Im Rahmen der kostenlosen be-smarter Eventreihe beleuchten Expert*innen aus den unterschiedlichsten Bereichen zentrale Themen rund um das Unternehmertum, um (Jung-)Unternehmer*innen auf ihrem Weg zu unterstützen. Die wichtigsten Tipps aus dem Online-Event rund ums Thema Cybersecurity mit dem NCSC fassen wir hier zusammen.
Cybersicherheit wird für Unternehmen immer wichtiger
2022 gingen beim Nationalen Zentrum für Cybersicherheit über 34'000 Meldungen ein, wovon es sich bei rund 25'000 um Betrugsfälle und bei über 7'000 um Phishing-Attacken handelte. 2023 sind bis Ende Oktober bereits über 40'000 Meldungen eingegangen. Die Cybersicherheit wird für Unternehmen immer wichtiger, um allfälligen Attacken vorzubeugen.
Wie in der realen Welt, gibt es auch im Cyberraum eine Vielfalt an Taten mit unlauteren und kriminellen Absichten. Ein Mitbewerber kann deine Webseite lahmlegen, ideologisch motivierte können sie verunstalten, mit Phishing-Emails sowie durch CEO-Fraud werden Betrügereien verübt und mithilfe von Schadprogrammen können dich Täter*innen ausspionieren. Je gezielter ein Angriff ist, desto grösseren Schaden kann er verursachen. Für Angreifer*innen ist es jedoch viel aufwändiger und dementsprechend ist die Anzahl Fälle viel kleiner.
Mitarbeitende und schlecht administrierte IT-Systeme als Hauptrisiken
Ein Grossteil der Cyberattacken sind auf Mitarbeitende, welche bspw. Opfer eines Phishing-Angriffs wurden, und schlecht administrierte IT-Systeme zurückzuführen. Mit Schulungen für Mitarbeitende sowie regelmässigen IT-Updates können solche Angriffe oftmals einfach vorgebeugt werden. Angriffstaktiken, die in letzter Zeit oft beobachtet wurden, sind der sogenannte CEO-Betrug, der Rechnungsmanipulationsbetrug sowie Ransomware-Angriffe. Letztere sind im Vergleich zu den Gesamtzahlen weniger häufig, haben aber grosse Auswirkungen:
Beim CEO-Betrug erhält eine Mitarbeitende angeblich vom eigenen CEO eine E-Mail mit der Forderung, eine gewisse Geldsumme auf ein aufgeführtes Konto zu überweisen. Im E-Mail wird Druck ausgeübt, Geheimhaltung gefordert und geschrieben, dass der CEO momentan nur per Mail erreichbar ist. Wie ist das möglich? Alle Informationen wie Namen, Funktion oder E-Mailadresse sind für Betrüger*innen häufig via Firmenwebseite öffentlich zugänglich.
Beim Rechnungsmanipulationsbetrug oder Business-E-Mail-Compromise (BEC) wird jeweils auf eine bestehende E-Mail-Kommunikation Bezug genommen, die eine Zahlungsanweisung oder eine Rechnung enthält. Anschliessend wird die IBAN, auf die der Betrag einbezahlt werden soll, geändert. Um an die E-Mail-Kommunikation zu kommen, müssen Angreifer entweder Zugriff auf das E-Mail-Konto des Absenders oder auf das Konto der Empfängerin haben. Dies geschieht in den meisten Fällen durch Phishing.
Bei einem Ransomware-Angriff werden IT-Systeme und/oder Daten verschlüsselt. Die Täterschaft meldet sich mit einer Lösegeldforderung und verspricht, System und Daten wieder freizugeben. Bezahlt das Opfer nicht, würden erbeutete Daten im Internet veröffentlicht. Ein Ransomware-Angriff kann sehr hohen finanziellen Schaden und eine Reputationsschädigung eines Unternehmens nach sich ziehen.
Cybersicherheit ist Chefsache und keine reine IT-Angelegenheit
Nebst dem Weg über Mitarbeitende dienen schlecht geschützte IT-Systeme Betrüger*innen als Angriffsfläche. Regelmässige Updates und Backups, die Zweifaktor-Authentifizierung sowie Schulungen der Mitarbeitenden können also schlimme Folgen wie Datendiebstahl, Ausfall von Produktionsanlagen, finanzielle Einbussen oder Reputationsschaden ziemlich einfach vorbeugen. Es ist daher wichtig, Cybersicherheit als Gesamtaufgabe des Unternehmens zu betrachten und ganzheitlich in die Firmenkultur zu integrieren.
Zusammengefasst gilt es folgende Punkte zu beachten:
- Ganzheitliche und immer wiederkehrende Auseinandersetzung mit dem Thema und Steuerung des strategischen Unternehmensrisiko.
- Umsetzung grundlegender Massnahmen: Patchen von Systemen, um Schwachstellen zu beheben sowie regelmässige Backups und Passwortsicherheit inkl. Mehrfach-Authentifizierung.
- Notfallszenario mit Notfallplan, Krisenkommunikationskonzept, Krisenorganisation und Notfallkontakt durchspielen und vorbereiten.
- Umsichtiges Verhalten aller Mitarbeitenden zum Schutz vor Cyberrisiken fördern. Aufmerksamkeit für mögliche Risiken erhöhen sowie Hilfe zur Selbsthilfe und eigenverantwortliches Handeln steigern.
- Integration der Sicherheit in die Unternehmenskultur.