Das EDI-Podium 2023 vom 30. Juni im Luzerner Kantonsratssaal stand ganz im Zeichen des nDSG, das ohne Übergangsfrist per 1. September 2023 in Kraft treten wird. Stefan Rothenbühler, Principal Cyber Security Analyst bei Infoguard AG, ist Hackerjäger und unterstützt Unternehmen bei Cyber- und Ransomware-Angriffen. Er berichtete aus seinem hochdynamischen Alltag.

Seine Jobbeschreibung – Hackerjäger – klingt sehr spannend. Am EDI-Podium vom 30. Juni 2023 berichtete Stefan Rothenbühler in seinem Referat «Wie wir Hacker jagen – Insights aus realen Sicherheitsvorfällen» von seiner aussergewöhnlichen und intensiven Arbeit als Principal Cyber Security Analyst von InfoGuard AG. Rothenbühler unterstützt Unternehmen bei Cyber- und Ransomware-Angriffen, leitet forensische Netzwerk-Untersuchungen, verhandelt mit Bedrohungsakteuren und koordiniert Krisenstäbe. «Sie wollen mich eigentlich gar nie sehen: Wenn ich bei Ihnen reinkomme, ist die Show meistens schon vorbei – und Ihr Unternehmen hat ein Problem. Tritt dies ein, übernehmen wir ab da mit dem Ziel, einen gesicherter Wiederanlauf zu ermöglichen.»

Tendenz steigend
«Data Breaches nehmen extrem zu», geht Rothenbühler gleich in medias res. Während sein Unternehmen im Jahr 2018 mit rund 20 Fällen konfrontiert war, sind es bereits deren 140 im ersten Halbjahr 2023. «Der präventive Schutz sowie eine angemessene Reaktion auf Sicherheitsvorfälle werden immer wichtiger. Die Eintrittstore ähneln sich: meist sind es ungeschützte Perimeter. In den häufigsten Fällen, die wir sehen, handelt es sich um opportunistische Angriffe, sprich, der Angreifer probiert es bei Tausenden von Firmen und bei einer Firma glückt es dann durch einen blöden Zufall und es wird gebreacht.

Die Gefahr kommt dabei stets von aussen: Via Sicherheitslücken, über einen unsicheren Fernzugang, Phishing, Malspam oder dann über die Supply Chain», erklärt er. «Letzterer Punkt ist stark am Wachsen. Ganz wichtig: Es kann alle treffen. Nicht nur die Kleinen, die nicht vorbereitet sind, sondern auch die ganz grossen Unternehmen. Da ist die Frage meistens nicht, ob es passiert, sondern wann es passiert.» Viele Firmen und Institutionen verfügen (noch) über ein unzulänglich gesichertes System. «Diese Lücken sind oft Corona-geschuldet, weil damals z. B. Fernzugänge für Mitarbeitende in aller Schnelle hochgezogen wurden.» Das wird ausgenützt.

Monetärer Charakter
Solche Cyber-Angriffe lähmen die gesamte Infrastruktur eines Unternehmens, es wird handlungsunfähig – und erpressbar. «Im schlimmsten Fall ist alles verschlüsselt und Daten wurden zuvor noch gestohlen. In vielen Fällen verlangen die Angreifer ein Lösegeld, damit sie die blockierten Daten wieder freigeben.» Rothenbühler führt weiter aus: «Solche Angriffe haben immer einen monetären Aspekt. Die Angreifer freuen sich, dass sie ins System reinkommen und fragen sich: Wie viel kann ich hier raustragen?»

Was kann man besser machen?
Die Sicherheit eines Unternehmens steht und fällt mit den getroffenen Vorsichtsmassnahmen, aber auch mit dem Grad der Schulung und Sensibilisierung der Mitarbeitenden. «Unser Credo bei InfoGuard lautet: Die Mitarbeitenden sind nicht das schwächste Glied eines Unternehmens, sondern seine letzte Chance, um Schaden zu verhindern.» Die Vorgesetzten sollten daher ihren Mitarbeitenden klar kommunizieren, dass sie nicht einfach immer die Schuldigen seien, wenn etwas passiere, sondern dass sie gebraucht würden, sollten alle Sicherheitssysteme versagen.

«Eine Multi-Faktor-Authentifizierung (MFA) kann bereits Vieles verhindern», stellt Rothenbühler fest.  Ein Vulnerability Management, das Analysieren und Aufarbeiten von Vorfällen, ein direkter Internetzugang sowie ein Security Monitoring sind weitere hilfreiche und zuverlässige Schutzmassnahmen gegen Cyberangriffe. Letzteres findet Rothenbühler eine sehr gute Sache. «Aber man muss das Alarmsystem auch anschauen und vorab Zuständigkeiten klar definieren. Wir wurden schon von Unternehmen um Hilfe gebeten, und als wir ankamen, hat das ganze Sicherheitssystem geleuchtet wie ein Weihnachtsbaum – die zuständige Person war jedoch im Urlaub.»

Fazit:
Stefan Rothenbühlers Tipp: «Firmen sollen sich auf das vorbereiten, was am wahrscheinlichsten ist und den grössten Schaden verursacht – das ist Ransomware. Daher ist es wichtig, seine Angreifer zu kennen und sich entsprechend und laufend vorzubereiten und zu schützen. Es ist ein Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern.» In vielen Fällen könnte ein Cyberangriff schon in den ersten Stunden oder Tagen bemerkt werden, wenn die Antiviren-Alerts angeschaut würden oder man akkurat darauf reagieren würde. «Und falls doch mal etwas passiert, sind wir von InfoGuard AG für Sie da.» Das ist gut zu wissen.

Präsentation (PDF)