Jedes zweite Unternehmen wurde gemäss der kürzlich erschienenen Studie «Cyber-Sicherheit in Liechtenstein» bereits Opfer einer Cyberattacke. Hat Sie die Quote von 50 Prozent überrascht?
Pavel Laskov: Nein. Dass Cyberangriffe eine klare wirtschaftliche Motivation haben, ist seit fast zwei Jahrzehnten bekannt. Die Unternehmen – aber auch die Privatnutzer, die in unserer Studie nicht untersucht wurden – bilden eine «Kundenbasis» für kriminel-le wirtschaftliche Tätigkeiten. Daher sollte es kaum jemanden überraschen, dass die dahinterstehenden Geschäftsleute alles tun, um diese Kundenbasis zu erweitern – genauso wie alle namhaften Internet-Unternehmen. Dass dies so erfolgreich ist, liegt daran, dass moderne digitale Technologien auf einem stark globalisierten Markt wirken. Daher finden die Angreifer, egal ob sie aus China, Russland, Iran oder den USA stammen, auch in Liechtenstein schnell potenzielle Opfer, sobald die technischen Voraussetzungen – also mangelhafter Schutz gegen Cyberangriffe – erfüllt sind.
Mit welcher Art von Attacken sehen sich Liechtensteins Unternehmen am häufigsten konfrontiert?
In unserer Studie wurden als häufigste Angriffe Phishing und Schadsoftware genannt. Tatsächlich sind dies die weltweit meistverbreiteten Angriffsarten und ich sehe hier keinen besonderen Trend für Liechtenstein. Eine gute Nachricht dabei ist, dass es auch bewährte Abwehrmechanismen gegen solche Angriffsarten gibt. Wenn man sich adäquat dagegen schützt, ist das Risiko, einen ernsthaften Schaden hinnehmen zu müssen, verhältnismässig gering.
Auf einer Skala von eins bis zehn – wie gut ist der Wirtschaftsstandort Liechtenstein heute gegen Cyber-attacken gewappnet?
Meine subjektive Einschätzung wäre eine Acht.
Weshalb diese Benotung?
Wir sehen in der Studie zwei klare Effekte, die diese Einschätzung begründen. Erstens, die Unternehmen sind sich der Gefährdung bewusst und setzen entsprechende Gegenmassnahmen, vor allem organisatorisch, um. Zweitens, wenn technisches Know-how fehlt, wird nach geeigneten Lösungen gesucht. Bei etwa 44 Prozent der befragten Unternehmen werden IT-Sicherheitsdienstleistungen extern betrieben. Dieser ziemlich hohe Anteil belegt die oben genannte These. Klar ist die Inhouse-Expertise aus technischer und wirtschaftlicher Sicht sinnvoller. Das Outsourcing ist jedoch eindeutig eine bessere Option als mangelnder Schutz.
Wie schützen sich Liechtensteiner Unternehmen aktuell typischerweise gegen Cyberattacken?
Generell kann man feststellen, dass sie alle branchenübliche Schutzinstrumente einsetzen. Hierzu gehören sowohl die erforderlichen organisatorischen Massnahmen wie die Benennung eines IT-Sicherheitsbeauftragten oder die Erstellung eines IT-Sicherheitskonzeptes, als auch diverse technische Instrumente. Auf der technischen Seite sind gängige Schutzmechanismen wie Firewall, Spam- und Phishing-Schutz weit verbreitet. Bei manchen anderen – etwa Zwei-Faktor-Authentifizierung sowie Verschlüsselung und Integritätsschutz von E-Mails – besteht ein klarer Nachholbedarf.Es wird also einiges getan. Und doch kommt es immer wieder zu erfolgreichen Angriffen.
Irrtum ist menschlich. Zwei Ursachen tragen massgeblich zur Verwundbarkeit heutiger IT-Systeme bei. Erstens: Trotz dem stetigen Fortschritt bei Methoden in der Softwareentwicklung passieren immer Programmierfehler. Einige grobe Fehler führen dazu, dass durch externe Eingaben fremde Programme ausgeführt werden können. Dies genügt in der Regel, um viele Schutzmechanismen auszuhebeln. So lange es uns Informatikern nicht gelingt, fehlerfreie Software zu schreiben, sind Sicherheitslücken unvermeidbar. Hinzu kommt noch die zweite Quelle für Sicherheitsvorfälle: die Benutzerfehler. Viele Vorfälle entstehen durch die rücksichtslosen Handlungen der Nutzer, zum Beispiel das Klicken auf einen bösartigen Link, oder eklatante Konfigurationsfehler wie etwa ein Default-Passwort «12345». Generell werden uns diverse Schwachstellen in IT-Systemen höchstwahrscheinlich immer plagen, seien sie technischer oder menschlicher Natur. Die entscheidende Frage ist: Mit welchem Aufwand lassen sich für Angreifer durch deren Ausnutzung nützliche Ziele erreichen?
Ist es um die Sensibilität der Liechtensteiner Wirtschaft vielleicht doch nicht allzu gut bestellt?
Das kann man so pauschal nicht sagen. Die meisten Unternehmen in Liechtenstein sind sich der Sicherheitsrisiken bewusst und haben auch vor, sich in unmittelbarer Zukunft aktiv mit Fragen der IT-Sicherheit zu beschäftigen. Allerdings unterschätzen viele, so die Ergebnisse unserer Studie, das Risiko für das eigene Unternehmen. Vielleicht glaubt man, dass Cyberangriffe immer gezielt sind, das heisst, die Angreifer immer eine klare Motivation haben, ein konkretes Unternehmen anzugreifen. Allerdings sind Angriffe häufig wahllos. Manche Schwachstellen, besonders bei Internetanwendungen, können automatisch aus der Ferne erkannt und ausgenutzt werden. Dabei können vor allem durch den Ausfall der Systeme erhebliche Schäden entstehen ohne dass die Angreifer daran etwas «verdienen».
Gerade bei kleineren Unternehmen, auch das kommt in der Studie zum Ausdruck, ist die Risikowahrnehmung geringer. Warum?
Man kann diesen Effekt nachvollziehen. Kleinere Unternehmen besitzen in der Regel nicht die Dienstgüter, die technisch extrem raffinierte und entsprechend aufwendige Angriffe rechtfertigen könnten. Daher kommt wahrscheinlich der Gedanke, «bei mir ist nichts Besonderes zu holen». Ich würde mir aber eine andere Frage stellen: Wie lange könnte mein Unternehmen profitabel arbeiten, wenn meine IT-Infrastruktur ausfallen würde? Wie schmerzhaft der Ausfall der IT-Infrastruktur für ein konkretes Unternehmen ist, hängt vom Grad der Abhängigkeit ab – also vom Fortschritt der Digitalisierung – sowie von der Dauer des Ausfalls. Darüber hinaus muss man auch an die Kunden denken. Der Verlust von Daten kann den Kunden schädigen und ist dementsprechend aus Datenschutz-Sicht gesetzes-
widrig.
Spiegelt sich die geringere Risikowahrnehmung in den zu verzeichnenden Attacken wider? Sind KMU häufiger betroffen?
Nein, relativ gesehen sind KMU sogar weniger betroffen als grössere Unternehmen. In unserer Studie stellen wir eine positive Korrelation zwischen der Häufigkeit der Angriffe und der Unternehmensgrösse fest.
Die hohen Kosten von Schutzmassnahmen können ein Hemmschuh sein. Muss Cybersicherheit billiger werden?
Ja, aber nicht auf Kosten der Sicherheit. Die Senkung des manuellen Aufwands ist ein wichtiges Ziel bei der Erforschung und Entwicklung von neuen Sicherheitstechnologien. Aus diesem Grund setzen viele Hersteller von Sicherheitsprodukten heute auf künstliche Intelligenz, um Angriffe besser und schneller zu erkennen. Auch das Outsourcing von IT- und Sicherheitsdienstleistungen ist ein adäquater Ansatz, um das Kosten-Nutzen-Verhältnis zu optimieren. Es geht im technologischen Wettrüsten mit Cyberkriminellen genau darum, mit geringerem Aufwand die Kosten für erfolgreiche Angriffe zu erhöhen und deren Nutzen sowie die Schäden für die Opfer zu verringern.
Gibt es eine Art Mindeststandard an Schutzmassnahmen, den Sie für zwingend erachten?
Ich würde hier ungern von einem Mindeststandard reden. Die erforderlichen Schutzmassnahmen sind immer von der Funktion des konkreten IT-Systems abhängig. Was für ein System adäquat sein mag, kann für ein anderes System schwerwiegende Schwachstellen aufweisen und somit ein falsches Gefühl der Sicherheit vermitteln. Dennoch sollten manche Massnahmen bei allen Unternehmen sorgfältig umgesetzt werden. Hierzu zählen die Dokumentation der IT-Infrastruktur, das Erstellen eines IT-Sicherheitskonzeptes beziehungsweise Grundregeln zum sicheren Umgang mit IT-Systemen, Verwendung von sicheren Passwörtern, Beschränkung der externen Zugriffe auf interne Systeme durch eine Firewall, logische Trennung von allgemeiner IT-Infrastruktur und Servern mit sensiblen Daten, Absicherung des Email-Abrufs sowie von der Übertragung von sensiblen Daten über das Internet.
Wie stark müssen hier auch die Mitarbeiter einbezogen werden?
Es gibt Grundregeln, die allen Mitarbeitenden bekannt sein müssen: der Umgang mit E-Mails, die Vertrauenswürdigkeit der Webseiten, der Umgang mit Passwörtern oder das Risiko von unbekannten USB-Sticks. Das «Humankapital» ist für jedes Unternehmen ein essenzielles Dienstgut. Daher zahlen sich Fortbildungsmassnahmen zum Thema IT-Sicherheit ziemlich schnell aus.
Inwiefern erschwert Homeoffice einen effektiven Schutz?
Homeoffice erschwert einen Schutz gegen Cyberangriffe eindeutig. Die Heimnetzwerke sind kaum gewartet. Wer schaut beispielsweise daheim die Log-Dateien auf seinem WLAN-Router an? Wie häufig spielt man Updates auf seinen WLAN-Router ein? Gelingt es dem Angreifer, einen WLAN-Router zu kompromittieren, können unter Umständen die gesamte Kommunikation – darunter sensible dienstliche Daten – abgehört werden.
Also besser auf das Arbeiten von zu Hause aus verzichten?
Man soll vom Homeoffice wegen Sicherheitsbedenken nicht absehen, insbesondere wenn es sinnvoll beziehungsweise alternativlos ist. Auch in weniger sicheren Umgebungen wie Heimnetzwerken kann mit bestimmten Technologien, etwa Ende-zu-Ende-Verschlüsselung, sicher gearbeitet werden. Der Umstieg muss nicht unbedingt so schlagartig sein wie in der Coronakrise, aber langfristig sollen die Vorteile des Homeoffice nicht an den Sicherheitsbedenken scheitern.
Ist Cybersicherheit überhaupt in einem wirklich zufriedenstellenden Mass realisierbar? Die Kriminellen sind denen, die sie bekämpfen, ohnehin stets einen Schritt voraus, heisst es oft.
Kriminelle Energie ist zweifellos eine grosse Herausforderung in der digitalen Welt. Grenzenlosigkeit, Anonymität, starke Vernetzung, unklare Gesetzeslage und dementsprechend aufwendige Strafverfolgung – alle diese Faktoren sprechen dafür, dass die Sicherheitsprobleme sich nicht in absehbarer Zeit lösen lassen. Es gibt aber auch gute Nachrichten auf der technischen Seite der Cybersicherheit. Viele Verfahren, etwa in der Kryptografie, liefern Sicherheitsgarantien, sodass bewiesen werden kann, dass der Aufwand, sie zu brechen, unverhältnismässig gross ist. Solche Verfahren stehen als Bausteine für die Entwicklung sicherer IT-Systemen zur Verfügung. Es liegt letztlich in der Hand von Designern und Entwicklern digitaler Technologien, solche Bausteine fehlerfrei einzusetzen, sodass ihre Sicherheitsgarantien auch in der Praxis bestehen. Gelingt es der IT-Industrie und den Anwendern, die zwei Arten von Fehlern zu vermeiden, die ich vorhin erwähnt habe, macht die rechtmässige Verwendung von IT-Systemen einen wichtigen Schritt im Wettrennen gegen Kriminelle.
