Ein Angriff ist bloss eine Frage der Zeit

Professor Dr. Hannes P. Lubich skizzierte beim Herbstanlass der Gfeller + Partner AG ein düsteres Zukunftsbild für KMUs im Bereich IT-Sicherheit. Den über 100 Anwesenden Unternehmern machte er klar: «Die Frage für Unternehmer lautet nicht, ob auch meine Firma Opfer eines Cyberangriffs werden könnte, sondern wann sie es wird.» Auf humorvolle Weise gewährte er einen Blick in die boomende Cyberkriminalität und erteilte Ratschläge, wie sich Firmen vor Angriffen schützen können.

André Jordi, dipl. Wirtschaftsprüfer und Partner bei der Gfeller + Partner AG in Langenthal, erwähnte bei der Einleitung zum diesjährigen Herbstanlass im Hotel Bären in Langenthal, dass man sich für ein brandaktuelles Thema entschieden habe. Mit dem Impulsreferat «IT-Sicherheit in KMUs» wolle man einen Beitrag zur Sensibilisierung eines Bereiches leisten, dem in vielen Firmen noch zu wenig Beachtung geschenkt werde. Jordi gab zu verstehen, dass es nur eine Frage der Zeit sei, bis man selber Opfer eines Cyber-Angriffs werde. «Ein solcher Angriff kann für kleine KMUs existenzbedrohend sein», leitete er über zum Referenten, Professor Dr. Hannes Lubich, Dozent für Informatik an der Fachhochschule Nordwestschweiz.

Cyber-Angriff kann ein KMU ruinieren
Der Deutsche beschäftigt sich seit 40 Jahren mit Informationssicherheit und Risikomanagement für IT-Systeme. Er machte gleich zu Beginn klar, dass Studien zufolge rund ein Drittel der KMU-Betriebe in der Schweiz bereits einmal von Cyberkriminalität betroffen waren. Deshalb stimmte er auch André Jordi zu und gab zu verstehen, dass sich Firmenchefs nicht fragen sollten, ob auch ihre Firma Opfer eines Cyberangriffs werden könnten, «nein, die Frage lautet viel mehr, wann sie es werden», malte er ein düsteres Zukunftsbild für KMUs im Bereich IT-Sicherheit. Cyberkriminalität sei mittlerweile zu einem «big business» angewachsen, erwähnte Lubich weiter. «Dieser Zweig entwickelt sich so schnell, dass selbst Spezialisten kaum noch mithalten können. Cyberkriminalität ist heute die wohl grösste Universität weltweit, gegen die wir mit bescheidenen Mitteln antreten.»
Hier stehe man einer Bedrohungslage gegenüber, die ungemein breit geworden sei, führte der Dozent weiter aus. «Dahinter stecken handfeste wirtschaftliche und politische Interessen.» Dabei seien es nicht bloss die grossen Konzerne, auf die es Cyberkriminelle abgesehen hätten. «Viele KMUs sind Träger von hochinteressanten Innovationen. Sie haben also etwas, das auch andere interessiert und diese Ware hat einen gewissen Wert, einen Wert, den auch die Konkurrenz gerne hätte.» Im Gegensatz zu einem Grosskonzern, der einen Cyberangriff in der Regel überlebe, weil er den entstandenen Schaden mit andern Geschäftsfeldern kompensieren könne, würden sich die meisten KMU auf ein spezielles Kerngeschäft fokussieren. «Wenn dieses bedroht wird, dann kann dies ein KMU ruinieren», weiss Lubich. Denn neben dem wirtschaftlichen Schaden, komme oft auch ein Imageschaden dazu. Damit umzugehen sei nicht einfach.

Wir reden viel zu viel
Lubich fragte deshalb in die Runde, wie gut die anwesenden Unternehmer auf einen solchen Krisenfall vorbereitet wären. Einen Teil der Antwort nahm er gleich vorweg, als er sagte: «Der Bereich IT ist in vielen Firmen nach wie vor ein Nebenjob, der mit externen Partnern erledigt wird. Es fehlt an klaren Zuordnungen von IT-Rollen, Kompetenzen und Verantwortung.» Aber wer bedroht uns denn eigentlich, lautete die nächste Frage. Hacker, Informationssammler, kriminelle Organisationen, aber auch unzufriedene oder unvorsichtige Mitarbeiter, erwähnte Lubich, der zum Schluss kam: «Wir reden und kommunizieren heute viel zu viel und geben dadurch sehr viel preis, das andere für ihre Zwecke nutzen können.» Es gebe heute sehr viele Personen, die physisch oder elektronisch zuhören würden, wenn wir sprechen, reisen oder telefonieren würden. Auch warnte er davor, jemanden sein Handy zu überlassen oder dieses an öffentlichen Orten kurz unbeaufsichtigt zu lassen. «Wenn sie ihr Handy bloss für zehn Minuten ausleihen oder irgendwo liegen lassen, sind sie vielleicht bereits wenige Minuten später komplett erledigt. Ich mache keine Scherze, nein, sie könnten so was von erledigt sein, wie sie es sich kaum vorstellen können», warnte er die Anwesenden.
«Wir haben etwas zu verlieren», verdeutlichte Professor Hannes Lubich. Aber was können wir dagegen tun? Lubich schlug vor, alles wieder abzuschaffen, was uns in diese Lage gebracht hat, weil wir schlicht nicht auf die Bedrohungslage vorbereitet seien. «Wir haben nämlich noch nicht gelernt, Dinge zu bauen, die gegen einen Ausfall gewappnet sind», hielt er fest und wies auf die Flugzeuge hin, die gegen technische Ausfälle während des Fliegens mittlerweile dreifach abgesichert seien. «Das will ich auch in andern Lebensbereichen haben», bemerkte der Referent. Man brauche in Firmen einen Notfallplan und dieser müsse unter realistischen Bedingungen geübt werden. Aber auch mit einfachen Massnahmen könne man bereits viel erreichen. Man benötige den richtigen Mix aus internem Wissen und externer Expertise. Weiter brauche es klare Zuordnungen, Kompetenzen und Verantwortung, nachvollziehbare, gut geschulte Weisungen, eine zentrale Anlaufstelle für Fragen und Meldungen bei Verdachtsfällen und nicht zuletzt auch vorbehaltene Entscheide für Krisenfälle wie Lösegeldforderungen oder Erpressungen. Und abschlies-send benötige man auch einen «Plan B» für kurz- und mittelfristige Ausfälle, der dem Unternehmen eine gewisse Durchhaltefähigkeit garantiere.

Von Walter Ryser