Ein Ex-Kommissar bekämpft Cyberkriminelle

Dieser Artikel erschien am 16. September 2021 als Erstpublikation in der Luzerner Zeitung. Es handelt sich hierbei um Zweitpublikation. Autor dieses Artikels ist Christopher Gilb.

Es ist nicht einfach, Chris Eckert zu treffen. Der 56-Jährige, der für die Bundeskriminalpolizei organisierte Kriminalität bekämpfte und nun als Geschäftsführer der Swiss Business Protection AG in Zug Unternehmen in puncto Sicherheit berät, ist im Dauereinsatz. Grund: die steigende Zahl an Cyberangriffen. Häufig seien die Opfer kleinere und mittlere Unternehmen:

Und schon klingle am Freitagnachmittag sein Telefon.

«Viel zu spät», sagt Eckert. Das sei dann, wenn den Firmen nach einigen Tagen bewusst geworden sei, wie gross der Schaden wirklich ist, dass auch ihr Back-up der Firmendaten beispielsweise ans Netzwerk angehängt ist, das die Erpresser mit ihrer Ransomware blockiert haben. Sie stehen dann mit dem Rücken zur Wand. Und was könne er tun? Oft nicht mehr viel. Versuchen zu verhindern, dass auf die Lösegeldforderung eine zweite folgt, mit Sofortmassnahmen die Reputation des Unternehmens schützen und verhindern, dass so etwas in Zukunft erneut passiert. «Aber eine Firma sicher zu machen, ist keine Sache von einigen Wochen.»

Der Mensch: die unterschätzte Gefahr

Eckert, Polohemd, Jeans, Kapuzenjacke steht am Ufer der Lorze in Cham. Als das Treffen geklappt hat, schlägt er vor, spazieren zu gehen. Wenn er nicht weiter wisse, schaue er oft auf das Wasser. «Ich kann mich dann fokussieren und mir Gedanken machen, mit welchen Strategien sich Unternehmen besser schützen könnten.» Die Früherkennung ist das grosse Thema des gebürtigen Aargauers: Das schärft er den Teilnehmenden des von ihm entwickelten CAS Business Protection an der Hochschule für Wirtschaft Zürich HWZ ein. «Wenn ich heute eine kleine Meldung in der Zeitung lese, dass irgendwo ein Kraftwerk von Hackern lahmgelegt wurde, dann sollte sich jeder Verantwortliche blitzschnell überlegen: Kann das in meinem Unternehmen auch passieren, haben wir  Massnahmen dagegen und wo müssen wir schnell nachbessern?»

Eckert hat eine Zahl dabei: Gemäss einer Studie werden Firmen, bevor der Angriff passiert, im Durchschnitt seit 70 Tagen ausgespäht. «Und viele Firmeninhaber denken noch immer, sie würden schon merken, wenn sie angegriffen werden und könnten rechtzeitig etwas unternehmen. Oder: Unsere IT hat das im Griff.» Das aber sei einer der Trugschlüsse – dass die Verhinderung eines Cyberangriffs eine Frage der richtigen Technik sei. Meistens gehe den Angriffen ein gezieltes Social Engineering voraus. Also dass sich über Beeinflussung und Manipulation von jemandem aus dem Unternehmen Zugang verschafft wird. «Schauen Sie sich mal Geschäftsberichte von Unternehmen an», sagt Eckert. «Jeder will transparent sein und zeigen, was er Gutes tut.» Das sei schön und gut, aber auch gefährlich. «Denn dort oder auch im Internet lassen sich nun Informationen finden, wer welche Funktion im Unternehmen hat, oft noch mit welchem Projekt die Person betraut ist, wer seine Mitarbeiter sind, und natürlich wird auch ein Porträtfoto abgedruckt, manchmal die E-Mail-Adresse.» Und dann erhalte der Mitarbeiter des Finanzchefs ein E-Mail von seinem vermeintlichen Vorgesetzten, er sei ja gerade an diesen wichtigen Verhandlungen und bräuchte schnell die 50’000 Franken, um das Geschäft abzuschliessen. «Das sind Stresssituationen, wer will beim Qualifikationsgespräch hören, dass er in diesem wichtigen Moment versagt und das Geld nicht schnell genug überwiesen hat.»

Eckert ist ein paar Schritte weitergelaufen. Hündeler laufen vorbei, einmal eine Gruppe Kinder, aber sonst ist nicht viel los an diesem nebligen und eher kühlen Septembermorgen. Dass Alarmglocken losgehen, wenn sie losgehen müssen, habe viel mit der internen Kommunikation zu tun, sagt er. Was die Werte im Unternehmen sind, das wüssten die Führungspersonen. «Aber viele weiter unten häufig nicht.» Die Mitarbeitenden müssten sensibilisiert werden, wovon das Unternehmen lebt. «Also was die Kronjuwelen sind.» Es gehe dabei nicht darum, Misstrauen zu schüren, sondern darum, aufmerksam zu sein: «Mit einem Anrufer nicht leichtfertig über sensible Themen plaudern, in seiner Freizeit genau zu überlegen, wem man was von seinem Job erzählt, wenn jemand ohne Badge im Büro herumläuft, sich zu fragen, wer das ist, und die Person anzusprechen. Man sollte sich bewusst sein, dass der Arbeitgeber potenziell  gefährdet ist.» An seinem Haus hänge ja auch niemand eine Anleitung auf, wie eingebrochen werden kann.

Gesundheitsbranche als nächstes Ziel

Und vielleicht nicht das Privathandy, mit dem man auch seine Social-Media-Konten betreut, für Firmenkorrespondenzen verwenden? «Das sowieso. Ein Mitgrund, wieso Cyberkriminelle im Hoch sind, ist, dass während der Pandemie Angestellte von einem Tag auf den anderen ins Homeoffice geschickt wurden, etliche ohne Firmenlaptops. Es hiess dann: ‹Sie haben sicher einen eigenen und können vorerst den nehmen.›» Aus Angst vor Corona, so Eckerts Fazit, sei die Gefahr der Cyberkriminalität teils vergessen worden. Dann sei die Bewerbung keine Bewerbung, sondern ein Trojaner gewesen, nur habe das der Privatlaptop der HR-Angestellten nicht erkannt.

Eckert hat noch eine Zahl dabei:

Das sei weltweit, aber dass die Schweiz weiter einen starken Anstieg erlebe, bezweifelt er nicht, denn es werde zu wenig unternommen, vor allem von den Unternehmen. «Was wir in unserer Branche nicht verstehen, ist, dass in Unternehmensleitungen, aber auch in Verwaltungsräten, die ja schlussendlich die Gesamtverantwortung tragen, das Thema integrale Sicherheit eine viel zu kleine Rolle spielt.» Vielleicht weil es keine Investitionen seien, die sichtbaren Ertrag generieren, spekuliert Eckert. Dabei sei Sicherheit Chefsache, und der gesamtheitliche Unternehmensschutz müsse Teil der Geschäftsstrategie sein.

Zu wenig unternommen werde auch vom Staat. «Was das Thema Wirtschaftsschutz betrifft, sind wir im Vergleich zu Deutschland mindestens fünf Jahre im Rückstand.» Dort gäbe es wegen der steigenden Zahl an Angriffen beispielsweise ein Kompetenzzentrum Wirtschaftsschutz. Wer sein Unternehmen schützen wolle, erhalte wertvolle Tipps und Handlungsempfehlungen. «Gehen sie mal hier mit so einem Anliegen zur Polizei, dort gibt es Leute, die sich mit Einbruchsschutz auskennen und ihnen Flyer abgeben, was einbruchsichere Fenster sind, aber Wirtschaftsschutz für Unternehmen gehört nicht zu den geforderten Kompetenzen.»

Eckerts Bild der Zukunft ist ein düsteres, denn er hat die Vermutung, dass die nächste Branche, die in der Schweiz in den Fokus von Cyberkriminellen rückt, die Gesundheitsbranche ist. Vermehrte Angriffe im Ausland könnten dafür sprechen.

Und bei so einem Angriff seien dann nicht nur die Firmenkasse oder die Reputation eines Unternehmens, sondern Menschenleben in Gefahr, warnt Eckert. Sein Team und er wollen Gesundheitsinstitutionen frühzeitig unterstützen, bevor es wieder einmal zu spät ist.