige lokale IT-Unternehmen sind auch im Bereich Cybersicherheit versiert, aber das sind Ausnahmen. Kleine und mittlere Unternehmen sollten anerkannte Experten engagieren, um einen effektiven Status ihrer technischen Cybersicherheitslage zu erhalten und die Bedrohungslandschaft ihres Unternehmens zu messen und zu verstehen.
Romain Queinnec: Aus meiner Sicht ist die Verwendung des Begriffs «falsch» gefährlich. Diese Unternehmen sind Opfer von Verbrechen. Könnten oder sollten sie mehr tun? Vielleicht. Es ist jedoch unklar, ob ein bestimmtes Unternehmen „allein“ in der Lage wäre, einer von mächtigen systemischen Kräften angetriebenen Kriminalitätswelle entgegenzuwirken. Die Kriminalitätstheorie legt nahe, dass wir uns mit drei verschiedenen Elementen der Kriminalität befassen müssen: dem motivierten Täter, dem „geeigneten Opfer» und dem Mangel an fähigen Beschützern.
Alle drei Elemente müssen berücksichtigt werden, wenn wir das wachsende Problem der Computerkriminalität angehen wollen. Ein Unternehmen kann Massnahmen ergreifen, um für Kriminelle weniger attraktiv zu sein. Hauptsächlich durch die Verbesserung grundlegender Sicherheitspraktiken wie Passwortverwaltung, starke Authentifizierung, Patches, geringste Privilegien und durch die Verringerung der Anzahl Systeme und Dienste, die es dem Internet aussetzt. Die Fähigkeit, Angriffe zu erkennen, darauf zu reagieren und sich davon zu erholen, ist ebenfalls entscheidend. Unternehmen sollten auch untereinander und mit den Strafverfolgungsbehörden zusammenarbeiten, um „fähige Wächter» einzusetzen, die kommunizieren und zusammenarbeiten, um das Verbrechen zu verstehen und es gemeinsam zu bekämpfen.
Johny Gasser: Für grosse Unternehmen besteht die grösste Herausforderung in einer Kombination aus zwei Problemen: Die Entscheidungsträger haben kein ausreichendes Verständnis für die Risiken, gleichzeitig überschätzen sie aber auch ihre Verteidigungsfähigkeiten. Wir sehen eine Diskrepanz zwischen dem, was die Sicherheitsmetriken, Dashboards oder monatlichen Sicherheitsberichte zeigen, und der tatsächlichen Situation. Die gemeldeten Zahlen und Informationen erlauben es den Entscheidungsträgern nicht, die Situation zu verstehen und entsprechende Entscheidungen zu treffen. Die gemeldeten Informationen müssen überarbeitet werden, um adäquate Informationen zu liefern. Die Risiken müssen aus der Unternehmensperspektive beurteilt werden und nicht nur aus der IT-Perspektive, wie es in den meisten Unternehmen heute noch üblich ist.
Ist ein zuverlässiger Schutz überhaupt bezahlbar?
Johny Gasser: Ich würde die Frage umkehren: Kann es sich ein Unternehmen heute leisten, seine Zukunft durch einen Cyberangriff zu gefährden und jahrelange Leistungen und Erfolge in wenigen Minuten zu verlieren? Unabhängig von ihrer Grösse oder Branche investieren Unternehmen nach einem Sicherheitsverstoss massiv in ihre Sicherheit. Es geht also nicht um Geld, dieses ist erschwinglich. Die Risiken wurden entweder nicht verstanden oder massiv unterschätzt. Die meisten Angriffe beginnen mit der Ausnutzung eines grundlegenden Fehlers: Dabei kann es sich um eine anhaltende technische Schwachstelle handeln oder um die Ausnutzung der menschlichen Naivität.
Daher sollten Unternehmen ihre Systeme aktiv nach Schwachstellen durchsuchen, um blinde Flecken zu vermeiden (man kann nicht etwas schützen, das man nicht kennt). Sie sollten ihre Konfigurationen und Softwareversionen kontinuierlich überwachen, um sicherzustellen, dass sie auf dem neuesten Stand sind. Sie sollten zudem ihr Antivirusprogramm durch EDR-Lösungen (Endpoint Detection and Response) ersetzen, die Schutzfunktionen der Cloud nutzen und ihre IT-Administratoren, ihren IT-Support und ihre Mitarbeitenden schulen. Die Schulungen sollten für die Mitarbeitenden angepasst sein. Sie sollten interaktiv und attraktiv gestaltet sein und nicht langweilig.
Es sollten externe Unternehmen hinzugezogen werden, die als Experten für Cyber Security anerkannt sind. Mittelgrosse oder grosse Unternehmen fügen zusätzlich die Unternehmensberatung hinzu, um Cyberrisiken mit Systemen und Anwendungen zu verknüpfen und den Entscheidungsträgern zu helfen, die Geschäftsrisiken im Zusammenhang mit der Cloud, dem Internet, OT und IoT in verständlichen Worten zu verstehen.
Welche Arten von Angriffen werden künftig zunehmen, welche eher abnehmen?
Johny Gasser: Die Entwicklung des Krieges in der Ukraine wird wahrscheinlich die Cyberangriffe im Jahr 2022 dominieren. Daher ist für Cyber Security Experten schwierig, die Entwicklung vorherzusagen. Geostrategische, politische und militärische Entwicklungen auf dem Schlachtfeld liegen ausserhalb unserer Kernkompetenzen. Cyber Security Experten müssen bei ihren Vorhersagen bescheiden bleiben. Wir wissen, dass die Fähigkeiten von Cyberkriminellen dank oder aufgrund künstlicher Intelligenz schnell zunehmen.
Romain Queinnec: Ich denke, die Cyber-Erpressung wird wohl weiter zunehmen, bis die systemischen Faktoren, die sie antreiben, angegangen werden. Zum Beispiel durch die Unterbindung der Möglichkeit, Kryptowährung zu empfangen und auszugeben. Auch die Kompromittierung von Geschäfts-E-Mails wird aus ähnlichen Gründen wahrscheinlich weitergehen. Wir erwarten zudem mehr Angriffe, bei denen Insider bei der anfänglichen Kompromittierung behilflich sind, sowie mehr Angriffe auf Mobiltelefone von Endbenutzern. Die einzigen Angriffe, die wohl zurückgehen werden, sind traditionelle Angriffe zum Diebstahl von Zugangsdaten, um Internet-Banking und ähnliche Dienste zu kompromittieren, da diese durch die weite Einführung starker Authentifizierung erschwert werden. Dies bedeutet jedoch keineswegs, dass solche Angriffe der Vergangenheit angehören würden.
Infos zu den Swiss Cyber Security Days: swisscybersecuritydays.ch
Infos zu Orange Cyberdefense: orangecyberdefense.com
Eine Informationsquelle für weitere Details zu den Angriffen ist der Orange CyberDefense Jahresbericht Security Navigator 2022.
Lesen Sie auch: «Ukraine-Konflikt: Wie Cyber-Kriminelle und Hacktivisten auf Telegram für Wirbel sorgen»
