Es ist der jüngste grössere Fall von Cybercrime: Ein Software-Unternehmen wurde Opfer eines Hackerangriffs. Gestohlen wurden mutmasslich auch Daten des Bundes, die extern bei Dienstleistern lagern.
Doch im Fokus der Angreifer sind längst nicht nur die grossen Fische. «Jede Unternehmung, die einen PC und Internet hat, ist potenziell gefährdet», sagt René Hüsler, Direktor der Hochschule Luzern – Informatik: «Jedes zehnte KMU wird von Cyberkriminellen angegriffen.» Und die Dunkelziffer sei hoch.
Ein neuer Verein macht es sich darum zur Aufgabe, hiesige KMU im Kampf gegen Cyberkriminalität zu unterstützen. ITSec4KMU nennt er sich – es ist die Abkürzung für «IT Security for KMU».
Oft ist Phishing aller Übel Anfang
René Hüsler ist Gründungsmitglied von ITSec4KMU. Er will die Firmen vor allem für ein Sicherheitsrisiko sensibilisieren: Phishing. Also den Versuch, über gefälschte E-Mails oder SMS an persönliche Daten zu gelangen. «Die Hauptangriffe erfolgen über Phishing», sagt Hüsler. «Sie werden individualisierter. Und sie werden besser.»
Klassisches Phishing erfolge häufig über einen Link. «Allenfalls reicht ein Klick und schon wird ein kleines Programm installiert, das im Hintergrund Informationen sammelt und sich Rechte erschleicht.»
Daten werden verschlüsselt und der Zugriff darauf ist nicht mehr möglich. Vom Kundenkontakt bis zum Kundentermin. Alles weg. Es lassen sich keine Rechnungen mehr schreiben. Möglicherweise ist gar die sensorgesteuerte Türe blockiert. «So was kann den Bäcker gleichermassen treffen wie die Coiffeuse.»
Beispiele von aktuellen Cyberangriffen liefert auch die neue Plattform – wie auch eine Checkliste für mögliche Massnahmen. Man müsse sich bewusst sein, welche Risiken existieren. Und dann entscheiden, welche man eingehen will, sagt Hüsler: «Nicht in jedem Fall braucht es einen neuen IT-Security-Spezialisten.»
Holzbauer hat den Ernstfall durchgespielt
Eine Firma, welche die Folgen eines Cyberangriffs durchgespielt hat, ist die Baarer Abt Holzbau AG. In seiner Zimmerei arbeite zum Glück der Grossteil in der Produktion, sagt Geschäftsführer Daniel Abt. «Aber der ganze Büroapparat würde nicht mehr funktionieren.»
Also habe man die Angestellten geschult. Wie lassen sich Phishing-E-Mails erkennen? Und was macht man, falls man trotzdem in die Phishing-Falle tappt?
Viele Gewerbler sind sich nicht bewusst, welche Gefahren hier lauern.
Passwörter und Logins hat die Firma nun auch auf Papier. Weiter existiert jetzt ein Register mit Notfallkontakten, falls sowohl Computer als auch Telefonanlage streiken. Zudem hat die Firma eine Cyberrisk-Versicherung abgeschlossen.
Abt, der auch den Gewerbeverband des Kantons Zug präsidiert, begrüsst die neue Plattform gegen Cybercrime: «Viele Gewerbler sind sich nicht bewusst, welche Gefahren hier lauern. Sie vertrauen einfach darauf, dass ihre IT funktioniert.»
Gerade aufgrund dieses blinden Vertrauens brauche es den Verein und die Plattform, sagt René Hüsler. «Wir werden keine Schulungen anbieten. Sondern die KMU im Awareness-Bereich unterstützen.» Also ihr Bewusstsein für IT-Risiken stärken.
Und das in einer Sprache, die sich nicht an Spezialistinnen oder Spezialisten richtet, sondern eben auch für den Velomech oder die Verkäuferin verständlich ist. «Wenn sich ein Grossteil der Firmen nur schon mal Gedanken darüber macht, haben wir schon sehr viel erreicht.»
