skip to Main Content
Cyber Security

Die Frage lautet nicht länger, ob Sie angegriffen werden, sondern wann! Ein Hackerangriff ist heute keine Seltenheit mehr. Schutzmassnahmen sind daher wichtiger denn je. Die globale Digitalisierung bringt viele angenehme Vorteile mit sich. Doch es gibt auch Schwachstellen, die perfekte Angriffsflächen für Cyberkriminalität bieten. Datensicherheit sollte die oberste Priorität sein, um sein Unternehmen sowie dessen Mitarbeitenden und Kunden zu schützen.

Cyber Security – ein Muss für alle Unternehmen

Um die Thematik von Grund auf zu behandeln, ist zunächst folgende Frage zu beantworten: Was ist Cyber Security überhaupt? Dieser Begriff hat sich aus der «Information Security» herausgebildet und bezieht sich konkret auf den Schutz elektronischer Informationen – also Daten. In unserer heutigen Zeit, in der alles und jeder miteinander vernetzt ist, sind Schutzmassnahmen enorm wichtig.

In welcher Form tritt Cyberkriminalität auf?

Eine Gefahr geht zum Beispiel vom Darknet (auch Deep Web genannt) aus. In diesem Peer-to-Peer-Overlay-Netzwerk werden Rechner direkt und manuell miteinander verbunden. Die Teilnehmenden können nur über Einladungen oder Akzeptierungen ein Teil des Netzwerkes werden. Durch die Exklusivität, die ein solches Netzwerk bietet, wird es zum idealen Treffpunkt für Cyberkriminelle, die aus diesem Netzwerk heraus agieren.

Die Gefahren können sich auf ganz unterschiedliche Arten anschleichen. Ob betrügerische E-Mails, Sammeln von frei zugänglichen Daten, klassisches Hacken und Ausspionieren von Computern oder unseriöse Telefonanrufe – Cyberkriminalität hat viele Gesichter.

Nahezu jede Aktivität, Kommunikation oder Interaktion im Cyberspace sollte kritisch hinterfragt werden. Im Folgenden stellen wir kurz die grössten Gefahren vor:

  • Viren sind selbst verbreitende Computerprogramme und stellen eine enorme Gefahr dar. Sie können die Hardware, das Betriebssystem oder andere Software beeinflussen.
  • Spam-E-Mails sind unerwünschte E-Mails und werden oft für kriminelle Absichten wie zum Beispiel für die Verbreitung von Viren-E-Mails verwendet. Sie stellen ebenfalls ein erhebliches Risiko dar.
  • Phishing-E-Mails werden von Absendenden mit falscher Identität verschickt, die sich vertrauliche Daten beschaffen wollen. Sie zählen zu den gefährlichen E-Mails, die sofort gelöscht werden sollten.
  • Trojaner gehören zu den Schadprogrammen und richten oft unerkannt im Hintergrund Schaden an oder sammeln heimlich Daten.
  • DDOS (Distributed Denial of Service-Attacken) setzen auf Quantität. Bei diesem Vorgehen werden viele Angriffe auf ein IT-System z. B. in Form von sehr vielen Anfragen zur gleichen Zeit gestartet, um einen Service oder eine Webseite lahmzulegen.
  • Social Engineering ist eine Telefonmasche, bei der persönliche Angaben wie eine Telefonnummer genutzt werden, um an vertrauliche Daten zu gelangen und diese zur persönlichen (meist finanziellen) Bereicherung zu verwenden. Ein Anruf, bei dem Ihnen ein Computerservice angeboten wird, der die Herausgabe Ihrer Zugangsdaten verlangt, kann ein derartiger betrügerischer Anruf sein.
  • Hacking ist ein nicht autorisierter Zugriff auf Rechner oder auf ein ganzes Netzwerk, um an Informationen, respektive Daten zu gelangen. Dies stellt eine weitere Gefahr dar. Die Daten können anschliessend beispielsweise zur Erpressung genutzt werden. Wie kürzlich geschehen: Mit der Schadsoftware «WannaCry» wurden weltweit Daten sowohl privater als auch gewerblicher Rechner gesperrt und Lösegeld erpresst. Auch in der Schweiz wurden rund 200 Infizierungen registriert, die teils erheblichen Schaden angerichtet haben.[1] Mit einer umfangreichen Cyber Security, die regelmässig auf den neusten Stand gebracht wird, kann derartigen Angriffen vorgebeugt werden. Dieses Beispiel zeigt nur eine von vielen möglichen Arten von Internetkriminalität. Das Stehlen von persönlichen oder betrieblichen Daten zur Erpressung oder zum Verkauf sowie Identitätsdiebstahl sind weitere Beispiele für Cyberkriminalität.
Cyberkriminalität in der Schweiz

Cyberbetrug war 2016 die am häufigsten vorkommende Form von Cyberkriminalität in der Schweiz. Zusätzlich gehören Phishing, Schadprogramme (englisch: Malware), verbotene Pornografie und Botnet zu den meist gemeldeten Formen von Internetkriminalität in der Schweiz. [2]

Die meisten Cyberkriminellen haben nur ein Ziel: sich finanziell bereichern. Aber auch schwerwiegendere Angriffe, die unser Zusammenleben oder sogar unser Überleben gefährden wie zum Beispiel Attacken auf Krankenhäuser, Regierungseinrichtungen oder das Militär kommen vor.

Generell muss festgestellt werden, dass Cyberkriminelle sehr aktiv sind. Sie entwickeln sich stets weiter und versuchen immer wieder, Security-Programme zu übergehen. Daher muss Ihre Cyber Security stets auf Aktualität und mögliche Updates überprüft werden.

Welche Schwachstellen können auftreten und wie können diese behoben werden?
Sehr oft auftretende Schwachstellen sind:

  • Unzureichend geschulte Mitarbeitende. Diese Schwachstelle kann mit gezielten Schulungen der Mitarbeitenden behoben werden.
  • Sogenannte «Automation Errors» wie zum Beispiel fehlerhafte Konfigurationen oder unzureichende Prüfungen der Systeme führen zu potenziellen Sicherheitslücken. Diese Lücken können mit professionellen Testmethoden geschlossen werden.
  • Technologien, die die Anforderungen der Security nicht unterstützen. Vor der Konzeption und Implementierung ist zu beachten, WAS genau geschützt werden soll, IN WELCHEM UMFANG und WELCHE TECHNOLOGIEN in Frage kommen. Die Antworten auf diese Fragen muss jedes Unternehmen für sich selber finden. Es gibt keine allgemeingültigen Lösungen. Allerdings ist für alle zu berücksichtigen, dass Cyber Security einem gewissen Wandel unterworfen ist. Sie muss sich stets der Entwicklung von Technologien anpassen, um einwandfrei zu funktionieren. Daher kann es schnell problematisch werden, wenn die Erstkonfiguration lange Zeit beibehalten wird.
  • Mangelndes Wissen über die Gesetzeslage. Diese kann allerdings durch regelmässige Recherchen leicht behoben werden.
  • Die Einstellung «wir sind zu klein und unbedeutend, um Opfer von Cyberkriminellen zu werden», die vor allem bei den KMU weit verbreitet ist.[3] Sie kann einfach beseitigt werden, wenn man sich an das Motto «Vorsicht ist besser als Nachsicht» hält. Klassischen Betrugsversuchen kann durch diesen Leitsatz und das 4-Augen-Prinzip ebenfalls gut vorgebeugt werden.

Fest steht, dass Cyberangriffe immer mehr zunehmen. Laut einer Studie von KPMG gaben 88 Prozent der Befragten an, dass sie im letzten Jahr Opfer von Cyberattacken wurden.[4] Dies entspricht einer Zunahme von 34 Prozent im Vergleich zum Vorjahr. Ein erschreckender Trend, der zum Handeln und Aufrüsten in Sachen Cyber Security zwingt.

Welche Herausforderungen bezüglich Cyber Security kommen mit der zunehmenden Digitalisierung auf uns zu?

Dank der Globalisierung und den diversen Möglichkeiten, die das Internet für uns bereithält, verbreitet sich die Digitalisierung rasant. Es kann gewissermassen alles und jeder miteinander vernetzt werden, womit ein IoT (Internet of Things) entsteht. Mit der digitalen Transformation geht in Unternehmen ein enormer Strukturwandel einher. Arbeitsplätze, Methoden, Skills der Mitarbeitenden und Technologien müssen sich der digitalen Welt anpassen. Wer dabei keine umfassende Cyber Security eingerichtet hat, ist ein leichtes Opfer.

Folgende Fragen müssen sich Unternehmen stellen:

  • Wurde die richtige Technologie ausgewählt?
  • Wird diese Technologie angemessen betrieben und verwaltet?
  • Ist die Technologie für den Endbenutzer sicher genug?
  • Können die Mitarbeitenden adäquat mit der Technologie umgehen?
Zu den Technologien, die mit der Digitalisierung einhergehen, gehören zum Beispiel:

Dabei werden IT-Infrastrukturen wie beispielsweise Rechenleistung, Speicherplatz oder Anwendungssoftware über ein Netzwerk bezogen.

Im Zusammenhang mit der Digitalisierung ist auch Big Data als eine Herausforderung zu nennen. Durch die digitale Transformation entstehen sehr grosse, komplexe, oft auch ungenügend strukturierte und schnelllebige Datenmengen, die manuell nicht mehr bearbeitet werden können. Der Begriff «Big Data» wird sowohl für diese grossen Datenmengen als auch für die Technologien, die diese Datenmengen verarbeiten können, verwendet. Die Hauptaufgabe dabei ist, die Daten trotz ihres enormen Umfangs gut zu schützen und zu verwalten.

Mobile Arbeitsweise (BYOD)

Ein weiterer wichtiger Aspekt ist das zunehmende Bedürfnis nach Mobilität, das unbedingt im Rahmen der Cyber Security berücksichtigt werden muss. Heutzutage wird mit den verschiedensten mobilen Endgeräten gearbeitet, die ebenfalls Zugriff auf Systeme der IT-Infrastruktur benötigen oder diesen bereits haben. Daher ist klar, dass Sicherheitsvorkehrungen getroffen werden müssen, die den Zugang zu den Systemen regeln und transparent machen.

Die Schweiz und ihr Umgang mit Cyber-Risiken

Mit der fortschreitenden Digitalisierung wird auch die Schweiz vor neue Herausforderungen gestellt. Die Nutzung von Technologien für kriminelle Zwecke kann nicht ignoriert werden, sondern muss aktiv von politischer Seite durch eine entsprechende Strategie bekämpft werden.

Dies hat auch der Bundesrat erkannt und 2012 eine nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) für die Jahre 2012-2017 beschlossen.[5]

Mit dieser Strategie sollen Gefahren frühzeitig erkannt und Cyber-Risiken wie Spionage, Sabotage und andere kriminelle Aktivitäten reduziert werden. Nach dem Ablaufen der Strategie folgt eine zweite, die auf der Beurteilung der bisher geleisteten Arbeiten aufbaut.  Die Risiken auf kritische Infrastrukturen sollen weiterhin durch die Zusammenarbeit zwischen Wirtschaft und Behörden sowie durch eigenverantwortliches Handeln reduziert werden. Unternehmen müssen genauso mithelfen Cyber-Risiken zu reduzieren, die Verbreitung von Schadprogrammen aufzuhalten und frühzeitig Gefahren zu erkennen.

Wie kann ich mich und mein Unternehmen schützen?
  • Mit einer generell skeptischen Grundeinstellung gegenüber der Herkunft einer Mitteilung und deren Kommunikationskanälen im Internet. Damit ist ein erster Schritt zur Prävention getan. Oft werden aus Neugier oder Unachtsamkeit gefährliche E-Mails angeklickt oder leichtsinnig Daten an dubiose Adressen preisgegeben.
  • Mit Aufzeigen potenzieller Gefahren. Aufklärung und Schulung von Mitarbeitenden helfen die Aufmerksamkeit zu schärfen und können Anwendungsfehler stark verringern.[6]
  • Mit einer konsolidierten Sicherheitsplattform. Heute sind viele Sicherheitsinfrastrukturen sehr komplex, dass führt zu einer Unsicherheit in Unternehmungen bezüglich Sicherheitsrisiken.[7] Technologische Aspekte sind stetig zu überprüfen und zu aktualisieren. Regelmässige Software-Updates sollten selbstverständlich ein. Die Grundlage für Unternehmen ist eine angemessene IT-Sicherheitsinfrastruktur, die kontinuierlich zu überprüfen und gegebenenfalls zu aktualisieren ist.
  • Mit einem adäquaten Identitäts- und Zugangsmanagementsystem. Es ist wichtig, dass der Zugang zu spezifischen Räumlichkeiten und Endgeräten mit einer Authentifizierung, wie beispielsweise einem Passwort, Zertifikat oder einem Fingerabdruck, ausgestattet sind. Das Verwalten von unterschiedlichen Zugangssystemen ist die Aufgabe eines konformen Identitäts- und Zugangsmanagementsystems.
Folgende Fragen sollten sich Unternehmen in diesem Zusammenhang stellen:
  • Welche IT-Security Richtlinien gibt es und ist ein Risk-Management vorhanden?
  • Sind sich Management und Mitarbeitende der heutigen Bedrohungslage bewusst?
  • Welche Daten müssen geschützt werden?
  • Welche sind die kritischsten Applikationen (ERP, Mail, CAD, CAM, etc.), die geschützt werden müssen?
  • Wie sieht die Netzwerksegmentierung aus?
  • Ist eine Security Lösung aus der Cloud oder ein Managed Security Service Partner für das Unternehmen von Vorteil?

Dabei ist es empfehlenswert, Technologien auszuwählen, die Gefahren frühzeitig erkennen und zum Beispiel Hacker oder Schadprogramme gar nicht erst an die Systeme rankommen lassen. Mobile-, Cloud- und Netzwerk-Umgebungen sollten einheitlich gesichert und gemanaged werden. Innovation geschieht nicht hinter verschlossenen Türen: Nur wer das richtige IT-Infrastruktur Sicherheitskonzept und die entsprechende Technologie im Einsatz hat, wird die zukünftigen Wachstumschancen mit innovativen Ideen und Erfindungen ergreifen können. Eine solche Technologie gibt es bereits heute, wir bei BNC geben gerne Auskunft darüber.

Referenzen

1 Quelle: Tagesanzeiger vom Mai 2017
2 Quelle: Statistik-Portal statista.com
3 Quelle: www.organisator.ch (galledia verlag ag)
4 Quelle: KPMG Report «Clarity on Cyber Security May 2017
5 Quelle: Eidgenössisches Departement für auswärtige Angelegenheiten (EDA), Cyber-Sicherheit www.eda.admin.ch
6 Quelle: Eidgenössisches Departement für auswärtige Angelegenheiten (EDA), Cyber-Sicherheit www.eda.admin.ch
7 Quelle: Eidgenössisches Departement für auswärtige Angelegenheiten (EDA), Cyber-Sicherheit www.eda.admin.ch

Related Content
Out of the Box Service: Netzwerk Zonenkonzept
Out of the Box Service: Netzwerk Zonenkonzept
Out of the Box Service: Netzwerk Zonenkonzept

Mit unserem Netzwerk-Zonenkonzept erhalten Sie eine Netzwerkoptimierung, Vereinfachung und erhöhte Sicherheit Ihrer gesamten Netzinfrastruktur.

Mehr erfahren
Out of the Box Service: Verwundbarkeitsanalyse
Out of the Box Service: Verwundbarkeitsanalyse
Out of the Box Service: Verwundbarkeitsanalyse

Mit unserer Verwundbarkeitsanalyse erhalten Sie ein Dienstleistungspaket, das bestehende und potenzielle Verwundbarkeiten wie zum Beispiel veraltete Programme in Ihrem Netzwerk offenlegt.

Mehr erfahren
Out of the Box Service: Security Check-up
Out of the Box Service: Security Check-up
Out of the Box Service: Security Check-up

Mit dem Security Check-up von Check Point zeigt wir Ihnen genau auf, was in Ihrer IT-Infrastruktur passiert.

Mehr erfahren
Technologie Partner
Check Point

Check Point
4 Stars Partner

Back To Top
Close search
Suche