Cybersicherheit: Audit der Beteiligungen von Renaissance
Im Rahmen ihres ESG-Programms initiierte Renaissance 2023 bei ihren elf Beteiligungen eine Überprüfung der IT-Infrastruktur unter dem Gesichtspunkt der Cybersicherheit.
Das Unternehmen, Compass Security, führte sämtliche Audits durch, womit die so gewonnenen Erkenntnisse über alle Unternehmen hinweg vergleichbar waren. Compass Security wurde 1999 gegründet und ist ein europaweit anerkanntes Schweizer Beratungsunternehmen im Bereich IT-Sicherheit.
Insgesamt beschäftigt die Firma 65 Personen und betreibt Niederlassungen in der Schweiz, in Deutschland und in Kanada. Das Kerngeschäft von Compass Security besteht in der Durchführung von Penetrationstests mit dem Ziel, potenzielle Sicherheitslücken in der Infrastruktur seiner Kunden aufzudecken und Verbesserungsmassnahmen vorzuschlagen.
In einem Gespräch mit Sylvain Heiniger, IT Security Analyst bei Compass Security, erörterte Renaissance den Hintergrund dieser Audits und das genaue Vorgehen bei den denBeteiligungen von Renaissance.
Sylvain Heiniger kam vor sieben Jahren zum Unternehmen, nachdem er einen Master in Informatik mit Schwerpunkt Informationssicherheit an der EPFL erworben hatte. «Bei Compass bin ich dafür verantwortlich, unsere Kunden bei der Durchführung von Sicherheitsprüfungen zu unterstützen. Ich befrage die Verantwortlichen, führe Sicherheitstests durch, stelle die Ergebnisse in einem Bericht zusammen und organisiere ein Debriefing. Dabei analysieren wir die Resultate und versuchen gemeinsam, Lösungen für die identifizierten Probleme zu finden.»
CYBERRISIKEN BEI KMU IM ÜBERBLICK
Wie schätzen Sie das durchschnittliche Sicherheitsniveau von Schweizer KMU ein?
Ich halte das Sicherheitsniveau von KMU durchaus für akzeptabel, obwohl die Investitionen in die IT-Sicherheit oft unzureichend sind. Unabhängig von ihrer Grösse und ihrem Tätigkeitsfeld sind alle Unternehmen dem Risiko von Cyberangriffen ausgesetzt. Kriminelle haben heute vor allem die am schlechtesten geschützten Unternehmen im Visier. Leider wenden sich viele erst an uns, nachdem sie Opfer eines Cyberangriffs geworden sind.
Welchen Angriffen sind KMU am häufigsten ausgesetzt?
Statistiken belegen, dass mehr als 90 % der Angriffe mit Phishing beginnen, dem bevorzugten Instrument von Cyberkriminellen. Zusätzlich kommen auch CEO-Scams häufiger vor. Dabei täuschen die Angreifer der Buchhaltung in einer E-Mail vor, ein Vorgesetzter – beispielsweise der CEO – zu sein und fordern sie auf, eine meist sehr hohe Zahlung zu tätigen. Ist diese Zahlung erst einmal ausgeführt, ist es leider oft schon zu spät, es sei denn, die Bank konnte sie in der Zwischenzeit stoppen.
Welche Folgen hat ein Cyberangriff?
Ein Cyberangriff kann ein Unternehmen mehrere hunderttausend Franken kosten. In diesem Betrag enthalten sind der Aufwand für die Analyse des Vorfalls, die (Wieder-)Beschaffung von Material, die Wiederherstellung von Back-ups und die verlorene Arbeitszeit von mehreren Tagen oder sogar Wochen. Diese Kosten können das Überleben eines kleinen Unternehmens gefährden.
Wie haben sich Cyberrisiken aus Ihrer Sicht entwickelt?
Vor einigen Jahren ähnelten die Angriffe jenen, die man aus Filmen kennt: Spezialisierte Hacker, welche zu Spionagezwecken Daten von einem gezielt ausgewählten Unternehmen stehlen. Heute werden Attacken etwas anders ausgeführt, da man im Internet leicht Computerviren einfangen kann. Für Angreifer hat sich dies zu einem lukrativen Geschäftentwickelt.
AUDIT DER BETEILIGUNGEN VON RENAISSANCE
Sie haben vor Kurzem einen Audit der elf Unternehmen im Portfolio von Renaissance durchgeführt. Wie wurde Ihre Arbeit dort aufgenommen?
Insgesamt waren die Reaktionen sehr positiv. Wir spürten eine echte Bereitschaft zur Zusammenarbeit und den Willen, Verbesserungen umzusetzen. Die IT-Verantwortlichen sind oft sogar erfreut über unsere Anwesenheit, da unsere Feststellungen und Empfehlungen für sie wichtige Argumente sind, mit denen sie ihr Management von der Bedeutsamkeit der IT-Sicherheit und der Umsetzung konkreter Massnahmen überzeugen können.
Wie sind Sie bei den Audits vorgegangen?
Unser Ziel war es, uns einen Gesamtüberblick über die Sicherheit der Infrastruktur in den einzelnen Unternehmen zu verschaffen. Um dies zu erreichen, unterteilten wir das Verfahren in drei Phasen.
Zuerst führten wir Gespräche mit den IT-Verantwortlichen in den jeweiligen Unternehmen, in vielen Fällen auch in Anwesenheit ihres externen Dienstleisters. Mit diesem ersten Schritt konnten wir einen Einblick in den Umfang der Infrastruktur und in die Bedürfnisse des Unternehmens gewinnen, denn unsere Risikoanalyse hängt jeweils von der eigentlichen Geschäftstätigkeit des Unternehmens ab. Ausgehend von den dabei gesammelten Informationen bereiteten wir in einem zweiten Schritt rund hundert gezielte Fragen vor, anhand derer wir die Prozesse, die Sicherheitsmassnahmen, die Organisation der IT usw. im Detail analysieren konnten. Anhand der Antworten identifizierten wir daraufhin die Schwachstellen und definierten mögliche Verbesserungsmassnahmen. Im letzten Schritt erstellten wir einen detaillierten Bericht für jedes Unternehmen, der die potenziellen Risiken nach ihrer Bedeutung geordnet darstellt und technische Hinweise auf verschiedene Möglichkeiten der Früherkennung enthält. Auf der Grundlage dieses Berichts wurde dann ein Debriefing via Videokonferenz mit Vertretern des geprüften Unternehmens und von Renaissance durchgeführt. Dabei kommentierten wir die Ergebnisse und beantworteten Fragen zu konkreten Massnahmen.
Wie würden Sie die Gesamtergebnisse und die wichtigsten Verbesserungsmassnahmen beschreiben?
Allgemein haben die geprüften KMU von Renaissance die grundlegenden Best Practices übernommen, insbesondere was Back-ups, die Durchlässigkeit der Infrastrukturen nach aussen und die Verwaltung von Zugriffsrechten anbelangt. Wir erkennen hier eine echte Motivation zur Verbesserung der Sicherheit im Unternehmen. Auch diskutierten wir verschiedene, von der Grösse der Unternehmen abhängige Lösungen, mit denen die identifizierten Risiken gemindert werden können. Die Umsetzung dieser Massnahmen stellt für KMU jedoch eine Herausforderung dar, da die Risiken mit den Bedürfnissen vor Ort in Einklang gebracht werden müssen, häufig aber dazu die Zeit und die Ressourcen fehlen.
Wie bei den meisten Schweizer KMU betreffen unsere allgemeinen Empfehlungen auch hier in erster Linie die Software-Updates. Diese müssen konsequent durchgeführt werden, denn bei einem Angriff auf einen Rechner mit veraltetem System nutzt ein Angreifer diese Schwachstellen aus, um die Kontrolle zu übernehmen. Ausserdem sollten Netzwerke getrennt betrieben werden, um eine Zentralisierung aller Geräte zu vermeiden , und die Zugriffsrechte der Mitarbeitenden sollten auf ihren jeweiligen Arbeitsbereich beschränkt sein. Weiter empfehlen wir, starke Passwörter und die Zwei-Faktor-Authentifizierung zu verwenden. Letztlich ist es von entscheidender Bedeutung, Makros zu deaktivieren, wenn sie nicht verwendet werden. Auf jeden Fall muss ihre Ausführung eingeschränkt sein, da sie von Angreifern häufig zur Ausführung von Codes auf einem Rechner genutzt werden. Makros sind somit ideale Eingangstore für das Einschleusen und Verbreiten von Malware.
Der menschliche Faktor kann ein erhebliches Risiko darstellen. Was empfehlen Sie hier?
Wir raten dazu, regelmässig interne Schulungen durchzuführen. Gleiches gilt für neue Mitarbeitende, damit sie den richtigen Umgang mit den entsprechenden Tools lernen und die mit diesen Technologien verbundenen Risiken verstehen und erkennen können.
Haben Sie von den Tätigkeitsfeldern der geprüften Unternehmen Unterschiede festgestellt?
Unternehmen, die beispielsweise über ISO-Zertifizierungen verfügen oder bereits ähnliche Audits durchgeführt hatten, wiesen im Bereich Cybersicherheit einen höheren Reifegrad auf. Im Produktionsbereich ist die potenzielle Gefährdung der Maschinensicherheit die Hauptsorge. Ein Stillstand über einen mehr oder weniger langen Zeitraum könnte das Überleben des Unternehmens bedrohen. Andere wiederum befürchten vor allem, dass ein Diebstahl von Finanzdaten oder ein Imageschaden zur Schliessung des Unternehmens führen könnte.