Der Cybersicherheits-Experte Hans-Peter Käser erklärt im Interview, wie sich Gemüsebaubetriebe vor Cyberattacken schützen können. Dazu gehören unter anderem der präventive Schutz der Systeme sowie die regelmässige Sicherung der Daten.
Gemäss Informationssicherheitsgesetz (ISG) besteht eine Meldepflicht bei Cyberangriffen auf kritische Infrastrukturen, zu denen auch Gemüsebaubetriebe zählen. Was bedeutet das?
Hans-Peter Käser: Gemäss Artikel 74b Absatz P ISG gilt für Betriebe eine Meldepflicht bei Cybervorfällen, wenn sie Produkte des täglichen Bedarfs herstellen. Dazu gehören auch Gemüsebaubetriebe mit mehr als 50 Angestellten und 10 Millionen Franken Jahresumsatz. Kommt es bei diesen zu einem entsprechenden Vorfall, muss innerhalb von 24 Stunden eine Meldung ans Bundesamt für Cybersicherheit (BACS) erfolgen. Idealerweise online über das Meldeportal Cyber Security Hub. Bei kritischen Infrastrukturen leistet das BACS erste Hilfe.
Wie sollen sich Betroffene verhalten, wenn eine Lösegeldforderung für die Freigabe von blockierten Firmendaten im Raum steht?
Zuerst sollten sie die Polizei hinzuziehen und eine Strafanzeige erstatten. Wir raten generell, kein Lösegeld zu bezahlen, da dies keine Garantie für die Wiederherstellung der Daten bietet. Damit würde nur die Kriminalität unterstützt. Denn die Täterschaft wird das erpresste Geld in zusätzliche Infrastruktur für weitere Angriffe investieren. Es ist auch nicht ausgeschlossen, dass weitere Erpressungsversuche folgen würden. Lassen Sie mich noch etwas Wichtiges sagen.
Bitte!
Es geht hier nicht um eine Angstmacherei. Uns ist wichtig, dass sich die Unternehmen mit dem Thema Cybersicherheit auseinandersetzen und entsprechende Vorsichtsmassnahmen vornehmen. Damit lassen sich viele Vorfälle verhindern.
Wichtig ist die Prävention. Wie können sich Gemüsebaubetriebe vorsorglich vor Cyberattacken schützen?
Cyberkriminelle wollen mit möglichst wenig Aufwand zu viel Geld kommen. Deshalb sollten alle digitalen Systeme – Smartphones, Programme und Apps – immer mit den neuesten Softwareversionen aktualisiert werden, um allfällige Sicherheitslücken zu schliessen. Dies gilt insbesondere für Systeme, die über einen Fernzugriff gewartet werden, wie zum Beispiel die Gewächshaussteuerung. Zu den technischen Grundschutzmassnahmen gehören unter anderem die Installation einer Firewall sowie eines Antivirenprogramms. Essenziell ist die Erstellung von regelmässigen Backups der Firmendaten. Festplatten können auch durch eine technische Störung kaputtgehen. Sind die Daten extern gesichert, kann der operative Betrieb bei Datenverlust oder eben bei Erpressungsfällen schneller wieder aufgenommen werden.
Wie sieht ein kluges Backup-Management aus?
Es gilt die 3-2-1 Backup-Regel: Sie besagt, dass Sie drei Kopien Ihrer Daten aufbewahren, diese auf zwei verschiedenen Speichermedien sichern und mindestens eine Kopie ausser Haus aufbewahren sollten. Datensicherungen sollten regelmässig erstellt werden. Und ganz wichtig: Überprüfen Sie, ob sich die Daten auf dem Backup befinden und ob sich diese tatsächlich wieder zurückspielen lassen.
Wie verlässlich ist die Datensicherung auf einer Cloud?
In diesem Fall werden die Daten der Obhut eines externen Dienstleisters anvertraut. Auch bei diesem kann es zu einem Datenverlust oder zu Unterbrüchen kommen. Hier gelten deshalb die gleichen Regeln wie bei eigenen Servern. Daten in der Cloud sollten immer zusätzlich auf einer eigenen Festplatte gesichert werden.
Gemüsebetriebe pflegen einen regelmässigen Datenaustausch mit verschiedenen Lieferanten. Wie gross ist das Risiko, dass ein Cyberangriff durch Sicherheitslücken in der Lieferantenkette erfolgt?
Oft bestehen Fernzugriffe von Lieferanten beispielsweise auf Steuerungen. Sind diese Zugriffe nicht sauber abgesichert, sind die Türen für einen Cyberangriff geöffnet. Zudem sollte immer die ganze Lieferantenkette betrachtet werden. Ein Hauptlieferant wie beispielsweise eine Jungpflanzenfirma kann seine Hausaufgaben zwar gemacht haben. Dieser hat aber möglicherweise Zulieferer, mit ungesicherten Systemen. Kriminelle können sich dann so Zugang zu den Systemen des Hauptlieferanten verschaffen. Womit dann auch wieder die Systeme oder die Daten des Gemüsebaubetriebs betroffen wären.
Was kann der Gemüsebaubetrieb dagegen unternehmen?
Wichtig ist, die kritischen Prozesse oder die Verarbeitungsgeräte sowie die Lieferkette zu kennen. Eine Schutzmassnahme ist beispielsweise, einen Fernzugriff nur dann zu öffnen, wenn ihn der Lieferant benötigt, und während der übrigen Zeit die Verbindung zu trennen. Das ist eine effiziente Variante, um die Risiken zu reduzieren.
Alle von uns erhalten fast täglich mehr oder weniger auffällige E-Mails, mit denen Kriminelle versuchen, den Empfänger zum Klicken eines Links zu einer Website mit einer Schadsoftware zu animieren. Wie können Betriebsleiter ihre Mitarbeitenden sensibilisieren?
Sie sollten regelmässig geschult und beispielsweise bei Änderungen nach Softwareupdates einbezogen werden. Cybersicherheit ist Chefsache. Deshalb ist es wichtig, dass Betriebsleiterinnen und Betriebsleiter als gutes Beispiel vorangehen, sich dem Thema widmen und mögliche Risiken identifizieren.
Cyberkriminelle werden dank Künstlicher Intelligenz immer perfider. Beispielsweise mit täuschend echten Deepfake-Sprachnachrichten. Eine Mitarbeiterin erhält einen vermeintlichen Anruf des Chefs, mit der Bitte, einen Betrag zu überweisen. Wie sieht hier der richtige Umgang aus?
Wenige Sekunden Sprachnachricht auf WhatsApp reichen aus, um solche Deepfakes herzustellen. Deshalb sollten sich die Leute über solche Risiken informieren. Auch Videos und Bilder auf Social-Media-Plattformen können kriminell verwendet werden. Kommt es tatsächlich zu einem solchen Anruf, gilt: ruhig bleiben und sich über einen Rückruf direkt bei der betroffenen Person melden und sich so absichern.
Betriebe können spezielle Cyberversicherungen abschliessen. Was bringen diese?
Der Abschluss einer Cyberversicherung ist ein wirtschaftlicher Entscheid. Es kommt wohl auch ein wenig auf die Grösse des Betriebes an. Damit die Versicherung bei einem Schaden bezahlt, muss ein Betrieb die Massnahmen des Grundschutzes umgesetzt haben und entsprechende Vorkehrungen treffen. Dieser muss letztlich selbst entscheiden, ob er das Geld nicht besser in Massnahmen zur Prävention investiert. Das Positive am Nachdenken über den Abschluss einer Cyberversicherung ist eigentlich, dass sich der Betrieb mit dem Thema auseinandersetzen muss. Ein Versicherungsberatungsgespräch beispielsweise kann bereits sehr aufschlussreich sein.
| Hans-Peter Käser ist Experte Technologien & Security Engineering beim Bundesamt für Cybersicherheit (BACS). Das Bundesamt für Cybersicherheit (BACS) ist das Kompetenzzentrum des Bundes für Cybersicherheit und damit erste Anlaufstelle für die Wirtschaft, Verwaltung, Bildungseinrichtungen und die Bevölkerung bei Cyberfragen. Es ist verantwortlich für die koordinierte Umsetzung der Nationalen Cyberstrategie (NCS). Wöchentlich gehen beim Amt rund 1000 freiwillige Meldungen zu Cybervorfällen ein. |
Kommentare