Hacker-Angriffe – Informatiker geben Fehler nicht zu und Chefs können sie nicht kontrollieren

Die Papierfabrik Perlen wurde am Freitag, 7. Januar, von Hackern angegriffen. Das Unternehmen konnte die IT-Systeme der CPH-Gruppe kontrolliert herunterfahren. Die Papierproduktion wurde zeitweise stillgelegt, inzwischen läuft sie wieder.

Dass Schweizer Unternehmen beliebte Ziele von Hackern sind, zeigt eine Studie des GFS-Instituts für Markt- und Sozialforschung in Zürich. Das GFS führte für die Studie 503 Interviews mit KMU-Verantwortlichen durch. So gab etwa jedes vierte Unternehmen an, schon einmal von einem Cyber-Angriff betroffen gewesen zu sein. Trotzdem glauben viele, das Risiko eines Angriffs sei klein. Nur elf Prozent halten das Risiko für eher oder sehr gross, dass ihr Unternehmen wegen eines Cyber-Angriffs kurzfristig lahmgelegt werden könnte. Einen existenzgefährdenden Angriff befürchten sogar nur zwei Prozent.

«Ich verstehe nicht, dass sich die Situation in der Schweiz nicht gebessert hat», sagt Gunnar Porada. Der 47-Jährige weiss, wovon er spricht: Bereits in seiner Jugend war er aktiver Hacker und gründete mit 19 Jahren seine erste IT-Sicherheitsfirma. Sein Leben lang ist er in der Branche aktiv und war auch als stellvertretender Direktor des Kompetenzzentrums Cybersecurity an der Uni Liechtentstein tätig. Seit Jahren referiert er an der HSG und hält weltweit viele Vorträge zu dem Thema. Ausserdem ist er Inhaber der Sicherheitsfirma Innosec in Weggis LU, welche Firmen nach Schwachstellen untersuchen: «Die Unternehmen sind nach wie vor ein leichtes Ziel für Hacker, weil viele das Risiko unterschätzen.» Als Laie kann man sich schlecht vorstellen, wie das von sich gehen soll. Porada vergleicht dies mit einem Haus: Wenn man die Wohnung verlässt, schliesst man die Türe zu. Lässt man diese offen, haben es Einbrecher leicht. Da nütze auch ein zusätzlicher Wachmann nichts, der die Liegenschaft bewacht, wenn der Einbrecher einen günstigen Moment ausnutzen kann.

So geschehe es auch in der IT. Die offene Tür sei etwa in einem vergessenen Server zu finden, der seit Jahren in einem Keller steht, oder das Gast-WLAN-Netz für Kunden. «Die Technikabteilungen wissen zwar, wie man solche Lücken schliesst, vergessen werden sie aber trotzdem öfters. Darum ist eine Kontrolle der IT nötig», sagt Porada. Problematisch ist laut Porada, «dass die Chefs oft kein grosses IT-Wissen haben und darum ihren IT-Abteilungen nicht auf die Finger schauen können.» Auch würden IT-Angestellte gerne beschwichtigen, dass alles in Ordnung sei, weil gewisse Fehler gar unsichtbar bleiben.

«Die Theorie und Praxis klaffen vielerorts auseinander, weil Sicherheitslücken viel zu spät geschlossen werden. Über 50 Prozent der Firmen haben ihre Sicherheitslücken selbst nach 90 Tagen noch nicht geschlossen und dies sind tickende Zeitbomben», so Porada. Das Ergebnis: Die Hacker können in aller Ruhe alles ausspionieren und gezielte Attacken lancieren. «Plötzlich sehen sich Firmen Erpressungen gegenüber, die Firmenchefs sogar zu Stillschweigen verdonnern, weil die Hacker sonst mit der Veröffentlichung von allen möglichen Daten drohen.» Laut Porada kennen Hacker auch die Gewohnheiten in der Schweiz. Hier sei nicht nur viel zu holen, sondern besonders einfach sind Angriffe wegen Abwesenheiten des Personals auch an Wochenenden oder über die Mittagszeiten. Auch für das neue laufende Jahr kann Porada keine Entwarnung geben: «Ich glaube, die Angriffe nehmen zu und die Dunkelziffer ist hoch.» Besonders gefährdet sieht er die kritische Infrastruktur, zu der unter anderem auch Firmen des täglichen Bedarfs zählen.

Er empfiehlt den Firmen, ihre Systeme täglich von externen Profis auf Schwachstellen zu scannen: «Sonst fliegt einem die IT plötzlich um die Ohren und es wird teuer.» Ein Schutz zu 100 Prozent sei zwar nicht möglich. Aber für 60 Prozent aller erfolgreichen Angriffe gab es zum Zeitpunkt des Angriffs Lösungen, welche dies verhindert hätten. Porada bietet einen entsprechenden Scan-Service an, der bereits ab 44 Rappen pro Tag erhältlich ist und erlaubt Firmenchefs ohne IT-Kenntnisse sofort Schwachstellen zu erkennen.