Cyberangriffe sind mittlerweile ein ständiges Thema in den Medien. Wie bewerten Sie die Entwicklung?
Dominique Trachsel: Der Meldungseingang zu Cybervorfällen beim NCSC bewegt sich aktuell mit durchschnittlich rund 700 Meldungen pro Woche auf hohem Niveau. Dies führen wir einerseits auf die gestiegene Sensibilität der Bevölkerung zurück. Wir nehmen aber auch eine leichte Steigerung der Cyberangriffe wahr.
Aktuell sind Betrug und Ransomware-Angriffe häufige Cybervorfälle. So machen angebliche Drohmails von Strafverfolgungsbehörden, sogenannte Fake-Extortion-E-Mails, ca. einen Drittel der beim NCSC eingegangen Meldungen aus. Das Motiv der meisten Cyberkriminellen ist, und bleibt es wohl auch in Zukunft, mit wenig Aufwand möglichst viel Profit zu machen. Daher gelten Angriffe nicht einer bestimmten Institution, Firma, Person oder Branche, sondern die Angreifer suchen Schwachstellen, die sie für ihre Zwecke missbrauchen können.
Die Sensibilisierung spielt da eine wichtige Rolle. Was genau ist der Auftrag des NCSC in diesem Bereich?
Die Sensibilisierung konzentriert sich im Wesentlichen auf drei Bereiche: die breite Öffentlichkeit, Behörden und öffentliche Verwaltungen als kritische Infrastrukturen sowie die Wirtschaft. Bei letzterer liegt der Fokus derzeit auf Familienunternehmen und Verbänden. Erstere umfassen als wichtige Arbeitgeber zahlreiche Schweizer Unternehmen, tragen einen sehr grossen Teil zum BIP bei und sind mit rund einem Drittel börsenkotiert. Weiter lassen sich Sensibilisierungsmassnahmen sehr gut in die bestehende Organisationskultur integrieren.
Bei der Erarbeitung der aktuellen NCS (Nationale Cyberstrategie), an der sich Vertreter aus Bildungsinstitutionen, Behörden und Wirtschaft aktiv beteiligten, manifestierte sich das Anliegen, dass Sensibilisierungsmassnahmen für die Wirtschaft insbesondere via Verbände gebündelt werden sollten. Das NCSC kann also den Mehrwert des Informationsflusses, über den es als Kompetenzzentrum für Cybersicherheit durch die enge Zusammenarbeit mit anderen Institutionen und Organisationen verfügt, in laufende Programme beispielsweise von Swissmem einbringen und bestehende Vorhaben unterstützen. So wird das Know-how verbandsintern zielgruppenorientiert weitergegeben.
Wie schätzen Sie das Bewusstsein der Unternehmen für die Gefahren ein?
Es gibt Firmen, welche die Cybersicherheit bereits sehr gut integriert haben. Das sind oft Unternehmen, bei denen das Thema als Chefsache betrachtet wird. Allerdings gibt es auch solche, die noch Aufholbedarf haben. Grundsätzlich umfasst die Sensibilisierung zwei Aspekte: organisatorische Massnahmen, die das Risikobewusstsein der Mitarbeitenden schärfen sowie klar geregelte Prozesse definieren, und technische Lösungen, um den Schutz auch auf dieser Ebene zu optimieren.
Das NCSC stellt auf seiner Website viele Informationen und Anleitungen für Privatpersonen, IT-Spezialisten, Behörden und Unternehmen zur Verfügung, damit sie sich einen ersten Überblick verschaffen können. Wenn firmenintern kein IT-Wissen vorhanden ist, empfiehlt es sich für die Umsetzung Experten beizuziehen und diese Leistungen einzukaufen. Das NCSC gibt jedoch keine Empfehlungen zu Anbietern ab.
Sie haben mit PB Swiss Tools ein Pilotprojekt zur Sensibilisierung durchgeführt. Können Sie konkret erläutern, welche Schritte gemeinsam unternommen wurden?
Eine wichtige Voraussetzung war, dass alle relevanten Personen einschliesslich Geschäftsleitung von Anfang an einbezogen waren und wir auf ihre Unterstützung zählen konnten. Was das Vorgehen anging: Je nach Arbeitsumfeld der Mitarbeitenden bestanden unterschiedliche Bedürfnisse für die Sensibilisierung. Die Ausgangslage in der Finanzbuchhaltung ist eine andere als die in der Produktion bei der Bedienung von Computern im Maschinenpark. Hinzu kam der Schichtbetrieb. Wir haben also ein Konzept mit Zeitplan entwickelt, bei dem wir die rund 200 Mitarbeitenden zielgruppengerecht ansprechen und gleichzeitig die Produktion aufrechterhalten konnten.
Wie sah das aus?
Insgesamt haben wir drei Module durchgeführt:
- Im Basismodul wurden alle Mitarbeitenden abgeholt. Hier ging es um eine grundsätzliche Einführung in die Themen Cybersicherheit, potenzielle Angriffspunkte und wie die Mitarbeitenden im Verdachtsfall reagieren sollten.
- Im zweiten Modul ging es um den Schutz beim mobilen Arbeiten, z. B. Dienstreisen, Messebesuche oder Homeoffice. Es wurden Risiken im Zusammenhang mit mitgeführten Geräten erläutert und definiert, wie der Zugriff im Ausland auf Daten möglichst sicher gestaltet werden kann.
- Das dritte Modul war technisch orientiert und richtete sich an Mitarbeitende wie Ingenieure und Techniker, die mit Maschinen und der entsprechenden Software arbeiten.
Wie wurde die Sensibilisierung methodisch angegangen?
Da es um relativ viele Teilnehmende ging, liessen wir sie nach gezielten Inputs in Gruppen selbständig Themen erarbeiten. Anschliessend präsentierten sie ihre Erkenntnisse im Plenum. Dadurch konnte der Wissenstransfer innerhalb einer angemessenen Zeitspanne gewährleistet werden. Wichtig ist im Anschluss, den Erfolg auch zu messen. Wir machten vor der Wissensvermittlung eine kurze Umfrage und die Mitarbeitenden ein Quiz lösen lassen. Auch am Ende der Veranstaltung gab es nochmals eine kurze Umfrage anhand einer gängigen Skala, um zu erfahren, ob die erworbenen Kenntnisse im Alltag umgesetzt würden. Zusätzlich haben wir von PB Swiss Tools die Rückmeldung, dass Mitarbeitende inzwischen vermehrt die IT-Abteilung kontaktieren, wenn ihnen etwas verdächtig vorkommt.
Können andere Industrieunternehmen von den Erfahrungen aus diesem Pilotprojekt profitieren?
Ja, die Erkenntnisse sollen der ganzen Branche zur Verfügung gestellt werden. Viele Industriebetriebe stehen bis zu einem gewissen Grad vor ähnlichen Herausforderungen.
Für eine Skalierung möchten wir verstärkt mit Verbänden wie Swissmem zusammenarbeiten und die Erkenntnisse sektorspezifisch verbreiten. Nebst der Methodik zur Planung und Durchführung von Sensibilisierungsmassnahmen liegt die Stärke des NCSC in fundierten Kenntnissen zur allgemeinen Bedrohungslage und im laufenden Informationsaustausch mit Dritten. Das hilft etwa bei der Früherkennung von Trends bei Cyberattacken. Mit diesen aktuellen Informationen zu einem sehr dynamischen Feld können wir einen Mehrwert für die Unternehmen schaffen.
Haben Sie abschliessend Tipps an die Unternehmen?
- Es reicht nicht aus, die Verantwortung für Cybersicherheit allein dem IT-Verantwortlichen zu übertragen. Unternehmen sollten sich ganzheitlich und immer wieder mit dem Thema auseinandersetzen und es zur Chefsache erklären.
- Es gibt einige grundlegende Massnahmen, die relativ einfach umzusetzen sind. Dazu gehören beispielsweise das Patchen von Systemen, um Schwachstellen zu beheben, sowie regelmässige Backups.
- Jedes Unternehmen sollte sich bereits heute überlegen, wie es im Ernstfall reagieren würde. Dadurch erkennt man schnell, ob man auf den Krisenfall vorbereitet ist. Ein Notfallplan, ein Krisenkommunikationskonzept, eine Krisenorganisation und ein Notfallkontakt sind zwingend erforderlich.
- Ein umsichtiges Verhalten aller Mitarbeitenden trägt wesentlich zum Schutz vor Cyberrisiken bei. Deshalb ist es wichtig, die Mitarbeitenden auf mögliche Risiken aufmerksam zu machen und ihnen bei Bedarf Hilfe anzubieten.