Wie sich COVID-19 auf die Cybersicherheit auswirkt

Wie sich COVID-19 auf die digitale Arbeitswelt und die Cybersicherheit auswirkt

Staatliche Einschränkungen, um die Ausbreitung des Virus weiter zu schwächen, beschränken die Arbeitsweise der Mitarbeitenden oder zwingen sie, ganz von zuhause aus zu arbeiten. Dadurch haben die digitale Kommunikation und die damit verbundenen Technologien einen noch höheren Stellenwert in unserem Arbeits- und Privatleben erhalten.

Besprechungen, die bisher in Person stattfanden, wurden auf Online-Plattformen verlegt. Trotz des erhöhten technologischen Bedarfs ist es auffällig, dass viele Unternehmen immer noch nicht über sichere Onlinesysteme verfügen, um ein sicheres Remote Working zu ermöglichen.

Im Juni 2020 berichtete Swissinfo.ch auf Basis einer veröffentlichten Statistik des Schweizerischen Nationalen Zentrums für Cybersicherheit (NCSC – National Cyber Security Centre), dass für letzten April 350 Fälle von Cyberangriffen (Phishing, betrügerische Websites, direkte Angriffe auf Unternehmen usw.) in der Schweiz gemeldet wurden. Vergleichsweise werden unter normalen Umständen zwischen 100 und 150 Fälle im gleichen Zeitraum verzeichnet. Die Coronavirus-Pandemie und das vermehrte Remote Working werden als Hauptursache für diesen Anstieg genannt. Denn Personen, welche von zuhause aus arbeiten, verfügen nicht über die gleichen Schutz- und Abwehrmassnahmen wie an einem Arbeitsplatz, so zum Beispiel im Bereich der Internetsicherheit.

Das Argument für eine erweiterte Cybersicherheit

Remote Working erfordert eine stärkere Fokussierung auf die Informationssicherheit, da Mitarbeitende einem erhöhten Cyberrisiko ausgesetzt sind. Deutlich wird dies etwa durch Studien, in welchen 47% der Teilnehmer angaben, im Home Office einem Phishing-Betrug reingefallen zu sein.

Cyber-Angreifer sehen in der Pandemie die Gelegenheit, ihre kriminellen Aktivitäten auszuweiten. Sie nutzen insbesondere die Schwachstellen jener Mitarbeiter, welche von zu Hause arbeiten und sich sehr für Nachrichten im Zusammenhang mit dem Coronavirus interessieren, z. B. durch Websites zum Thema Coronavirus mit Sicherheits-Exploits. Ebenfalls beachtlich sind die durchschnittlichen Kosten von $ 137'000 pro Datenpanne im Home Office, welche die Studie des IBM Cost of a Data Breach Report 2020 darlegte.

Anfangs Juli berichtete die Londoner Polizei, dass seit Januar 2020 durch Betrugsfälle, welche auf COVID-19 Bezug nahmen, Verluste in Höhe von mehr als 11 Mio. GBP entstanden sind. In einer Schweizer Studie gab jede siebte Person an, während der Pandemie einer Cyberattacke zum Opfer gefallen zu sein.

Eine Serie an Cyberangriffen auf diverse Videokonferenzanbieter zeigt, wie Kriminelle die Schwachstellen des Remote Working im Bereich Cybersicherheit ausnutzen. Zwischen Februar 2020 und Mai 2020 waren mehr als eine halbe Million Menschen von solchen Attacken betroffen. Dabei wurden die persönlichen Daten der Benutzer, wie Name, Passwörter und E-Mail-Adressen, gestohlen und im Dark Web verkauft. Für diese Angriffe nutzten Hacker Tools wie «OpenBullet».

Auch die Technik des «credential stuffing» werden von Hackern gerne genutzt, um Zugangsdaten von Mitarbeitern zu sammeln und diese dann an Kriminelle weiterzuverkaufen. Dies hat grosse Auswirkungen auf Firmen, deren operationale Tätigkeit derzeit stark von Videokonferenzen abhängig ist. «Credential stuffing» ist eine Form des Cyberangriffs, bei dem Hacker zuvor gestohlene Zugangsdaten verwenden, um Zugriff auf andere Konten zu erhalten. Dies ist möglich, weil Personen sehr oft für unterschiedliche Konten die gleiche Kombination aus Benutzername und Passwort verwenden.

In einigen Fällen erhielten unerwünschte Personen Zugang zu virtuellen Besprechungen und dadurch zu vertraulichen Informationen. Diese wurden dann an Kriminelle verkauft oder öffentlich zugänglich gemacht, um den Ruf des Unternehmens zu schädigen.

Einen Überblick der Cybergefahren aufbauen

Es bestehen nun vielfältige und erhöhte Risiken in der digitalen Umgebung eines Unternehmens:

• Mitarbeitende im Home Office werden weniger beaufsichtigt und unterliegen einer geringeren technischen Kontrolle. Diese können die Situation ausnutzen und in böser Absicht betrügerischen oder kriminellen Aktivitäten nachgehen.
• Kriminelle Cyberangreifer haben erkannt, dass die derzeitigen Sicherheitsmassnahmen oftmals nicht geeignet beziehungsweise nicht robust genug sind, um Cyberattacken erfolgreich abzuwehren.
• Auch Hacktivisten – Hacker, die sich für soziale und politische Belange einsetzen – gefährden mit ihren Aktionen die Cybersicherheit verschiedenster Organisationen.
• Unerfahrene Hacker mit geringen technischen Fertigkeiten, sogenannte Scriptkiddies, testen Cyberattacken bei verschiedenen Organisationen zum Spass und um ihre Fähigkeiten zu verbessern.

Die meisten dieser Bedrohungen haben sich aufgrund der entstanden Chancen während des COVID-19-Ausbruchs verstärkt.

Einer der Gründe für den Anstieg der Cyberattacken könnte darauf zurückzuführen sein, dass viele kleine und mittlere Unternehmen den Ansatz des «Bring Your Own Device» (BYOD) verfolgen, im Gegensatz zur Strategie von «Corporate Owned Personally Enabled» (COPE). Dies erlaubt Mitarbeitenden über ihre persönlichen Geräte (Telefone, Tablets oder Laptops) auf Unternehmensinformationen zuzugreifen. Bezüglich der Informationssicherheit, ist es keineswegs das gleichen, von zuhause aus oder im Büro zu arbeiten. Wenn Nutzer mit ihrem eigenen Computer oder Laptop auf Dateien und Information des Unternehmens zugreifen, besteht (selbst bei sicherem Stammdatenmanagement) eine höhere Gefährdung durch Cyberattacken. Es könnte beispielsweise sein, dass Mitarbeiter keinen aktuellen Virenscanner verwenden. Man arbeitet zuhause auch in einer Umgebung ohne ausgeklügelte Massnahmen zur Erkennung und Abwehr von Cyberangriffen. Letztlich ist das heimische WiFi auch oftmals sehr viel leichter angreifbar als die professionellen Netzwerkinstallationen im Büro.

Ein weiterer Grund zur Besorgnis ist menschliches Fehlverhalten. Schon vor der Pandemie waren Fehler der Nutzer eine wesentliche Ursache für Datenpannen. Unvorsichtige oder schlecht informierte Mitarbeitende erteilen oftmals den falschen Personen Zugriffsberechtigungen. Wenn man zuhause arbeitet, verstärkt sich dieses Problem. Familienangehörige oder Besucher können unsere Kolleginnen und Kollegen zuhause bei der Arbeit unterbrechen. Man wird durch solche Ablenkungen nachlässiger und IT-Systeme müssen an diese Änderungen der Arbeitspraktiken und die Zunahme menschlichen Fehlverhaltens angepasst werden. Dies kann auf viele Arten erreicht werden. Man kann etwa wichtige Informationssysteme mit Unterbrechungsmechanismen ausstatten, Kontrollen durch das Vier-Augen-Prinzip verbessern, Aufgabentrennungen durchsetzen oder automatische Kontrollen einführen. Dies sind alles grundlegende Beispiel der ‹digitalen Empathie›.

Viele Hacker wollen aus dem rasanten Wechsel zu Home Office Kapital schlagen und erhöhen erkennbar ihren Einsatz. Neue angepasst Schadsoftware wird entwickelt, um Systeme anzugreifen und zu infiltrieren.

Vor der Pandemie kamen bei etwa 20% der Cyberattacken jeweils Schadsoftware oder Methoden zur Anwendung, die bis dahin unbekannt waren. Während der Pandemie ist dieser Anteil auf 35% angestiegen. Mitunter wird bei den neuen Attacken eine Form des Machine Learning verwendet, die sich an ihre Umgebung anpasst und unentdeckt bleibt. Auch Phishing-Attacken werden immer ausgefeilter und nutzen verschiedene Kanäle wie SMS und Anrufe, sogenanntes Vishing. Ebenso nutzen Angreifer Nachrichten zur Impfstoffentwicklung für ihre Phishing-Kampagnen. Erpresserische Attacken, Ransomware genannt, werden immer ausgefeilter und nutzen nun oft auch Datendiebstahl, um sicherzustellen, dass die Opfer das Lösegeld bezahlen.

Diese Zunahme ausgefeilter Cyberattacken verlangt nach innovativen Mechanismen, um sie zu erkennen und der Gefahr zu begegnen. Hierzu zählt etwa die Analyse des Nutzer- und Systemverhaltens (UEBA – user and entity behavior analysis), bei welcher das alltägliche Nutzerverhalten quantifiziert wird. Dieses Wissen ermöglicht es, ungewöhnliche Abweichungen von den bekannten Mustern zu erkennen und als Indikatoren von Angriffen zu nutzen.

Sind Unternehmen vorbereitet auf die neuen Cybersicherheitsrisiken?

Remote Working hat viele kleine und mittlere Unternehmen vor Herausforderungen gestellt: Sie sind nicht genügend vorbereitet auf die Zunahme ausgefeilter Cyberattacken und es muss noch viel getan werden, damit das Thema Cybersicherheit mehr Aufmerksamkeit erhält. Vor der Pandemie stellten sich einige Unternehmen gegen Optionen des Remote Working, insbesondere im Zusammenhang mit dem Zugriff auf vertrauliche Daten (z. B. personenbezogene Daten von Bankkunden). Doch in kürzester Zeit mussten Arbeitgeber ihre Kapazitäten und Möglichkeiten des Home Office ausweiten und schnell umsetzen. Cybersicherheit hatte dabei leider nicht immer oberste Priorität.

Einige Unternehmen prüfen beispielsweise nicht, ob persönliche Geräte einen standardmässigen Sicherheitsschutz haben, bevor ihre Mitarbeiter auf Unternehmensdaten zugreifen. Stattdessen setzen sie auf Virtual Privat Networks (VPNs), um Tätigkeiten auszuführen, für welche die Technologien eigentlich nicht vorgesehen sind. Es gibt Möglichkeiten, wie Unternehmen Sicherheitsmassnahmen umsetzen können, ohne aufdringlich zu sein, wie zum Beispiel durch Host Checking. Bei dieser Technologie werden einzelne Anforderungen für persönliche Geräte validiert. Erst danach wird der Zugang zu Unternehmensanwendungen gewährt. Wenn bei VPNs Schwachstellen auftauchen, müssen diese, möglichst frühzeitig durch Korrekturen behoben werden.

Beispiele wie Unternehmen und Mitarbeiter die Cybersicherheit verbessern können

Mitarbeiter, die von zuhause aus arbeiten und ihren eigenen oder einen vom Unternehmen zur Verfügung gestellten Computer nutzen, benötigen im Bereich Cybersicherheit einige essentielle Dinge:

• Antivirenschutz. Software gegen Viren und Malware sollte installiert sein oder Lizenzen akquiriert werden, welche Mitarbeitende auf ihren eigenen Computern nutzen können. Obwohl dies keinen absoluten Schutz bietet, können viele kleine Attacken so vermieden werden.
• Sensibilisierung für Cybersicherheit. Mitarbeiter müssen über die geschäftlichen Verhaltensregeln bezüglich der Nutzung von privaten E-Mail-Adressen und Cloud-basierten Speicher- und Kollaborationslösungen informiert werden
• Sensibilisierung für Phishing. Bei eingehenden E-Mails sollte genügend Vorsicht angewendet werden und die Authentizität des Senders überprüft werden.
• Sicherheit des Heimnetzwerks. Mitarbeiter müssen sicherstellen, dass ihr WLAN zuhause durch ein sicheres Passwort geschützt ist.
• Nutzung eines virtuellen privaten Netzwerks (VPN). VPNs bieten einen weiteren Schutz für die Internetnutzung von zuhause aus. Man kann sich nicht darauf verlassen, dass sie eine Cyberattacke alleine verhindern. Aber sie können hilfreich sein, da sie für Angreifer ein beachtliches Hindernis darstellen.

Im Bereich Cybersicherheit können Unternehmen verschiedene grundlegende Strategien verfolgen.

• Schwachstellen identifizieren. Alle IT-Systeme haben Schwachstellen. Unternehmen sollten diese anhand von Tests identifizieren und die kritischsten Schwachstellen so schnell wie möglich beseitigen. Dies kann durch sogenannte Vulnerability Scans oder verschiedene Penetrationstests bewerkstelligt werden. Zusätzlich sollten die Komponenten der technischen Infrastruktur widerstandsfähiger gemacht werden.
• Regelmässige Überprüfungen. Unternehmen müssen die Gefährdung durch Cybersicherheitsrisiken regelmässig evaluieren und entscheiden, ob die vorhandenen Kontrollen robust genug sind. Bei diesen Überprüfungen sollte auch neuartige Cyberattacken berücksichtigt werden.
• Erneuerung der Pläne zur Aufrechterhaltung des Geschäftsbetriebs und des Krisenplans. Geschäftsbereichsleiter müssen ihre Pläne zur Aufrechterhaltung des Geschäftsbetriebs, sogenanntes Business Continuity Planning, aktualisieren und Szenarien mit Cyberattacken berücksichtigen.

Folgende weiterführende Massnahmen können ebenfalls getroffen werden:

• Nutzung neuer Technologien und Instrumente. Durch moderne Instrumente wie «Host Checking» können Unternehmen remote Working sicherer gestalten. Dabei wird die Sicherheit eines Endpunkts kontrolliert, bevor Zugriff auf die Informationssysteme des Unternehmens gewährt wird.
• Cyber Threat Intelligence. Durch die Nutzung professioneller Aufklärungsergebnisse aus dem Cyberraum und die Anwendung der aktuellen Zeichen eines Angriffs, Indicators of Compromise (IOC), können Unternehmen sich proaktiv gegen Cyberkriminelle schützen.
• Risikomanagement. Lösungen im Bereich Governance, Risk and Compliance (GRC) können Unternehmen dazu dienen, ihr Risikomanagement zu optimieren. Diese Lösungen bieten einen detailierten Überblick über das Schadenspotential und tragen dazu bei, verschiedene Risikobereiche, wie Cybersicherheit, operatives Risiko und Geschäftskontinuität, zu verknüpfen.
• Vorbereitung auf Cyberangriffe. Um gegen die drohenden Angriffe gewappnet zu sein, empfiehlt es sich Simulationsübungen durchführen. Unternehmen und die Mitarbeitenden in Schlüsselpositionen lernen dadurch, wie sie im Eventualfall auf eine Cyberattacke reagieren müssen.
• Zero Trust. CISOs und CIOs sollten in Betracht ziehen, im Bereich Cybersicherheit die Strategie des Zero Trust umzusetzen. Bei diesem Sicherheitsmodell wird strikt nur stark authentifizierten und berechtigten Nutzern Zugriff auf Anwendungen und Daten gewährt. Dieses Prinzip löst also das Konzept eines vertrauten Geräts, Netzwerk oder Perimeter auf.

Fazit

Heutzutage steht wohl bei den meisten Geschäftsleitungssitzungen Informationssicherheit auf der Tagesordnung. Doch aufgrund zunehmenden Gefahren während der Pandemie ist höchste Aufmerksamkeit gefragt. Mitten in der zweiten Coronavirus-Welle und angesichts der Sorgen um eine mögliche dritte Welle müssen Unternehmen diesen Cyberrisiken proaktiv begegnen. Sie müssen planen, wie sie Cyberattacken erfolgreich vermeiden können, statt erst im Nachhinein darauf zu reagieren. Präventive Massnahmen sind zwar wichtig, aber sind nicht ausreichend. Ergänzend müssen Unternehmen Fähigkeiten aufbauen, um Cyberattacken zu erkennen, darauf zu reagieren und wiederum einen ungestörten Betrieb zu erlangen.

Aus der Pandemie haben wir gelernt, dass man vorbereitet sein muss, um die Risiken von Cyberattacken erfolgreich zu begrenzen. Die Fähigkeit, schnell auf unvorhergesehene Ereignisse zu reagieren, trägt dazu bei, die Auswirkungen eines Cyberangriffs zu verringern. Unternehmen, die bereits über sichere Möglichkeiten für Remote Working verfügen, sind besser darauf vorbereitet, der ständigen Bedrohung durch Cybergefahren zu begegnen. Wiederum andere Firmen, welche überrascht wurden, müssen schnell einschätzen, inwieweit sie durch Cybergefahren bedroht sind und sich vorrangig darum kümmern, ihre Lücken im Bereich Cybersicherheit zu schliessen und empfohlene Praktiken einzuführen. Darüber hinaus sollten Unternehmen standardmässig firmeneigene Geräte nutzen, die den Fernzugriff auf vertrauliche und sensible Daten ermöglichen. Wenn es möglich ist, mit einem persönlichen Gerät auf Unternehmensdaten zuzugreifen, müssen die entsprechenden Cyberrisiken eingeschätzt und Massnahmen ergriffen werden, um eine Bedrohung durch Datenpannen oder Angriffe zu begrenzen.

Viele Unternehmen müssen ihre Sichtweise ändern. Es geht nicht mehr darum «ob», sondern «wann» es zu einer Cyberattacke kommt. Sie müssen verstehen, dass Datenschutzverletzungen oder Erpressungssoftware verheerende finanzielle Folgen haben können.

Es sei auch daran erinnert, dass Cyberattacken nicht immer einen finanziellen Gewinn zum Ziel haben. Eine weitere Bedrohung geht von «Hacktivisten» aus, die das Ansehen von Unternehmen schädigen wollen.

Die Wahrscheinlichkeit und die Folgen von Cyberattacken können auf unterschiedliche Weise begrenzt werden. Hierfür muss allerdings gezielt geplant und gehandelt werden. Alle Unternehmen, deren Mitarbeitenden nun einem Grossteil ihrer Tätigkeiten aus dem Home Office nachgehen, müssen Cyberattacken standhalten können und bessere Sicherheitsmassnahmen entwickeln und anwenden.

Weitere Informationen zu Cybersicherheitsstrategien für Ihr Unternehmen, zur Bewertung von Cybersicherheitsrisiken, zur Verbesserung des Zugriffsmanagements und zur Verteidigung der IT-Infrastruktur finden Sie beim Team für Cybersicherheit von Deloitte.