Digitalisierung und Cyber Attacken

Der Experte Philippe Leo erläutert, wie Unternehmen Cyber Angriffe am besten überstehen.

Ein Mitarbeitender einer Unternehmung bekam ein Mail vom Geschäftsführer seines Arbeitgebers. Ob er schnell diese und diese Zahlung ausführen könne? Während der Mitarbeitende sich noch wunderte, weil es sich um einen hohen Betrag handelte, hatte er seinen Chef bereits in der Telefonleitung. Die Überweisung müsse sofort ausgeführt werden, hörte er, ansonsten drohe dem Unternehmen eine hohe Konventionalstrafe. Weil er die Stimme erkannte, tat der Mitarbeitende, was ihm aufgetragen worden war. Allerdings hatte er gar nicht mit seinem Chef telefoniert. «Die Stimme am Telefon war elektronisch bearbeitet worden, dass sie sich so anhörte, wie der Vorgesetzte», berichtet Philipp Leo, Spezialist für Cyber Resilience, «die angezeigte Rufnummer war ebenfalls manipuliert. Der Mitarbeitende war auf Cyber Kriminelle reingefallen.»

Alle mit einbeziehen

Schweizer KMUs werden immer wieder Opfer von Cyber Angriffen. Bekannt würde nur eine Spitze des Eisberges, sagt Leo, etwa der Fall von Swiss Windows. Den Ostschweizer Fensterhersteller trieb ein Cyber Angriff in den Konkurs. Vielfach sei der Faktor Mensch eine Schwachstelle, weiss Leo. «Deswegen muss das Thema Cyber Security in den Betrieben immer wieder thematisiert werden. Alle müssen wissen, dass Gefahr drohen kann, sogar die Putzfrau, denn alle können, ohne es zu wollen, mithelfen, dass Cyber Kriminelle einen Angriff starten können.» Dabei könnten die Angreifer nett sein, sehr nett sogar. Auf der Baustelle fragt der – vermeintliche – Mitarbeiter eines anderen Unternehmens, das dort ebenfalls mit Arbeiten beschäftigt ist, ob er schnell etwas im Computer nachschauen könne. Seine Kleidung ist mit dem Firmenlogo gekennzeichnet, aber das ist alles eine Finte. Wenige Minuten genügen ihm, um eine Software zu installieren, die entweder Daten entwendet oder aber das Unternehmen ausspioniert.

VR und GL müssen Bescheid wissen

Auch wenn die digitale Sicherheit alle im Unternehmen etwas angeht, macht Leo klar, ist sie ein Thema, mit dem sich der Verwaltungsrat und die Geschäftsleitung auseinandersetzen müssen und in dem sie sich auch auskennen müssen. «Das lässt sich nicht an einen Chef IT delegieren», verdeutlicht Leo. Denn man müsse zuerst festhalten, was das «Tafelsilber» des Unternehmens ist, was also unbedingt geschützt werden müsse und was die Sicherheit kosten solle. Erst wenn man diese Fragen geklärt habe, solle man sich an Spezialisten für Cyber Security wenden, betont Leo. «Es gibt viele Unternehmen, die mit der Cyber Security Geld verdienen. Sie möchten möglichst teure Technologien verkaufen und möglichst alles absichern. Daher ist es für die Verantwortlichen von KMUs besser, wenn sie bereits wissen, was sie wollen, bevor sie sich in Gespräche einlassen.» Für die Sicherheit sei es unerlässlich, dass sich die Verantwortlichen von Unternehmen selber gut in Fragen rund um Cyber Angriffen auskennen würden, erklärt Leo. Er findet es deshalb sehr gut, dass der SBV in seinen Erfa-Gruppen Digitalisierung die Verantwortlichen von Bau-KMUs genau in diesen Kompetenzen schult.

Was ist der Plan B?

Neben der Prävention, macht Leo klar, ist auch zentral, dass die Verantwortlichen von Bauunternehmen einen Plan B haben, also schon vor einem Angriff ungefähr wissen, was passieren soll, sollte der Fall eines Angriffs wirklich eintreten. Leo hatte schon Kunden, denen Cyber Kriminelle alle Kundendaten gestohlen hatten. Von spezialisierten IT-Experten wurde den Unternehmen vor jeglicher Leistung ein Rahmenvertrag mit einem fünf bis sechsstelligen Mindestbetrag vorgelegt. Es blieb ihnen nichts anderes übrig, als zu unterschreiben. «Wenn man nach einem Angriff erst einmal googeln muss, welche Unternehmen einem helfen könnten, ist das gelinde gesagt suboptimal», so Leo. «Besser ist es, wenn schon vorher Gespräche stattgefunden haben und wenn die Mitglieder eines Krisenstabes ebenfalls bereits feststehen.» Cyber Angriffe könnten nie ganz ausgeschlossen werden, deshalb sei Cyber Resilience, also der Umgang mit ihnen, umso zentraler. «Man muss dafür sorgen, dass die Firma das ohne grössere Schäden übersteht», erläutert Leo.

Allerdings, macht er gleichzeitig klar, sei das Thema digitale Sicherheit keines, das man irgendwann als erledigt abhacken könne. «GL und VR müssen immer wieder Risikoabschätzungen machen. Es kommt nie der Moment, an dem man sagen kann: Das Problem konnten wir lösen. Cyber Kriminelle sind sehr flexibel, sie ändern ihre Angriffe immer wieder. Daher müssen auch Unternehmen immer auf der Hut sein.»

 

Philipp Leo ist Berater zahlreicher Behörden und Organisationen im In- und Ausland und ausgewiesener Experte für Cyber-Risiken und Digitalisierung. Er verbindet technische Fachkompetenz mit jahrelanger Erfahrung in den Bereichen Wirtschaft, Verwaltung und Verteidigung. In seiner internationalen Referententätigkeit spricht Philipp Leo über die Digitalisierung von Staat und Gesellschaft. Zu seinen Themen gehören strategische Fragestellungen der Informationssicherheit und Transformationsprogramme zur Verbesserung der digitalen Resilienz. Zudem unterrichtet er am Cyber-Lehrgang der Schweizer Armee die angehenden Cyberspezialisten. Philipp Leo studierte Wirtschaftswissenschaften, Informatik und Kunstgeschichte an der Universität Zürich. Nachfolgend war er in verschiedenen Management Funktionen für Unternehmensberatungen, Banken und Medienunternehmen tätig. Zudem war er für die Vereinten Nationen zwei Jahre in Südkorea.