Ein Mitarbeiter einer russischen Bank erhält eine Email von der Russischen Zentralbank. Er nimmt regelmässig an deren Tagungen teil. Im Email wird die nächste Tagung angekündigt mit einem Link zu mehr Informationen. Er klickt auf den Link, der vollkommen authentisch aussieht und ihn auf die richtige Webseite bringt – und plötzlich haben Hacker Zugang zu seinem Computer und bald zum ganzen Bankennetzwerk. So hat eine Hacker-Gruppe mit dem Schadprogramm Carbanak bis zu einer Milliarde US-Dollar von Banken in 30 Ländern erbeutet. Die Kriminellen haben sich Geld überwiesen und Bancomaten so manipuliert, dass sie zu einem bestimmten Zeitpunkt von selber Noten ausspuckten. Da Überwachungskameras diesen Vorgang filmten, flog der Cyberangriff 2014 auf.

Wie einfach und in weiten Teilen standardisiert der Angriff vonstatten ging, demonstrierte Sylvain Luiset von der Cybersecurity der Beratungsfirma KPMG Schweiz gestern vor den Medien. Es gehe durchschnittlich 200 Tage, bis eine Cyberattacke bemerkt werde, sagte Luiset, manchmal aber Jahre. Meist verschaffen sich die Kriminellen nicht Zugang über Sicherheitslücken, wie dies bei der Schadsoftware «Wanna Cry» der Fall war, sondern greifen das schwächste Glied der Kette an – den Faktor Mensch. Am häufigsten sind Phishing-Mails, aber auch infizierte USB-Sticks und PDF-Dokumente kommen vor.

Über 30 Prozent mehr Angriffe

Auch Schweizer Unternehmen werden regelmässig Opfer von Cyberangriffen, wie eine Studie der KPMG zeigt. Von 60 befragten Firmen gaben 88 Prozent an, im vergangenen Jahr Cyberattacken erlitten zu haben. In den Studien der beiden Vorjahre waren es 54, respektive 52 Prozent.

Er gehe aber nicht davon aus, dass die Attacken so stark zugenommen haben, sagte gestern Matthias Bossardt, Leiter der KPMG-Cybersecurity. Vielmehr habe das Bewusstsein und die Offenheit über die Attacken zu sprechen zugenommen.

Nicht benutzerfreundlich

81 Prozent der Befragten gaben auch an, dass sie mehr über Cyberrisiken gelernt hätten. «Das sagen sie aber jedes Jahr», sagte Bossardt. «Obwohl das Problembewusstsein gestiegen ist, verstehen nur wenige die Risiken und erkennen, wo die heiklen Themen wirklich sind.» Auch der Faktor Mensch werde kaum berücksichtigt.

Zwar werden oft technische Massnahmen zur Internetsicherheit getroffen, dabei spielt die Benutzerfreundlichkeit aber eine kleine Rolle: 65 Prozent der Befragten gaben an, dass nicht systematisch an benutzerfreundlichen Massnahmen zur Cybersicherheit gearbeitet werde. Nur 11 Prozent engagieren eine Spezialisten, der den Mitarbeitern etwa erklärt, wie der Passwortschutz angewendet wird und wie sie Phishing-Mails als solche erkennen. «Wenn das nicht getan wird – und das kennen wir alle – dann enden die Passwörter auf Post-it-Zetteln am Computer», sagte Bossardt.

Schlecht geschützte Webcams

Eine weitere Herausforderung sieht Bossardt beim Internet der Dinge. Die internetfähigen Haushaltsgeräte, medizinischen Apparate oder industrielle Produktionsanlagen sind nur bei 41 Prozent der Befragten Teil der Sicherheitsstrategie. «Webcams sind oft schlecht geschützt und auch medizinische Geräte können gehackt werden», sagte Bossardt. Während die Sicherheitsabteilung meist nur für die Bürotechnologie zuständig sei, steuern Ingenieure die Produktionsanlagen. Dort würden oft veraltete Systeme verwendet wie Windows XP, worüber «Wanna Cry» Firmen und Spitäler lahmlegte.

Effizienten Schutz bieten Strategien, die alle Ebenen eines Cyberangriffs angehen, sagte Bossardt. Das brauche grosse Investitionen. Um zu verstehen, wie Firmen angreifbar sind, nütze auch mehr Transparenz untereinander. (Zürcher Regionalzeitungen)