Das Nationale Zentrum für Cybersicherheit (NCSC) ist das Kompetenzzentrum des Bundes für Cybersicherheit und erste Anlaufstelle für Wirtschaft, Behörden und Bevölkerung bei Fragen zur Sicherheit im Internet. Auf dessen Website können unter https://www.report.ncsc.admin.ch Cybervorfälle gemeldet werden. Dank dieser Meldungen erkennt das NCSC mögliche Trends zu Gefahren im Internet, kann gezielt dagegen vorgehen und frühzeitig warnen.
Frage: Stephan, das Meldeformular des NCSC ist nun seit zwei Jahren online. Wie viele Meldungen gingen bisher ein, und was sind die häufigsten Meldungen?
Im ersten Jahr erhielten wir 10'833 Meldungen, im zweiten Jahr waren es bereits 21’714. Also mehr als eine Verdopplung. Am häufigsten werden Betrugsversuche gemeldet. Insgesamt waren dies im Jahr 2021 über 11’300 Hinweise. Während Fake Sexortion in der ersten Jahreshälfte 2021 dominant war und zahlreiche Wellen beobachtet wurden, nahmen ab Oktober Meldungen zu Drohmails von angeblichen Strafverfolgungsbehörden stark zu. Weitere Kategorien mit hohem Meldeeingang sind Hinweise zu Vorschussbetrug, Investment-Betrug, CEO-Betrug oder auch Kleinanzeigenbetrug. Aber auch Meldungen zu Phishing E-Mails erhalten wir in grosser Zahl. Nicht jede Meldung bedeutet aber auch einen erfolgreichen Angriff. In vielen Fällen wird der Angriffsversuch erkannt und gemeldet, damit wir präventive Massnahmen treffen können.
Frage: Das ist auf der einen Seite eine sehr erfreuliche Entwicklung für das Meldeformular, auf der anderen Seite aber auch beängstigend. Welchen Hintergrund hat diese Entwicklung? Wird die Meldemöglichkeit immer bekannter und/oder nimmt die Anzahl Vorfälle so stark zu?
Es ist sicherlich eine Mischung aus beidem. Auf der einen Seite hat die prominente Platzierung des Meldeformulars auf der NCSC-Startseite und die Einführung des neuen interaktiven Meldeformulars im Dezember 2021 dazu beigetragen, dass uns Firmen und Bürgerinnen und Bürger vermehrt Vorfälle, dubiose E-Mails, dubiose Webseiten oder verdächtige Beobachtungen melden. Bei einigen Kategorien sieht man aber auch eine überproportionale Steigerung, was auf eine Zunahme der Vorfälle schliessen lässt. So haben Meldungen zu angeblichen Paketbenachrichtigungen, die irgendwelche Gebühren verlangen, während der Pandemie stark zugenommen. Es hat in dieser Zeit fast jede/jeder einmal auf ein Paket gewartet, was die Betrüger ausgenutzt haben. Es kommt aber nicht nur auf die Anzahl der Meldungen an, sondern auch auf das Schadenspotential. Gerade Ransomware-Angriffe verursachen jeweils grosse Schäden und haben ebenfalls überproportional zugenommen.
Frage: Welche Art Vorfälle waren in der Vergangenheit und sind aktuell das grösste Problem? Und wenn Du einen Blick in die Glaskugel wirfst, was erwartet uns in Zukunft?
Wie bereits erwähnt sind für Firmen vor allem Ransomware-Angriffe ein grosses Risiko. Ist eine Firma von einem solchen Vorfall betroffen, dann ist der Schaden meist sehr hoch und es resultiert zumindest ein Arbeitsstillstand von mehreren Tagen, bis die Systeme wieder funktionieren und die Daten aus den Backups wiederhergestellt wurden. In einigen Fällen können die Daten leider gar nicht mehr wiederhergestellt werden. Die Angreifer sind zudem dazu übergegangen, die Daten vor dem Verschlüsseln auch noch zu kopieren. Auch wenn eine Firma die Daten schnell wiederherstellen kann, wird mit der Veröffentlichung der Daten gedroht. Je nach betroffenen Daten bedeutet dies einen grossen Reputationsverlust vor allem gegenüber den Kunden. Auch Angriffe auf Exchange-Server oder andere verwundbare Systeme werden immer wieder gemeldet, obwohl das NCSC seit einiger Zeit vor derartigen Sicherheitslücken warnt. Die ungesicherten Server werden beispielsweise für den gezielten Versand von Schadsoftware-E-Mails verwendet.
Unspezifische E-Mails funktionieren immer weniger, deshalb erwarte ich in Zukunft vor allem gezieltere und auf Firmen respektive auf Mitarbeitende zugeschnittene E-Mails. Die Angreifer bedienen sich dabei einerseits der öffentlich verfügbaren Informationen, aber andererseits auch der stetig wachsenden Zahl an geleakten Daten. In unserem wöchentlichen auf der Webseite des NCSC publizierten Rückblick haben wir bereits vor solch aufwändig gestalteten Angriffsversuchen berichtet.
Frage: Wo siehst Du den Haupthandlungsbedarf, um die Vorfälle zu reduzieren?
Wichtig ist, dass sich die Geschäftsleitung von KMU der jeweiligen Cyberbedrohung bewusst ist und sich im Vorfeld Gedanken macht, wie man auf der einen Seite das Risiko minimieren kann, damit es gar nicht erst zu einem Vorfall kommt. Zum Beispiel, indem sie die wichtigsten technischen und organisatorischen Grundschutzmassnahmen umsetzt sowie die Mitarbeitenden entsprechend sensibilisiert. Auf der anderen Seite muss sich die Geschäftsleitung aber auch Gedanken darüber machen, wie man im Falle eines Angriffs reagiert, um den Schaden möglichst klein zu halten, also ein Krisenkonzept vorbereiten. Es gibt Firmen, die das Thema sehr ernst nehmen und auch entsprechende Massnahmen ergreifen und Budgets zur Verfügung stellen. Wir sehen aber auch, dass es nach wie vor Firmen gibt, die ungenügend geschützt sind. Einige unterschätzen das Risiko, andere Firmen haben zwar das Problem erkannt, wissen aber nicht genau, wie sie vorgehen sollten, um das Risiko effizient zu verringern. Viele Firmen denken, dass sie zu klein und für Betrüger zu uninteressant sind, um angegriffen zu werden. Dies stimmt absolut nicht. Die Cyberkriminellen greifen im Prinzip alles an, bei dem sie mit wenig Aufwand Geld machen können.
Frage: Ganz konkret: Welches sind aus deiner Sicht die drei wichtigsten Handlungsempfehlungen und Massnahmen für die Cybersicherheit in Schweizer KMU?
Ich sehe vor allem zwei Themenfelder. Auf der einen Seite müssen alle Systeme immer auf dem neuesten Stand sein. Dies gilt vor allem für Systeme, welche vom Internet her direkt zugreifbar sein. Leider sehen wir immer noch Server, die über ungepatchte Sicherheitslücken kompromittiert werden können. Das zweite Themenfeld ist die Sensibilisierung von Mitarbeitenden. Mitarbeitende sind ein sehr wichtiger Teil im Abwehrdispositiv. Die meisten Angriffsversuche gehen immer noch über E-Mails. Zwar kann man auch hier technische Massnahmen treffen und beispielsweise die Makro-Funktion in den Office Dokumenten deaktivieren. Es ist aber immer besser, wenn diese Massnahmen nicht auf die Probe gestellt werden, sondern die Mitarbeitenden dubiose E-Mails schon im Vorfeld erkennen. Mit einer einzigen Schulung ist es allerdings nicht getan. Sensibilisierung ist ein stetiger Prozess, da sich die Methoden der Angreifer laufend weiterentwickeln. Ziel sollte sein, eine Sicherheitskultur bei den Mitarbeitenden zu etablieren.
Vielen Dank für Deine interessanten Ausführungen.
