Herr Hürlimann, gefühlt täglich ist in den Nachrichten zu lesen, dass ein Unternehmen gehackt worden ist. Kann man sich in einer Zeit, in der jeder und jede ein Angriffsziel für Hacker ist, überhaupt noch schützen?

Ja. Auch wenn durch die Automation der Angriffe jede und jeder als Angriffsziele in den Fokus der Hacker geraten ist, können sich Unternehmen durch eine adaptive Verteidigungsstrategie sehr gut schützen. Durch mehrere zusammenspielende Sicherheitsebenen, einer professionellen Hygiene und einer korrekten Konfiguration der eingesetzten IT Infrastrukturen, können die Risiken eines Angriffes stark minimiert werden. Und selbst wenn nicht alle Risiken eingedämmt werden können, so ist man sich deren bewusst und kann im Ernstfall schnell und professionell reagieren. Die dadurch gestärkte und maximal anzustrebende Widerstandsfähigkeit wird oft als «Cyber resilience» bezeichnet.

Worauf haben es denn die Hacker in erster Linie abgesehen?

Die Motivation für den Einsatz von krimineller Energie bei Hackern hat verschiedene Beweggründe. Wirtschaftliche Anreize sind vermehrt zu beobachten. Denn Datenklau und Erpressung durch Ransomware zum Beispiel sind Geschäftsmodelle, bei denen mit verhältnismässig wenig Aufwand und Kenntnissen viel Geld verdient werden kann. Es sind also schon lange nicht mehr nur Hacker mit Kapuzen unterwegs, sondern gut organisierte Leute in Anzügen.

Wenn der Schaden bemerkt wird: nützen ihnen die Daten überhaupt etwas?

Ja. Selbst wenn der Datenklau bemerkt wird, können die Daten für den Angreifer nützlich sein. Sei es, um diese Daten für gezieltere Angriffe zu nutzen, sie an interessierte Konkurrenten zu verkaufen oder um eine Lösegeldforderung zu erpressen. Sogenannte «Ransomware- Attacken sind die aktuell wohl am meisten vorkommende Art von Angriff.

Wo ist der Schaden jeweils besonders gross?

Das hängt vom betroffenen Business ab. Im Gesundheitswesen zum Beispiel ist der Reputations-Schaden, der ein Datenverlust von vertraulichen Patientendossiers verursacht, katastrophal. Im KMU-Umfeld kann der Ausfall oder gar Verlust einer IT-Umgebung durch einen Angriff zur Insolvenz führen. Das sind nur zwei Beispiele von Schäden, deren Risiko mit Cyber-Versicherungen nicht eingeschränkt werden können und das Management oder der Inhaber das Rest-Risiko verantworten muss. Die Erfahrung zeigt, dass Cyber Security auf der Geschäftsleitungs-Ebene ankommen muss, damit die Risiken richtig abgeschätzt und die korrekten Entscheide für den Aufbau einer effektiven «Cyber resilience» gegen Angriffe des Unternehmens gefällt werden können.

Wie kann ein Administrator überhaupt von einem echten Hacker unterschieden werden?

Ein wichtiger Bestandteil einer «Defense in Depth»-Strategie ist der Schutz der Identitäten, insbesondere auch der administrativen Zugriffe von Identitäten. Hier kommt das am CSDO erwähnte Control «Identity Security» zum Tragen, welches zum Ziel hat, dass ein Administrator integer bleibt, dessen Identität also nicht gestohlen oder kompromittiert werden kann. Passiert dies trotzdem, kann durch eine vorgängige Erfassung des Verhaltens ein «abnormaler» oder verdächtiger Zugriff unterbunden werden. Dies ist im Übrigen nicht nur auf uns Menschen anwendbar. Durch die Digitalisierung steigt die Anzahl der «non-Human»-Identities um ein Vielfaches schneller als die der menschlichen Identitäten. Auch hier stellt «Identity Security» entsprechende Schutzmechanismen zur Verfügung. Auch wegen der rasant und immerwährend steigenden Anzahl von neuen Identitäten werden «Identity Security»-Vorhaben als laufendes Programm implementiert und in einen Hygiene-Zyklus überführt, der sicherstellt, dass über die Zeit alle Identitäten geschützt sind.

Sie sagen, dass herkömmliche Netzwerkbarrieren kaum ausreichen. Worauf müssen die Unternehmen also Wert legen und ansetzen?

Ein wichtiger Ansatzpunkt für jedes Unternehmen ist es, sich aus einer Sicherheitsperspektive heraus Visibilität ihrer IT-Infrastruktur zu verschaffen. Denn dort, wo es wichtige und/oder kritische Systeme zu schützen gilt, zuerst ansetzen und das bestehende Sicherheitskonzept durch weitere Ebenen ausbauen. Diese Ebenen werden in einem Programm weiterentwickelt und einer stetigen Überprüfung unterzogen. Der unbedingt nötige Support vom Management ist unabdingbar.

Zum ersten Mal wurde in der Ostschweiz der Cyber Security Day abgehalten. Wie zufrieden waren Sie mit der Resonanz?

Wir sind sehr zufrieden. Wir hatten knapp über 100 Anmeldungen und sehr viel positiven Zuspruch und Feedback von den Teilnehmern erhalten. Unser Startschuss zur Bildung einer Cyber Security Community in der Ostschweiz ist sehr gut angekommen. Nun gilt es, die Nachbearbeitung abzuschliessen und weitere Schritte in der Community zu planen. Den ersten Schritt haben wir schon für den 22. November 2023 geplant, ein Webinar als CSDO Follow-up für Technologie Interessierte.

Welche Tipps geben Sie den Unternehmen mit auf den Weg?

Sich mit anderen Unternehmen unterhalten, offen und ehrlich best-practises austauschen und voneinander lernen und profitieren. Denn Cyber Security ist ein Teamplay, das bezieht sich auf das Zusammenspiel der Komponenten einer «Defense in Depth»-Strategie, genauso wie im Coaching und Austausch zwischen den Unternehmen. Gerne bringen wir auch unsere fundierte Expertise als renommierter Cyber Security Dienstleister ein.

Der Cyber Security Day in St.Gallen war gut besucht. Bilder: pd