«Cybersicherheit ist Chefsache»

Als Leiter Operative Cybersicherheit beim Nationalen Amt für Cybersicherheit (NCSC)kennt Pascal Lamia die Gefahren des Internets. Bild: NCSC

Interview.  Je digitaler die Arbeitswelt, desto grösser ist die Angriffsfläche für Cyberkriminelle. Um den Betrieb vor Hackerangriffen zu schützen, sollten die Verantwortlichen sich frühzeitig über mögliche Schutzmassnahmen informieren und diese auch konsequent umsetzen.

Unternehmer nehmen das Thema Cybersicherheit gerne auf die leichte Schulter. Cyberkriminelle freut das. Munter klauen diese Profis dann Daten, legen Betriebe lahm und vernichten Existenzen. Aber wie kann man sich schützen? Wo kann man sich informieren? Was muss man tun, wenn es einen erwischt hat? Wie ticken dann die Cyberkriminellen? Und schliesslich: Gibt es die absolute Sicherheit im Netz?
Die Schreinerzeitung hat bei Pascal Lamia, Leiter Operative Cybersicherheit beim Nationalen Amt für Cybersicherheit (NCSC), nachgefragt.
Schreinerzeitung: Kürzlich wurde die Schreinerei Bard, ein mittelgrosser Betrieb in Basel, gehackt. Nach welchem Prinzip gehen die Cyberkriminellen auf ihrer Opfersuche vor?
Pascal Lamia: Meistens nach dem Zufalls-prinzip. Sie probieren aus, klopfen an und öffnen dann die virtuellen Türen, die nicht abgeschlossen sind. Die Branche spielt dabei keine Rolle. Vielmehr wirken wenig geschützte Stellen im IT-System, sogenannte Schwachstellen, wie eine Einladung für Eindringlinge.
Was sind denn das für Stellen?
Ein grosses, schon lange bekanntes Ein-fallstor ist beispielsweise eine Sicherheits- lücke in den Microsoft-Exchange-Servern. Das NCSC macht immer wieder darauf auf-merksam. Das geschieht mittels E-Mails oder, falls darauf keine Reaktion erfolgt, so-gar mit eingeschriebenen Briefen an die Unternehmen. Auch auf der Website des NCSC kann man sich informieren. Leider ignorieren viele Unternehmer diese War-nungen. Dabei wäre es so einfach, diese Sicherheitslücke zu schliessen. Der Schreiner kennt sich aus mit Einbruchschutz. Er baut Verriegelungen und Türen, die jeden Ein-dringling aufhalten. Aber wenn es um die Cybersicherheit geht, handelt man häufig unvorsichtig. Man denkt, es werde einen schon nicht treffen. Man habe ja keine grossen Reichtümer und sei für Cyberkriminelle uninteressant. Aber das ist nicht so. Wenig Aufwand, grosser Ertrag – so lautet das Denkmuster eines Hackers. Viele An-griffe erfolgen im Giesskannenprinzip. Und da es noch immer zu viele schlecht ge-schützte IT-Systeme gibt, haben die Angrei- fer Erfolg.
Sie sprechen von Erfolg. Wie häufig gelingt es denn den Kriminellen, ins Netzwerk von Betrieben einzudringen? Gibt es da irgendwelche Zahlen?
Einen Cybervorfall kann man dem NCSC über ein elektronisches Formular auf der Website melden. Seit dem 1. Januar 2020 werden alle eingegangenen Meldungen zu statistischen Zwecken ausgewertet. 2020 gingen 10 833 Meldungen ein. 2022 waren es fast dreimal so viele. Die Zahlen beinhal-ten alle Formen von Cyberbedrohungen, wie zum Beispiel Betrug, Phishing oder Schadsoftware. Im geschilderten Fall der Schreinerei Bard AG handelt es sich um einen Ramsonware-Angriff. 2022 wurden 131 solche Fälle gemeldet. 84 davon von Firmen, Verwaltungen und Vereinen. Wie hoch die Quote bei Schreinern ist, katego-risiert das NCSC nicht.
Fast dreimal so viele Vorfälle wie vor zwei Jahren. Das lässt aufhorchen. Zeichnet sich ein bestimmter Trend ab?
Aktuell sind Vorfälle mit Cyberbetrug Spit-zenreiter. Aber Cyberkriminelle sind inno-vativ. Häufig verwenden sie aktuelle The-men, um ihre Angriffe zu tarnen, und agieren international. Auch gibt es im Darknet Portale, bei denen Angreifer mit Sicherheitslücken handeln, für die es noch keinen Sicherheits-Patch, keinen Flicken gibt, man nennt diese «Zero-Day-Lücken». Wie in einem Online-Shop. Interessierte können dort ebenfalls Werkzeuge kaufen, um Sicherheitslücken auszunutzen. Übri-gens: Aktuelle Angriffsmethoden publiziert das NCSC wöchentlich auf seiner Website. Informieren Sie sich, denn sich der Gefahr bewusst zu sein, ist ein erster wichtiger Schritt in Richtung Cybersicherheit. Seien Sie grundsätzlich vorsichtig.
Und was soll man denn machen, wenn es einen dann doch erwischt hat?
Bei einem Ramsomware-Angriff wie im Bei-spiel gilt: sofort alle Systeme vom Netz trennen und Anzeige bei der Polizei erstatten. Besonders dann, wenn Lösegeld gefordert wird. Die Ermittler helfen dem Unternehmen bei der Bewältigung des Vorfalls. Polizei und NCSC raten von der Zahlung eines Lösegelds ab. Es gibt keine Garantie, dass man seine Daten zurückbekommt. Zudem treibt jeder Erfolg die Angreifer zum Weitermachen. Wurden im Vorfeld zum Beispiel ein Business-Continuity-Manage-ment oder ein Daten-Back-up umgesetzt, wird der Schaden eher tiefer ausfallen.
Im Fall der Schreinerei Bard drohten die Cyberkriminellen indirekt damit, sich an Familienangehörigen zu vergreifen oder sich auf eine andere Art zu rächen. Wie ernst muss man so etwas nehmen?
In den meisten Fällen ist das eine leere Drohung. Wie gesagt, Cyberkriminelle sind Geschäftsleute. Sie leben von der Angst und nicht von einem Angriff auf Leib und Leben. Die Polizei hilft bei der Einschätzung und kann Tipps geben.
Und wenn man dann noch eine vernünftige Cyberriskversicherung hat, sind alle Probleme gelöst?
Der Abschluss einer Cyberversicherung ist ein unternehmerischer Entscheid, der von vielen Faktoren abhängt. Die Cybersicherheit steht in der Eigenverantwortung der Unternehmen. In erster Linie müssen diese somit sicherstellen, dass alle erforderlichen Schutzmassnahmen umgesetzt werden. Werden beispielsweise Daten gestoh-len und es besteht kein Back-up, kann auch eine Cyberriskversicherung nicht helfen. Lediglich eine Cyberriskversicherung ab-zuschliessen und sich dann in Sicherheit wähnen, ist sehr gefährlich.
Ist es eine gute Idee, alle sensiblen Daten und Programme für den Notfall auch in Papierform anzulegen?
Ein Daten-Back-up ist sicher ein wichtiger Schritt. Dieses sollte nicht auf Papier, sondern digital auf einem externen, gesicherten Speichermedium sein. Das komplexe Thema Cybersicherheit ist eindeutig Chefsache! Die Geschäftsleitung muss die Massnahmen dafür ergreifen und die Mittel sprechen. Für die Technik bedeutet das Datensicherung auf externen Medien, Updates, Firewalls, Virenschutz. Organisato-risch muss ein Business-Continuitiy- und Krisenmanagegment bestehen. Ebenfalls wichtig ist ein Krisenkommunikationskon-zept. Wichtig ist auch die Sensibilisierung und Schulung aller Mitarbeitenden.
Das heisst, die Geschäftsleitung muss für den schlimmsten Fall vorsorgen. Aber wieso ist es denn so schwierig, am anderen Ende anzusetzen? Warum können denn solche Hacker relativ unbehelligt agieren?
Viele kriminelle Organisationen sind international und werden sehr professionell geführt. Sie spezialisieren sich auf Teilbereiche innerhalb der gesamten Kaskade krimineller Arbeitsschritte. Einige suchen gezielt nach Schwachstellen, andere entwickeln Schadsoftware und so weiter. Zudem kennt das Internet keine Grenzen. Gruppierungen siedeln sich eher in den Ländern an, wo sie weniger Sanktionen zu befürchten haben. Manchmal haben sie aber trotzdem Pech und werden geschnappt. Das NCSC ist zwar keine Strafverfolgungsbehörde, aber ich weiss, dass es immer wieder Verhaftungen in der Schweiz und im Ausland gibt.
Na, immerhin. Wie schützen Sie Ihren privaten Internetzugang?
Die Cyberkriminellen sind wie gesagt innovativ und finden immer neue Wege. Auch ich kenne nicht alle Gefahren und bin ständig auf der Hut. Und so setze ich alle im Interview genannten Grundschutzmassnahmen auch privat um. Oft hilft auch gesunder Menschenverstand. Wenn ich bei einer E-Mail ein ungutes Gefühl habe, kontrolliere ich den Absender und frage mich, ob ich eine solche Nachricht erwarte und den Absender kenne. Falls nicht – ab damit in den Papierkorb.
www.ncsc.admin.ch

Beatrix Bächtold

Veröffentlichung: 12. Januar 2023 / Ausgabe 1-2/2023

Bildstrecken

   

Artikel zum Thema

26. März 2026

Triviso segelt unter neuer Flagge

Digitalisierung. Anlässlich der «Holz-Handwerk» in Nürnberg (D) stellte sich die Refyne-Gruppe vor – ein Zusammenschluss von fünf Softwarefirmen im Bereich Holz- und Metallbau. Eine der fünf ist die Solothurner Triviso AG.

mehr
23. Oktober 2025

Ich sehe was, was du nicht siehst

3D-Scan.  Das Scannen von Räumen und Objekten verspricht vielfältige Anwendungen und Erleichterungen von Planungs- und Montagearbeiten für Schreinerinnen und Schreiner. Die SZ hat bei denen, die einen Scanner nutzen, nachgefragt, wann sich eine solche Investition lohnt.

mehr

weitere Artikel zum Thema:

Digitalisierung