Warum Cybersicherheit nur gemeinsam gelingt

Cyberangriffe sind eine Realität. Sie können jedes Unternehmen in der Schweiz treffen - laut der Cyberstudie 2024 wurden in den vergangenen drei Jahren 240'00 KMUs Opfer. Sind die Angreifer erfolgreich, kann der angerichtete Schaden gerade für kleine Unternehmen existenzbedrohend werden. Das sorgt für Panik bei den Angestellten, hält Behörden und Strafverfolger auf Trab und beschäftigt auch die Versicherungen.

All dies war am Gohack24 Symposium zu hören, das am 14. November 2024 in den Zürcher Räumen der Fernfachhochschule Schweiz (FFHS) über die Bühne ging. Den ganzen Gohack24, der noch bis zum 16. November dauert, führt Gobugfree durch, gemeinsam mit der FFHS und BDO. Durch das Symposium leitete Moderator Coen Kaat, stellvertretender Chefredaktor von SwissCybersecurity.net.

Man wolle mit dem Event Personen aus Wissenschaft, Politik,, Polizei, Behörden und der Community der ethischen Hacker zusammenbringen, erklärte Christina Kistler, Co-CEO von Gobugfree, in ihrer Begrüssung. "Wir wollen gemeinsam lernen und gemeinsam an Lösungen arbeiten". Rund 350 Teilnehmende folgten dieses Jahr der Einladung - "Full House", gab sich Kistler erfreut.

Trends erkennen und Informationen sammeln

Getreu nach dem Motto des Gohack24 Symposiums, "Cyberkriminalität: Perspektiven und Verantwortlichkeiten", erklärten die Referierenden, welche Rolle sie in Zusammenhang mit Cyberschutz einnehmen und wo sie auf Herausforderungen stossen. Das Bundesamt für Cybersicherheit (BACS) will etwa "das Fundament für die Schweiz für eine sichere Digitalisierung" legen, wie Roger Knoepfel, Leiter Schwachstellen-Management bei der Behörde, erklärte.

Roger Knoepfel, Leiter Schwachstellen-Management beim BACS, beteiligte sich auch nach seiner Präsentation vom Publikum aus an der Paneldiskussion. (Source: BDO Schweiz)

Das BACS betreibt eine Meldestelle für Cybervorfälle, bei der 2024 schon deutlich über 50'000 Meldungen eingegangen waren - alle achteinhalb Minuten trifft eine Meldung ein, wie das BACS im unlängst veröffentlichten Halbjahresbericht schreibt. Aus diesen Meldungen könne die Behörde wiederum Cybercrime-Trends ableiten und entsprechend davor warnen. Knoepfel bezeichnete die Meldestelle auch als "das Fieberthermometer" für die Cybersicherheit. "Es sind nicht grundsätzlich neue Angriffe, sie werden aber effizienter, automatisierter und raffinierter", fasste er die Entwicklung zusammen und erwähnte etwa CEO-Betrüge, zu denen neu auch Deepfake-Zoom-Calls gehören.

Zu den Aufgaben des BACS gehöre es auch, durch Cyberangriffe verursachte Schäden zu minimieren und Grossanlässe in Sachen Cybersicherheit zu schützen. "Am Eurovision Song Contest wird nicht nur gesungen. Es gibt auch eine Cyberkomponente", sagte Knoepfel, um ein Beispiel zu nennen.

Serdar Günal Rütsche, Chef der Abteilung Cybercrime bei der Kantonspolizei Zürich & Leiter des Netzwerks digitale Ermittlungsunterstützung Internetkriminalität (NEDIK), erklärte, was die Polizei im Falle eines Cyberangriffs tut - und was nicht: "Wir helfen Ihnen nicht, die Daten wiederherzustellen", sagte er. Dennoch möchte die Polizei möglichst involviert sein, denn: "Wir sind an den Spuren interessiert". Es sei wichtig, möglichst viele Informationen zu sammeln. Aus diesen können die Fachkräfte ableiten, "in welche Richtung Ihr Fall geht" - konkret, wer hinter einem Angriff stecken könnte und ob es sich lohnt, mit der Täterschaft zu verhandeln. Zudem könnten sie herausfinden, ob eine Chance besteht, allfällig verschlüsselte Daten wieder zu entschlüsseln.

Serdar Günal Rütsche, Chef der Abteilung Cybercrime bei der Kantonspolizei Zürich & Leiter des Netzwerks digitale Ermittlungsunterstützung Internetkriminalität (NEDIK). (Source: BDO Schweiz)

Die gesicherten Spuren zu beschaffen und zu untersuchen, brauche Zeit, machte Rütsche deutlich. Doch "Im Verbund ist man sehr stark", sagte er und betonte die Wichtigkeit der Zusammenarbeit mit Europol, Interpol und Co. Bezüglich Aufklärungsrate gab er sich optimistisch: "Wir werden Ihren Fall garantiert klären - aber nicht immer in zwei Wochen".

Vorbereitet sein

Alle Referierenden des Gohack24 Symposiums betonten in ihren Präsentationen die Wichtigkeit der Prävention. BACS-Vertreter Knoepfel gab dem Publikum drei Goldene Regeln mit und kommentierte: "Wenn die Mehrheit diese drei Regeln beherzigen würde, hätten wir viele Angriffe nicht". Die Regeln lauten:

• Führen Sie Zwei-Faktor-Authentifizierung für alle im Internet exponierten Dienste ein. (Wichtig: Nicht nur geschäftliche, sondern auch persönliche Zugänge absichern).

• Sorgen Sie für ein gutes Patch-Management. (Dazu gehört nicht nur, Upgrades zeitnah einzuspielen, sondern auch rasch Massnahmen zur Mitigation von Zero-Day-Schwachstellen ausführen zu können).

• Behalten Sie den Überblick über Ihre Infrastruktur und Ihre Daten. (Nur so lässt sich im Falle eines Cyberangriffs der Schaden wirklich feststellen und angehen).

David Ribeaud, CEO Specialty Markets beim Versicherer Helvetia, nannte auch Goldene Regeln, einen Satz aus organisatorischer und technischer Präventionsmassnahmen. Die Anwendung dieser Regeln sei eine Voraussetzung für eine Cyberversicherung, stellte er klar. "Wir möchten die Kunden animieren, die notwendigen Investitionen zu tätigen", sagte Ribeaud. Ein Restrisiko bleibe zwar, aber "unser Ziel ist, dass es nicht kracht".

David Ribeaud, CEO Specialty Markets beim Versicherer Helvetia. (Source: BDO Schweiz)

Rütsche von der Kapo Zürich legte allen Anwesenden nahe, man solle sich verabschieden von zwei Trugschlüssen: "Bei mir wird schon kein Cyberangriff passieren" und "Ein Angriff wird schon nicht so schlimm sein". Beides stimme nicht, betonte er. "Im Ernstfall ist es ganz anders!" Entsprechend empfahl er dem Publikum, über die Prävention hinauszugehen und sich vorzubereiten. "Üben Sie den Ernstfall, bevor es passiert", rief er die Anwesenden auf.

Neuropsychologe Wolfgang Maier, der im Verlauf des Abends schilderte, was in unseren Gehirnen während einer Cyberkrise passiert, riet zu mehreren Proben. "Ein Wort braucht 50 Wiederholungen bis es aktiv im Wortschatz ist, verdeutlichte er seinen Standpunkt. Natürlich könne ein Unternehmen nicht den ganzen Tag lang den Ausfall üben; "aber drei, vier Mal müsst ihr das schon durch exerzieren". Nur so könne das Hirn das Gelernte in einer wirklichen Krise auch abrufen. Mairs Mitreferentin Bettina Zimmermann, CEO bei GU Sicherheit & Partner und Expertin für Krisenmanagement und Sicherheit, nannte ein paar weitere Vorbereitungsschritte: So gelte es, einen Krisenstab zusammenstellen, einen Raum für dessen Einsatz sowie die Arbeitsweise des Gremiums zu definieren und so weiter. "Es ist Ressourcenintensiv und benötigt Zeit und Geld".

Neuropsychologe Wolfgang Maier referierte gemeinsam mit ... (Source: BDO Schweiz)

... Bettina Zimmermann, CEO bei GU Sicherheit & Partner und Expertin für Krisenmanagement und Sicherheit. (Source: BDO Schweiz)

Nicht locker lassen, nicht alleine arbeiten

Ein weiteres Credo des Abends lautete, dass Cybersicherheit nur gemeinsam entsteht. David Ribeaud von der Helvetia-Versicherung plädierte für die Zusammenarbeit von Staat, Wissenschaft, und Industrie und schilderte die Vision einer gemeinsamen Datenbank. Die Wissenschaft könne Schutzmethoden definieren, der Staat setze die verpflichtenden Standards ein und die Versicherer unterstützen im Schadenfall. Seitens Kapo war die Forderung einer Datenaustauschplattform für Polizeien zu hören. Noch fehle dafür eine Gesetzesgrundlage, sagte Rütsche nach seinem Referat im Rahmen einer Paneldiskussion.

Ursula Sury, Vizedirektorin der HSLU, Rechtsanwältin und Dozentin, unterstützte die Forderung nach Prävention während der Paneldiskussion und erinnerte daran, dass die Schweiz sich in Regulierungsfragen zurückhaltender Zeige als die EU. "Im Grossen und Ganzen sind wir mit diesem Pragmatismus gar nicht schlecht gefahren", stellte sie fest.

Die Paneldiskussion: Ursula Sury, Vizedirektorin der HSLU, Rechtsanwältin und Dozentin, Serdar Günal Rütsche, Chef der Abteilung Cybercrime bei der Kantonspolizei Zürich & Leiter NEDIK, Simon Reinhart, Unternehmer und ethischer Hacker, Marcel Eyer, Co-CEO & CTO bei Gobugfree, Annika Bos, Public Affairs Manager bei Swico, und Moderator Coen Kaat. (Source: BDO Schweiz)

Marcel Eyer, Co-CEO & CTO bei Gobugfree, fasste die Aufgaben für guten Cyberschutz an Unternehmen in einem Mantra zusammen: "It’s the Basics". Das Cyberrisiko gehöre zum Führen einer Firma dazu und es werde sich mit dem Aufkommen künstlicher Intelligenz noch erhöhen. Allerdings gebe es eine Reihe einfacher Schutzmassnahmen, wie etwa dem Absichern von Accounts.

In der gleichen Diskussion ergänzte der Unternehmer und ethische Hacker Simon Reinhart, das gutmütige Hacken sollte straffrei bleiben. Laut der aktuellen Rechtslage bewegt man sich hier rasch im Graubereich. Annika Bos vom Branchenverband Swico rief dazu auf, Systeme gründlich auf Schwachstellen zu prüfen und alle Mitarbeitenden im Unternehmen zu sensibilisieren.

Übrigens: Der Bundesrat hat unlängst geprüft, mit welchen Massnahmen die Schweiz den Schutz vor Ransomware-Angriffen verstärken könnte. Die Exekutive kam zum Schluss, dass es keine neue Meldepflicht brauche. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.