Präventionsmassnahmen

Die Sensibilisierung der Mitarbeitenden ist wichtig, denn der hektische Alltag kann schnell dazu führen, dass in der Hitze des Gefechts unvorsichtig gehandelt wird und Passwörter/Benutzernamen verraten oder entwendet werden können. Deshalb lohnt es sich, die Mitarbeitenden zu diesem Thema zu schulen und zu sensibilisieren. Dies kann über folgende Massnahmen gemacht werden: 

Schulung 
Folgende Themen können geschult werden:

• Was sind starke Passwörter? Das Passwort «123456» gehört zu den am häufigsten genutzten Passwörtern. Klar ist, dass dieses Passwort nur wenig Schutz bietet. Passwortmanager bieten sich an, denn jedes Konto soll ein unterschiedliches Passwort haben. Das Passwort zum Geschäftskonto darf nur für diesen Zweck benutzt werden.
• Erkennen von verdächtigen E-Mails (Phishing) und wie man darauf angemessen reagiert.
• Gefahr des Social Engineerings: Wer sollte welche persönlichen Informationen sehen dürfen und wer nicht?
• Sensibilisierung der Buchhaltung, damit keine falschen Zahlungen vorgenommen werden (Zahlungsprozess definieren)

Neben den Schulungen bietet z.B. auch ein Phishing-Test eine gute Möglichkeit, um die Mitarbeitenden zu sensibilisieren. Es werden in verschiedenen Abständen fingierte Phishing-Mails verschickt und dann geschaut, wie viele Mitarbeitende darauf hereingefallen sind. Diese Mitarbeitenden können persönlich informiert und dann geschult werden oder es findet eine Kommunikation an alle Mitarbeitenden statt.

Falls Sie eine Cyber-Versicherung abgeschlossen haben, dann beinhaltet diese Versicherung oft auch Schulungen für die Mitarbeitenden und/oder die angesprochenen Sensibilisierungstests. Damit der Versicherungsschutz greift, ist es wichtig, die von der Versicherung geforderten Massnahen umzusetzen. Es kann unter Umständen ausserdem sinnvoll sein, sich bei den Massnahmen an Zertifizierungen wie ISO 27001 oder der NIS2-Richtlinie für Cyber-Sicherheit der Europäischen Union zu orientieren, auch wenn Sie für Ihre Firma keine Zertifizierung anstreben.

Zu den technischen Schutzmassnahmen zählen der Daten- und Zugriffsschutz. Es geht darum, dass die Daten gut gesichert werden, damit sie im Fall z.B. eines Verschlüsselungstrojaners schnell wiederhergestellt werden können. Folgende Fragen sind dabei zentral: 

• Wie werden die Backups gemacht?
• Funktionieren die Backups?
• Wird überprüft, ob die Backups funktionieren?
• Sind die Backups getrennt vom System (d. h., bei einem Verschlüsselungstrojaner werden sie nicht verbunden und somit infiziert)?
• Sind die Backups an einem sicheren Ort (brandsicher, sicher vor Diebstahl)?
• Gibt es einen Notfallzugang («Break-Glass-Account») für Cloud-Dienste? Dieses Nutzerkonto hat hohe Rechte und somit einen privilegierten Zugriff, um im Notfall weiterhin Zugriff auf Cloud-Dienste zu haben.

Beim Zugriffsschutz stellt sich die Frage, wer auf welche Daten Zugriff haben sollte und wer nicht. Je weniger Personen Zugriff auf die wichtigsten Systeme haben, desto geringer ist das Risiko, dass Cyber-Kriminelle zu Passwörtern kommen. Die Zugriffsrechte können unterschiedlich vergeben werden, um so das Risiko zu reduzieren.

Aus einer technischen Sicht stellt sich die Frage nach den Schwachstellen. Dazu wird empfohlen, etwa die Multi-Faktor-Authentifizierung (MFA) einzuführen. Dabei wird neben dem Login mit dem Passwort ein weiterer Faktor miteinbezogen. Das kann etwa der Authenticator von Microsoft oder anderen Anbietern sein oder ein SMS, das nach dem Login mit dem Passwort an das registrierte Smartphone geschickt wird. Viele Firmen nutzen die zweifaktorielle Authentifizierung, wobei auch viele weitere möglich sind. Gerade für den Fernzugriff z.B. im Homeoffice sind solche MFA prädestiniert, wobei wir sie für alle Firmen empfehlen.

Das System aktuell zu halten, ist ein weiterer wichtiger Hinweis, denn ältere Betriebssysteme und nicht aktualisierte Software können Schwachstellen beinhalten, die ausgenützt werden können. So stellt sich die Frage, wie alle mit dem Internet verbundenen Geräte (inkl. Maschinen) aktuell gehalten werden können. Wir kennen Beispiele von Metallbaufirmen, bei denen eine mit dem Internet verbundene Maschine das Eintrittstor für Hacker war.

Es gibt Anbieter, die sogenannte Penetrationstests anbieten. Dabei wird etwa das Netzwerk und einzelne Rechner von aussen nach Schwachstellen überprüft und diese dann mitgeteilt, damit sie geschlossen werden können. 

Folgende Fragen sind dabei relevant: 

• Welche Maschinen sind mit dem Internet verbunden?
• Wie sind diese Maschinen geschützt?
• Welche PCs sind mit dem Internet verbunden?
• Wie wird gewährleistet, dass diese PCs aktualisiert werden (Updates von Betriebssystem und Software)?
• Nutzen Sie die Multi-Faktor-Authentifizierung (MFA)?
• Ist der Server-Raum verschlossen?

Zu den technischen Sicherheitsvorkehrungen zählen die Firewall und Anti-Virus-Software sowie viele weitere, wie etwa die Überwachung der Netzwerkaktivitäten, um ungewöhnliche Aktivitäten früh zu erkennen. Unsere Erfahrung zeigt, dass dies in den meisten Fällen durch einen spezialisierten IT-Dienstleister umgesetzt wird. Bei der Auswahl dieser IT-Dienstleister kann der Tipp gegeben werden, dass Referenzen von anderen Landtechnik- oder Metallbaufirmen eingeholt werden, um die Qualität zu prüfen. Auch lohnt es sich, mehrere Offerten einzuholen, um die Angebote vergleichen zu können.

Es gibt Anbieter, welche die Angebote/Software in der Cloud haben und somit für die Sicherheit zuständig sind. Sie haben Spezialisten, die sich damit auseinandersetzen. Auch die Updates werden durch diese Spezialisten durchgeführt. Das bedeutet, dass die Rechnerkapazitäten im Landtechnik- oder Metallbaubetrieb tiefere Anforderungen haben. Der Cloudanbieter verlangt im Gegenzug einen monatlichen Betrag für diese Dienstleistung. Solche Angebote sind oft sicherer, da sich diese Spezialisten mit der Thematik besser auskennen.

Falls in Ihrem Betrieb die Regelung gilt, dass jede/r mit dem eigenen Gerät ins Netzwerk darf («Bring Your Own Device», kurz: BYOD), bringt dies gewisse Herausforderungen mit sich. Es kann nicht gewährleistet werden, welche Software auf diesen Geräten installiert ist, was die IT-Sicherheit bei sorglosem Umgang gefährden kann. Auch sollte eine Trennung von geschäftlich und privat genutzten Geräten vorgenommen werden.

Es lohnt sich, die Sicherheitsrichtlinien festzuhalten und die Mitarbeitenden in gewissen Abständen zu schulen oder zu informieren. Dies kann in Form eines Vertrags umgesetzt werden oder in Form von Online-Schulungen oder Gesprächen. Folgende Fragen können helfen und/oder im Dokument zur Cybersicherheitsrichtlinie aufgeführt werden: 

• Wie ist die Richtlinie in Bezug auf die Passwörter (z.B. Änderung in gewissen zeitlichen Abständen; ein Passwort darf nicht für mehrere Dienste genutzt werden)
• Vorgehen, wenn neue Software installiert wird. Unter welchen Umständen darf neue Software installiert werden (z.B. Antrag an die zuständige Person)?
• Wie wird mit eigenen Geräten umgegangen (BYOD), resp. wird dies überhaupt zugelassen?
• In welchen Abständen wird die Cybersicherheit geschult? Es lohnt sich, die Wirksamkeit der Massnahmen in bestimmten Zeiträumen zu testen.
• Dieses Dokument soll von den Mitarbeitenden unterschrieben werden.

Nachfolgend möchten wir einen Hinweis zum Social Engineering geben: Die Mitarbeitenden und Führungskräfte sollten sich bewusst sein, dass sie sparsam mit der Veröffentlichung von persönlichen Informationen im Internet sein sollten. Identitäten im Internet können heute einfach gefälscht werden. Wir kennen verschiedene Beispiele von Firmen, deren zuständige Person für die Buchhaltung Mails von ihren angeblichen Vorgesetzten erhalten haben mit der Bitte um Zahlung. Wenn Informationen über den Aufenthaltsort dieser Personen im Internet vorhanden sind (z.B. Bilder aus den Ferien) nehmen die Cyberkriminellen Bezug darauf. Es kann helfen, dass externe Mails als solche gekennzeichnet sind (z.B. «Vorsicht, es handelt sich um eine externe Mail»).

Weitere Informationen können unter dem folgenden Link eingesehen werden:
https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-private/aktuelle-themen/social-engineering.html