Kriminelle im Internet greifen immer häufiger Schweizer Unternehmen an. Inzwischen ist jede dritte Firma von solchen Angriffen betroffen, wie eine aktuelle Studie der Hochschule für Wirtschaft der Fachhochschule Nordwestschweiz FHNW zeigt. In Auftrag gegeben haben die Studie unter anderem die Vereinigung DigitalSwitzerland und die Mobiliar-Versicherung.
Dabei nutzen Kriminelle meist eine uralte Masche: Angestellte klicken eine scheinbar vertrauenswürdige E-Mail an und schon ist die Schadsoftware aktiviert. Die Folgen davon sind oft gravierend, wie Co-Studienleiter Marc K. Peter erklärt: «Das geht bis zu dem Punkt, dass ein Unternehmen nicht mehr arbeiten kann.» In den letzten Monaten seien mehrere Betriebe in der Schweiz so stillgelegt worden.
Viele Firmen bezahlen das Lösegeld
Weiterarbeiten kann die Firma erst dann, wenn sie ein Lösegeld zahlt. Die Unternehmen werden also faktisch erpresst. Und sie geben nur sehr ungern darüber Auskunft, wie sie mit dem Problem umgehen. «Wie oft bezahlt wird, ist unklar. Viele schweigen dazu», so Peter, der als Professor auch an der Fachhochschule Nordwestschweiz lehrt.
Wie oft bezahlt wird, ist unklar. Viele schweigen dazu.
Doch er geht davon aus, dass viele die 10'000, 20'000 oder 50'000 Franken an die Erpresser eben doch bezahlen, damit der Betrieb rasch wieder aufgenommen werden kann. Allerdings ist es eine heikle Sache, ein solches Lösegeld zu zahlen, denn längst nicht immer werden die Computer nach einer Geldüberweisung von den Erpressern tatsächlich wieder freigegeben.
Damit es gar nicht erst so weit kommt, versuchen Firmen solche Angriffe mit technischen Massnahmen abzuwehren. Etwa, indem sie die Software auf aktuellem Stand halten oder zusätzliche Anti-Virus-Software installieren.
Sicherheit braucht einigen Aufwand
Doch damit ist es nicht getan. Studienleiter Peter ortet Nachholbedarf bei den organisatorischen Massnahmen. So würden vergleichsweise wenige Unternehmen ihre Systeme gezielt auf Schwachstellen testen lassen und auch nur wenige hätten ein Sicherheitskonzept.
So verfügten nur wenige Firmen über konkrete Pläne, wie im Fall der Fälle – etwa, wenn am Morgen bei Arbeitsbeginn wegen eines Cyberangriffs alle Computer stillstehen – trotzdem gearbeitet werden kann. «Da sind wir schwach», stellt Peter fest.
Die IT-Sicherheit gehört ins Budget wie das Marketing oder das Weihnachtsfest mit den Mitarbeitern.
Die technischen und organisatorischen Massnahmen, um mögliche Angriffe abzuwehren, sind nicht gratis. Trotzdem seien das heutzutage Ausgaben, welche ein Unternehmen mit einberechnen müsse, so Peter: «Die IT-Sicherheit gehört ins Budget wie das Marketing oder das Weihnachtsfest mit den Mitarbeitern.»
Sicherheits- und Hackerkosten abwägen
Bei einem grossen Unternehmen ist das eher eine Selbstverständlichkeit, doch für eine kleine oder mittelgrosse Firma werden solche Kosten rasch einmal zu einer grundsätzlichen Frage. Denn diese könnten sich rasch einmal auf 10'000 Franken oder mehr belaufen – nur für einen umfassenden Sicherheitstest. «Deshalb bewegt sich leider nicht so viel», sagt der IT-Professor.
Damit befinden sich solche Unternehmen in einer Zwickmühle: Sie müssen abwägen zwischen den Kosten für den Schutz vor solchen Angriffen und den Kosten, die bei einem allfälligen Angriff entstehen könnten.