Cyber-Crime und digitale Sicherheit: «Der Mensch ist das grösste Risiko»
«Hacker und digitale (Un-)Sicherheit – Rolle der Kommunikation» war das Thema des VKK-Round-Tables Ende August im TIME am HB Zürich: Als Experten für Wirtschaftsschutz und Cyber-Crime gaben die beiden Geschäftsleitungsmitglieder von Swiss Business Protection, Chris Eckert, Forensic & Investigation, sowie Reto Fanger, Legal & Compliance, Einblick in ihre Erfahrungen und Einschätzungen zu den aktuellen Entwicklungen. Dabei entstand unter der Leitung von VKK-Vorstandsmitglied Bernhard Schneider eine angeregte Diskussion, wie dem Thema Sicherheit verstärkt in Organisationen Gehör verschafft werden kann, idealerweise, bevor es zu spät und nur noch Schadensbegrenzung möglich ist.
Auf die Frage, was aktuell die grössten Gefahren und Risiken in einer immer stärker digitalisierten Welt sind, wird rasch klar, dass von integraler Sicherheit für Organisationen gesprochen werden muss: Die Trennung zwischen digital und physisch kann bei der Prävention und Massnahmen-Entwicklung sinnvoll sein, doch übergeordnet gilt es, den Gesamtblick über die Gesamtorganisation zu haben.
Bewusstsein ist der erste Schritt
Swiss Business Protection bietet über verschiedenen Phasen Hand: Idealerweise – so, wie es die VKK Crisis Map empfiehlt – beginnt der Schutz beim Bewusstsein schaffen: «Jede Organisation hat seine Kronjuwelen, die es zu schützen gilt», so Chris Eckert. Sich darüber bewusst zu werden, ist der erste Schritt. Denn erst wenn sich eine Organisation bewusst ist, dass ihr Schaden zugefügt werden kann, kommt die Ausarbeitung von massgeschneiderten Präventionsmassnahmen, Prozessdefinitionen und Klärung der Verantwortlichkeiten. Sollten diese beiden Phasen ausgelassen worden sein und eine Organisation wird attackiert, gilt es im Sinne der Schadensbegrenzung, sofort zu handeln: Bei Swiss Business Protection gibt es dafür eine Hotline zum Aufgleisen umgehender Schritte durch das Krisenbewältigungs-Team.
Organisationen machen sich selbst angreifbar
Gemäss den Experten ist die Schweiz besonders attraktiv für Cyber-Attacken: Ein Angriff kann unabhängig vom geografischen Standort der Hacker durchgeführt werden. Finanziell sind Schweizer Organisationen oft gutgestellt. Zudem – entscheidend für die Wahl eines Hackers – fehlen Kompetenzen, insbesondere digitale Kompetenzen, auf oberster strategischer Stufe (Verwaltungsräte, Vorstände), um eine integrale Sicherheitsstrategie festzulegen und umzusetzen. Chris Eckert, lange in der polizeilichen Ermittlung bei der Kapo und der Bundeskriminalpolizei tätig, zeigt anhand verschiedener Beispiele auf, dass es den Organisationen an Sensibilität fehlt, wie sie sich schützen können und müssen: «Organisationen machen sich selbst angreifbar. Sie publizieren beispielsweise sensible Daten wie Kontakte oder Fotos im Netz. So werden Informationen preisgegeben, welche die Organisation angreifbar machen.»
Kennen Sie Ihre Kunden und Partner
Und hier beginnt die Prävention: «Kennen Sie Ihre Kronjuwelen? Stellen Sie sicher, dass auch Ihre Mitarbeitende sie kennen und wissen, wie sie zu schützen sind. Kennen Sie Ihre Kunden und Partner? Seien Sie sich bewusst, mit wem Sie arbeiten.» Wieder stellt sich die Frage der Sensibilisierung: Wer führt regelmässig Background Checks und Due Diligence durch? Wer macht regelmässig Risikoanalysen und prüft mögliche interne Schwachstellen? Die grösste Schwachstelle ist der Mensch. Die Mitarbeitenden sind oft nicht geschult, sie kennen die Risiken deshalb nicht, wissen nicht, wann sie – oft unbewusst – sensible Informationen über ihre Organisation preisgeben. Im Zeitalter der Digitalisierung wird Geld für Technik ausgegeben, dabei ist das grösste Risiko der Mensch, so die beiden Referenten von Swiss Business Protection. Technik braucht es für die Sicherheit einer Organisation, genauso wie es gut ausgebildete und professionelle Menschen braucht, die Sicherheitslücken erkennen, schliessen und verhindern, dass es neue Lücken gibt.
Konkurs aufgrund Erpressung
Faktisch ist jede Organisation von verschiedenen Risiken betroffen, insbesondere und je länger wie mehr von Cyber-Crime. Eines der grössten Cyber-Delikte ist die Erpressung. Daten werden abgezogen und die Organisation erpresst: Dies können beispielsweise sensible Daten sein, die nicht an die Öffentlichkeit gelangen sollten, oder auch produktionsrelevante Daten, ohne die nicht weitergearbeitet werden kann. Entgegen der allgemeinen Annahmen, dass auf keinen Fall Geld bezahlt werden sollte, um die Daten zurückzuerhalten, gilt es auch hier, umgehend mit professioneller Unterstützung die richtige Strategie zu definieren. Manchmal kann der Rückkauf von Daten einen Konkurs verhindern, wie Beispiele aus der nahen Vergangenheit zeigen. Dass dann die Sicherheitsvorkehrungen angepasst werden müssen, um eine weitere Erpressung zu verhindern, ist selbstredend.
Hand in Hand mit der Krisenkommunikation
Und die Rolle der Krisenkommunikation? Hier gilt es, Hand in Hand mit den Sicherheits-Experten zusammen zu arbeiten. Sowohl im Wirtschaftsschutz als auch in der Krisenkommunikation sind die gleichen Phasen entscheidend: Bewusstsein schaffen, Risiken identifizieren, Prävention und regelmässige Risiko-Analyse sicherstellen, im Ernstfall die Krisenbewältigung mit möglichst wenig Verlust durchführen sowie kontinuierlich aus den Erkenntnissen lernen. Die richtigen Massnahmen zur richtigen Zeit mit den richtigen Experten verhindern bei vorzeitiger Integration einer Sicherheitsstrategie Angriffe mit gravierenden Konsequenzen. Bei fehlender Vorbereitung besteht die zweitbeste Möglichkeit darin, mit umgehendem Einbezug von Experten so weit als möglich Reputationsverlust, finanziellen Schaden bis und mit Totalverlust oder Konkurs zu verhindern.
Bettina Freihofer Estrada, Vorstand VKK