Die Coronavirus-Pandemie stellt Unternehmen vor neue Herausforderungen. Sie müssen sich an Betriebsmodelle anpassen, bei welchen Home-Office zur «neuen Normalität» geworden ist. Konsequenterweise beschleunigen Unternehmen ihren digitalen Wandel, wodurch Cybersicherheit zu einem entscheidenden Thema geworden ist. Die Auswirkungen auf Markenwert, operationale Tätigkeiten, sowie die rechtliche und regulatorische Lage können beträchtlich sein, wenn Cyberrisiken vernachlässigt werden. In diesem Artikel wird aufgezeigt, wie sich COVID-19 auf das Cyberrisiko auswirkt und mit welchen Massnahmen Unternehmen vorsorgen können.
Staatliche Einschränkungen, um die Ausbreitung des Virus weiter zu schwächen, beschränken die Arbeitsweise der Mitarbeitenden oder zwingen sie, ganz von zuhause aus zu arbeiten. Dadurch haben die digitale Kommunikation und die damit verbundenen Technologien einen noch höheren Stellenwert in unserem Arbeits- und Privatleben erhalten.
Besprechungen, die bisher in Person stattfanden, wurden auf Online-Plattformen verlegt. Trotz des erhöhten technologischen Bedarfs ist es auffällig, dass viele Unternehmen immer noch nicht über sichere Onlinesysteme verfügen, um ein sicheres Remote Working zu ermöglichen.
Im Juni 2020 berichtete Swissinfo.ch auf Basis einer veröffentlichten Statistik des Schweizerischen Nationalen Zentrums für Cybersicherheit (NCSC – National Cyber Security Centre), dass für letzten April 350 Fälle von Cyberangriffen (Phishing, betrügerische Websites, direkte Angriffe auf Unternehmen usw.) in der Schweiz gemeldet wurden. Vergleichsweise werden unter normalen Umständen zwischen 100 und 150 Fälle im gleichen Zeitraum verzeichnet. Die Coronavirus-Pandemie und das vermehrte Remote Working werden als Hauptursache für diesen Anstieg genannt. Denn Personen, welche von zuhause aus arbeiten, verfügen nicht über die gleichen Schutz- und Abwehrmassnahmen wie an einem Arbeitsplatz, so zum Beispiel im Bereich der Internetsicherheit.
Remote Working erfordert eine stärkere Fokussierung auf die Informationssicherheit, da Mitarbeitende einem erhöhten Cyberrisiko ausgesetzt sind. Deutlich wird dies etwa durch Studien, in welchen 47% der Teilnehmer angaben, im Home Office einem Phishing-Betrug reingefallen zu sein.
Cyber-Angreifer sehen in der Pandemie die Gelegenheit, ihre kriminellen Aktivitäten auszuweiten. Sie nutzen insbesondere die Schwachstellen jener Mitarbeiter, welche von zu Hause arbeiten und sich sehr für Nachrichten im Zusammenhang mit dem Coronavirus interessieren, z. B. durch Websites zum Thema Coronavirus mit Sicherheits-Exploits. Ebenfalls beachtlich sind die durchschnittlichen Kosten von $ 137'000 pro Datenpanne im Home Office, welche die Studie des IBM Cost of a Data Breach Report 2020 darlegte.
Anfangs Juli berichtete die Londoner Polizei, dass seit Januar 2020 durch Betrugsfälle, welche auf COVID-19 Bezug nahmen, Verluste in Höhe von mehr als 11 Mio. GBP entstanden sind. In einer Schweizer Studie gab jede siebte Person an, während der Pandemie einer Cyberattacke zum Opfer gefallen zu sein.
Eine Serie an Cyberangriffen auf diverse Videokonferenzanbieter zeigt, wie Kriminelle die Schwachstellen des Remote Working im Bereich Cybersicherheit ausnutzen. Zwischen Februar 2020 und Mai 2020 waren mehr als eine halbe Million Menschen von solchen Attacken betroffen. Dabei wurden die persönlichen Daten der Benutzer, wie Name, Passwörter und E-Mail-Adressen, gestohlen und im Dark Web verkauft. Für diese Angriffe nutzten Hacker Tools wie «OpenBullet».
Auch die Technik des «credential stuffing» werden von Hackern gerne genutzt, um Zugangsdaten von Mitarbeitern zu sammeln und diese dann an Kriminelle weiterzuverkaufen. Dies hat grosse Auswirkungen auf Firmen, deren operationale Tätigkeit derzeit stark von Videokonferenzen abhängig ist. «Credential stuffing» ist eine Form des Cyberangriffs, bei dem Hacker zuvor gestohlene Zugangsdaten verwenden, um Zugriff auf andere Konten zu erhalten. Dies ist möglich, weil Personen sehr oft für unterschiedliche Konten die gleiche Kombination aus Benutzername und Passwort verwenden.
In einigen Fällen erhielten unerwünschte Personen Zugang zu virtuellen Besprechungen und dadurch zu vertraulichen Informationen. Diese wurden dann an Kriminelle verkauft oder öffentlich zugänglich gemacht, um den Ruf des Unternehmens zu schädigen.
Es bestehen nun vielfältige und erhöhte Risiken in der digitalen Umgebung eines Unternehmens:
Die meisten dieser Bedrohungen haben sich aufgrund der entstanden Chancen während des COVID-19-Ausbruchs verstärkt.
Einer der Gründe für den Anstieg der Cyberattacken könnte darauf zurückzuführen sein, dass viele kleine und mittlere Unternehmen den Ansatz des «Bring Your Own Device» (BYOD) verfolgen, im Gegensatz zur Strategie von «Corporate Owned Personally Enabled» (COPE). Dies erlaubt Mitarbeitenden über ihre persönlichen Geräte (Telefone, Tablets oder Laptops) auf Unternehmensinformationen zuzugreifen. Bezüglich der Informationssicherheit, ist es keineswegs das gleichen, von zuhause aus oder im Büro zu arbeiten. Wenn Nutzer mit ihrem eigenen Computer oder Laptop auf Dateien und Information des Unternehmens zugreifen, besteht (selbst bei sicherem Stammdatenmanagement) eine höhere Gefährdung durch Cyberattacken. Es könnte beispielsweise sein, dass Mitarbeiter keinen aktuellen Virenscanner verwenden. Man arbeitet zuhause auch in einer Umgebung ohne ausgeklügelte Massnahmen zur Erkennung und Abwehr von Cyberangriffen. Letztlich ist das heimische WiFi auch oftmals sehr viel leichter angreifbar als die professionellen Netzwerkinstallationen im Büro.
Ein weiterer Grund zur Besorgnis ist menschliches Fehlverhalten. Schon vor der Pandemie waren Fehler der Nutzer eine wesentliche Ursache für Datenpannen. Unvorsichtige oder schlecht informierte Mitarbeitende erteilen oftmals den falschen Personen Zugriffsberechtigungen. Wenn man zuhause arbeitet, verstärkt sich dieses Problem. Familienangehörige oder Besucher können unsere Kolleginnen und Kollegen zuhause bei der Arbeit unterbrechen. Man wird durch solche Ablenkungen nachlässiger und IT-Systeme müssen an diese Änderungen der Arbeitspraktiken und die Zunahme menschlichen Fehlverhaltens angepasst werden. Dies kann auf viele Arten erreicht werden. Man kann etwa wichtige Informationssysteme mit Unterbrechungsmechanismen ausstatten, Kontrollen durch das Vier-Augen-Prinzip verbessern, Aufgabentrennungen durchsetzen oder automatische Kontrollen einführen. Dies sind alles grundlegende Beispiel der ‹digitalen Empathie›.
Viele Hacker wollen aus dem rasanten Wechsel zu Home Office Kapital schlagen und erhöhen erkennbar ihren Einsatz. Neue angepasst Schadsoftware wird entwickelt, um Systeme anzugreifen und zu infiltrieren.
Vor der Pandemie kamen bei etwa 20% der Cyberattacken jeweils Schadsoftware oder Methoden zur Anwendung, die bis dahin unbekannt waren. Während der Pandemie ist dieser Anteil auf 35% angestiegen. Mitunter wird bei den neuen Attacken eine Form des Machine Learning verwendet, die sich an ihre Umgebung anpasst und unentdeckt bleibt. Auch Phishing-Attacken werden immer ausgefeilter und nutzen verschiedene Kanäle wie SMS und Anrufe, sogenanntes Vishing. Ebenso nutzen Angreifer Nachrichten zur Impfstoffentwicklung für ihre Phishing-Kampagnen. Erpresserische Attacken, Ransomware genannt, werden immer ausgefeilter und nutzen nun oft auch Datendiebstahl, um sicherzustellen, dass die Opfer das Lösegeld bezahlen.
Diese Zunahme ausgefeilter Cyberattacken verlangt nach innovativen Mechanismen, um sie zu erkennen und der Gefahr zu begegnen. Hierzu zählt etwa die Analyse des Nutzer- und Systemverhaltens (UEBA – user and entity behavior analysis), bei welcher das alltägliche Nutzerverhalten quantifiziert wird. Dieses Wissen ermöglicht es, ungewöhnliche Abweichungen von den bekannten Mustern zu erkennen und als Indikatoren von Angriffen zu nutzen.
Remote Working hat viele kleine und mittlere Unternehmen vor Herausforderungen gestellt: Sie sind nicht genügend vorbereitet auf die Zunahme ausgefeilter Cyberattacken und es muss noch viel getan werden, damit das Thema Cybersicherheit mehr Aufmerksamkeit erhält. Vor der Pandemie stellten sich einige Unternehmen gegen Optionen des Remote Working, insbesondere im Zusammenhang mit dem Zugriff auf vertrauliche Daten (z. B. personenbezogene Daten von Bankkunden). Doch in kürzester Zeit mussten Arbeitgeber ihre Kapazitäten und Möglichkeiten des Home Office ausweiten und schnell umsetzen. Cybersicherheit hatte dabei leider nicht immer oberste Priorität.
Einige Unternehmen prüfen beispielsweise nicht, ob persönliche Geräte einen standardmässigen Sicherheitsschutz haben, bevor ihre Mitarbeiter auf Unternehmensdaten zugreifen. Stattdessen setzen sie auf Virtual Privat Networks (VPNs), um Tätigkeiten auszuführen, für welche die Technologien eigentlich nicht vorgesehen sind. Es gibt Möglichkeiten, wie Unternehmen Sicherheitsmassnahmen umsetzen können, ohne aufdringlich zu sein, wie zum Beispiel durch Host Checking. Bei dieser Technologie werden einzelne Anforderungen für persönliche Geräte validiert. Erst danach wird der Zugang zu Unternehmensanwendungen gewährt. Wenn bei VPNs Schwachstellen auftauchen, müssen diese, möglichst frühzeitig durch Korrekturen behoben werden.
Mitarbeiter, die von zuhause aus arbeiten und ihren eigenen oder einen vom Unternehmen zur Verfügung gestellten Computer nutzen, benötigen im Bereich Cybersicherheit einige essentielle Dinge:
Im Bereich Cybersicherheit können Unternehmen verschiedene grundlegende Strategien verfolgen.
Folgende weiterführende Massnahmen können ebenfalls getroffen werden:
Heutzutage steht wohl bei den meisten Geschäftsleitungssitzungen Informationssicherheit auf der Tagesordnung. Doch aufgrund zunehmenden Gefahren während der Pandemie ist höchste Aufmerksamkeit gefragt. Mitten in der zweiten Coronavirus-Welle und angesichts der Sorgen um eine mögliche dritte Welle müssen Unternehmen diesen Cyberrisiken proaktiv begegnen. Sie müssen planen, wie sie Cyberattacken erfolgreich vermeiden können, statt erst im Nachhinein darauf zu reagieren. Präventive Massnahmen sind zwar wichtig, aber sind nicht ausreichend. Ergänzend müssen Unternehmen Fähigkeiten aufbauen, um Cyberattacken zu erkennen, darauf zu reagieren und wiederum einen ungestörten Betrieb zu erlangen.
Aus der Pandemie haben wir gelernt, dass man vorbereitet sein muss, um die Risiken von Cyberattacken erfolgreich zu begrenzen. Die Fähigkeit, schnell auf unvorhergesehene Ereignisse zu reagieren, trägt dazu bei, die Auswirkungen eines Cyberangriffs zu verringern. Unternehmen, die bereits über sichere Möglichkeiten für Remote Working verfügen, sind besser darauf vorbereitet, der ständigen Bedrohung durch Cybergefahren zu begegnen. Wiederum andere Firmen, welche überrascht wurden, müssen schnell einschätzen, inwieweit sie durch Cybergefahren bedroht sind und sich vorrangig darum kümmern, ihre Lücken im Bereich Cybersicherheit zu schliessen und empfohlene Praktiken einzuführen. Darüber hinaus sollten Unternehmen standardmässig firmeneigene Geräte nutzen, die den Fernzugriff auf vertrauliche und sensible Daten ermöglichen. Wenn es möglich ist, mit einem persönlichen Gerät auf Unternehmensdaten zuzugreifen, müssen die entsprechenden Cyberrisiken eingeschätzt und Massnahmen ergriffen werden, um eine Bedrohung durch Datenpannen oder Angriffe zu begrenzen.
Viele Unternehmen müssen ihre Sichtweise ändern. Es geht nicht mehr darum «ob», sondern «wann» es zu einer Cyberattacke kommt. Sie müssen verstehen, dass Datenschutzverletzungen oder Erpressungssoftware verheerende finanzielle Folgen haben können.
Es sei auch daran erinnert, dass Cyberattacken nicht immer einen finanziellen Gewinn zum Ziel haben. Eine weitere Bedrohung geht von «Hacktivisten» aus, die das Ansehen von Unternehmen schädigen wollen.
Die Wahrscheinlichkeit und die Folgen von Cyberattacken können auf unterschiedliche Weise begrenzt werden. Hierfür muss allerdings gezielt geplant und gehandelt werden. Alle Unternehmen, deren Mitarbeitenden nun einem Grossteil ihrer Tätigkeiten aus dem Home Office nachgehen, müssen Cyberattacken standhalten können und bessere Sicherheitsmassnahmen entwickeln und anwenden.
Weitere Informationen zu Cybersicherheitsstrategien für Ihr Unternehmen, zur Bewertung von Cybersicherheitsrisiken, zur Verbesserung des Zugriffsmanagements und zur Verteidigung der IT-Infrastruktur finden Sie beim Team für Cybersicherheit von Deloitte.