Ein Schweizer Unternehmen übersteht einen erfolgreichen Ransomware-Angriff knapp. Und verbessert daraufhin seine Schutzmassnahmen. Profitieren Sie in Ihrem KMU von diesen Erkenntnissen. Und zwar, bevor Sie von Cyberkriminellen angegriffen werden.
Diese drei Wochen wird Martin Kelterborn nicht mehr vergessen. Drei Wochen, in denen das gesamte Unternehmen im Krisenmodus arbeitete, um die Folgen eines erfolgreichen Ransomware-Angriffs zu beseitigen. Der die Existenz des Unternehmens bedrohte. Denn der Cyberangriff hatte die gesamte IT ausser Gefecht gesetzt. «Die Marketingabteilung richtete in einem Sitzungszimmer einen Kommandoposten ein und organisierte den ganzen Kampf», erinnert sich Martin Kelterborn, damals CEO der Offix Holding. «Und das gesamte Unternehmen hat nur noch für die IT und den Verkauf gearbeitet.»
Phishing, die raffinierte Variante
Dabei war das Unternehmen nicht schlecht geschützt. Ein Security-Audit, bei dem Spezialisten die Sicherheitsmassnahmen unter die Lupe genommen hatten, hatte einen guten und aktuellen Schutz bescheinigt. Das war drei Wochen vor der Cyberattacke. Umso grösser der Schock, als Kelterborn eines Morgens ins Büro kam und nichts mehr ging. Aber der Angriff war auch raffiniert geplant. Das Phishing-Mail, das den Cyberkriminellen die Türe öffnete, kam als Antwort auf eine reale Anfrage daher. Ein Mitarbeitender öffnete deshalb ohne bösen Verdacht den Anhang, und das Unheil nahm seinen Lauf.
«Wir hatten den Faktor Mensch zu wenig beachtet», ist sich Kelterborn mittlerweile bewusst. Doch das ist nur eine der Erkenntnisse, die er aus der – erfolgreichen – Beseitigung der Folgen des Cyberangriffs gewonnen hatte. Das sind die drei wichtigsten Softfaktoren, die die technischen Massnahmen für einen effektiven Schutz sinnvoll ergänzen.
1. IT-Sicherheit ist Chefsache
«Man darf nie das Gefühl haben, genug gemacht zu haben», sagt Kelterborn. «IT-Security muss ein Dauerthema in der Geschäftsleitung sein.» Will heissen: Statt sich darauf zu verlassen, dass der IT-Verantwortliche seine Sache schon gut macht, muss die Geschäftsleitung die Sicherheitsstrategie zusammen mit der IT permanent hinterfragen und weiterentwickeln. Und vor allem als strategisches Thema begreifen statt als rein technische Angelegenheit.
Testen Sie Ihre IT-Sicherheit
Über 30 Prozent aller Schweizer KMU wurden bereits Opfer eines Cyberangriffs. Wie gut sind Sie geschützt? Mit unserem IT-Security-Check prüfen Sie das Sicherheitsniveau Ihres Unternehmens und erfahren, welche Massnahmen Sie ergreifen könnten.
2. Mitarbeitende für Cyberangriffe sensibilisieren
Der Fall von Offix zeigt, wie wichtig es ist, dass Mitarbeitende für IT-Sicherheitsthemen sensibilisiert sind. «Hier hat die Geschäftsleitung eindeutig eine Bringschuld», betont Kelterborn. Diese besteht darin, dafür zu sorgen, dass die Mitarbeitenden Phishing-Mails besser erkennen. Im Vordergrund steht dabei die Schulung, beispielsweise mittels E-Learning und einem Training zum Erkennen von Phishing-Mails.
Kelterborn hatte damals verschiedene Massnahmen eingeleitet:
- Wiederkehrende Security-Schulungen vom ersten Arbeitstag eines neuen Mitarbeitenden an.
- Ein Notfalltelefon für die rasche Hilfe und für die Beantwortung von Fragen.
- Ein Forum im Intranet, in dem Mitarbeitende Screenshots von besonders gelungenen, aber trotzdem erkannten Phishing-Angriffen posten können.
«Wichtig ist, dass das Thema bei den Mitarbeitenden im Gespräch bleibt», sagt dazu Kelterborn.
3. Schutz der IT-Infrastruktur laufend prüfen
Vertrauen ist gut, Kontrolle ist besser: Das ist ein passender Ansatz für IT-Sicherheit. Im konkreten Fall setzte Kelterborn nach dem Angriff nicht einfach darauf, dass die zusätzlichen Schutzmechanismen schon greifen würden. Sondern er liess die Sicherheit von einer externen Firma mittels simulierter Angriffe laufend testen.
«Das Thema Security muss bei den Mitarbeitenden im Gespräch bleiben.»
Martin Kelterborn
Und Kelterborn rät, die IT-Infrastruktur und die Sicherheitsmassnahmen sauber zu dokumentieren. Nicht nur, um zu wissen, welche Produkte überhaupt im Einsatz sind und die Sicherheitsvorkehrungen entsprechend auszurichten zu können: «Sondern auch, um dem Verwaltungsrat zu belegen, welche Massnahmen ergriffen wurden.»
Zum Schluss: Lösegeld bezahlen?
Fachleute und Fachstellen raten davon ab, bei Ransomware-Angriffen die geforderte Summe zu bezahlen. Denn die Erfolgsaussichten sind unsicher, und ein Unternehmen riskiert, als «guter Kunde» der Cyberkriminellen erneut angegriffen zu werden.
Von Kelterborns Unternehmen hatten die Erpresser rund eine halbe Million Franken in Bitcoin gefordert. Eine Zahlung wäre der letzte Ausweg gewesen. Doch die Firma hatte Glück im Unglück: Fachleute einer IT-Security-Firma konnten die Spuren des Angriffs beseitigen und über das Backup die Infrastruktur wiederherzustellen. Die Datensicherung hatten die Cyberkriminellen glücklicherweise verschont.
Im Nachhinein hat sich dieser Weg ohnehin als der bessere herausgestellt, denn: «Die Angreifer hatten so viel zerstört, dass wir nur einen kleinen Teil der Daten überhaupt hätten wiederherstellen können», erinnert sich Kelterborn zurück, mittlerweile längst wieder entspannt.
Security-Beratung anfordern
Wie akut ist die Bedrohungslage für Ihr Unternehmen? Unsere Fachleute unterstützen Sie bei Fragen zur IT-Sicherheit. Lassen Sie sich beraten und besprechen Sie Ihre konkrete Situation.