Best Practice Swisscom AG
18.11.2019, 07:20 Uhr
«Wir müssen uns dringend besser vor Cyberangriffen schützen»
Mit Hackern möchte kein Unternehmen etwas zu tun haben – ausser, sie arbeiten in eigener Sache. So wie etwa bei Stadler Form.
Samuel Wyss, ist Director of Transformation und verantwortet die IT-Sicherheit bei Stadler Form
(Quelle: Stadler Form)
Stadler Form, der Zuger Hersteller für Geräte zur Verbesserung des Raumklimas, stellte nach einem Penetration Test ernüchtert fest, dass es noch zahlreiche Sicherheitslücken in der Unternehmens-IT zu schliessen gibt.
Ladina Camenisch von Swisscom: Herr Wyss, weshalb haben Sie sich entschieden, am Wettbewerb «Win a Hacker» von Swisscom teilzunehmen?
Samuel Wyss: Ich habe in letzter Zeit viel über Ransomware-Angriffe auf KMU gelesen und war entsprechend verunsichert. Als IT-Verantwortlicher ist mir die Security unserer Systeme natürlich extrem wichtig, aber leider haben wir nicht genügend Know-how, um uns selbst ausreichend vor Cyberangriffen zu schützen. Als ich gelesen habe, dass wir eine Attacke unter Realbedingungen simulieren können, ohne Schaden zu nehmen, dachte ich: «Das ist unsere Chance!»
Camenisch: Wie sind die vermeintlichen Hacker bei diesem Penetration Test vorgegangen?
Wyss: Die Angreifer haben eine Phishing-Attacke simuliert und versuchten anschliessend, über einen User-Account an weitere Privilegien zu gelangen. Ich selbst war natürlich in die Erarbeitung des Szenarios involviert. Wir wollten wissen, ob die «Hacker» mit diesen Admin-Rechten Systeme beeinflussen oder Daten löschen können. Ausserdem haben wir die Qualität der genutzten Passwörter untersucht und auch dort Verbesserungspotenzial gefunden.
Camenisch: Welche weiteren Erkenntnisse haben Sie für Ihre Arbeit als Sicherheitsverantwortlicher gewonnen?
Wyss: Ich muss zugeben, die Resultate waren ernüchternd. Wir haben gesehen, dass wir noch grosses Verbesserungspotenzial haben. Wir müssen sowohl unsere Infrastruktur besser schützen als auch unsere Mitarbeitenden noch besser für IT-Security-Themen sensibilisieren als bisher, zum Beispiel, wenn es um die Kreation von Passwörtern geht. Wir müssen aber auch die Anzahl der Administratoren-Rechte einschränken. Ich habe gemerkt, dass es nicht ausreicht, auf die eigene IT zu vertrauen. Externe Tests zeigen ganz schnell und eindrücklich Sicherheitslücken auf.
Camenisch: Inwieweit haben Sie bereits erste Verbesserungsmassnahmen in Sachen IT-Sicherheit bei Stadler Form umgesetzt?
Wyss: Wir sind sofort mit unserem externen IT-Partner zusammengesessen und haben besprochen, wie wir die einzelnen Sicherheitslücken schliessen können. Ausserdem diskutierten wir in der Geschäftsleitung intensiv über die strategische Bedeutung der IT. Ich glaube, dass alle einen Aha-Effekt hatten. KMU sind einfache Ziele für Cyberangriffe, deshalb müssen wir uns dringend noch besser schützen. Doch viele KMU behandeln Cybersecurity stiefmütterlich. Wir wissen nun aus erster Hand, dass dies ein grosser Fehler ist. Man sollte IT-Sicherheit aktiv angehen und nicht warten, bis man Opfer eines Angriffs wird. Dabei muss man nicht alles selbst können, schliesslich gibt es externe Spezialisten.
Camenisch: Wurde Ihr Unternehmen zuvor Opfer eines Cyberangriffs und was haben Sie daraus gelernt?
Wyss: Zum Glück ist uns das im grossen Stil noch nie passiert. Doch unsere Mitarbeiter erhalten dauernd irgendwelche Phishing-E-Mails und Dateien, die möglicherweise Schad-Software enthalten. In unserem Namen wurden sogar einmal Spam-E-Mails verschickt, was unsere Distributoren natürlich verunsicherte. Nach dieser Simulation ist uns allen bei Stadler Form viel deutlicher bewusst, dass sich hinter diesen auf den ersten Blick nicht so gravierenden Vorkommnissen grosse Gefahren verbergen. Wir haben nun unsere Infrastruktur verbessert und unsere Mitarbeitenden weiter geschult, sodass wir hoffentlich auch in Zukunft von einem echten Hackerangriff verschont bleiben.
Einen Hacker gewonnen
Umfassende Security Assessments sind häufig auf Grossunternehmen zugeschnitten. Doch KMU stehen zunehmend im Fokus von Cyberkriminellen. Deshalb ist es auch für sie wichtig, ihre Infrastruktur auf Herz und Nieren zu überprüfen sowie mögliche Sicherheitslücken umgehend zu schliessen.
Um KMU für Security-Themen zu sensibilisieren, hat Swisscom den Wettbewerb «Win A Hacker» ausgeschrieben, bei dem über 200 KMU mitgemacht haben. Das Zuger Unternehmen Stadler Form hatte die Verlosung gewonnen und ein professionelles Security Assessment erhalten. Teil davon war ein Penetration Test, bei dem Ethical Hackers versuchten, Sicherheitslücken auszunutzen und ins System einzudringen.