Cyberrisiken und -angriffe in der ICT-Branche

«Cyberkriminelle können auch Schaden zufügen, indem sie durch Managed Service Providers (MSPs) Zugriff auf Kunden erhalten», warnt Wouter Wissink, Senior Principal Cyber Risk Engineer und Technology Industry Practitioner bei Chubb. Als ‚Man-in-the Middle‘ haben MSPs es mit konkreten Cyberrisiken zu tun. «Die geschäftlichen und finanziellen Folgen sowie die Rufschädigung können für ICT-Unternehmen umfassend ausfallen», erklärt Barry Schütte, Industry Practices Manager bei Chubb. Er empfiehlt den betroffenen Unternehmen, die Kunden unverzüglich - d.h. noch am Tag des Hackerangriffs - zu informieren, die Systeme schnell offline zu stellen und die Kunden auf dem Laufenden zu halten. «Platform as a Service (PaaS) und Software as a Service (SaaS) sind ebenfalls stärker gefährdet», fügt er hinzu. «Das Risikoprofil hat sich erweitert, da man von Softwaresystemen vor Ort auf plattform- oder cloudbasierte Geschäftsmodelle übergegangen ist.» Die Sorgfaltspflicht ist ein weiterer aufkommender Risikobereich. In einer Beziehung zwischen Zulieferer und Kunde wird ein ICT-Unternehmen für gewöhnlich als Experte angesehen. Seine Verantwortlichkeiten gehen häufig über die schriftlich dargelegten Bestimmungen eines Vertrags hinaus, wodurch die Haftungsrisiken eskalieren. 

Ein Anbieter riet bspw. einem Kunden dazu, zusätzliche Sicherheitsmassnahmen zu ergreifen, dokumentierte dies jedoch nicht. Als der Kunde einen Ransomware-Angriff erlebte und später klagte, wurde das ICT-Unternehmen für haftbar befunden. «Bereits kleine Cybervorfälle können bei ICT-Unternehmen in der Schweiz zu hohen IT-Forensik-Kosten führen, da ihre Kunden oftmals eine umfangreiche Prüfung durch spezialisierte IT-Forensik-Unternehmen verlangen, bevor sie bereit sind, ihre Partnerschaft fortzuführen», meint Yahia Fahmy, Teamleader Technology bei Chubb Schweiz.

Wenn man die Auswirkungen von Cyberkriminalität begrenzen oder das Risiko mindern möchte, braucht es solide Sicherheitsmassnahmen sowie eine beständige Überwachung der Kontrollen. Die Risiken können stark begrenzt werden, indem man bewährte Massnahmen der IT-Hygiene (Multi-Faktor-Authentifizierung, Bewusstseinsschulungen für Mitarbeiter, Firewalls, Scan von Phishing-E-Mails und Filtern von Websites) implementiert. Wouter Wissink empfiehlt ICT-Unternehmen auch ein Privileged Access Management (PAM)-System. Das PAM-Tool schützt die Identität, da es einen speziellen Zugriff oder Fähigkeiten gewährt, der/die über jene/n von regulären Nutzern hinausgeht. Dies ist besonders für MSPs wichtig, bei denen zahlreiche Personen über ein zentrales Softwarepaket auf mehrere Programme zugreifen. Softwareentwickler müssen zudem ihr Netzwerk isolieren und es mit zusätzlichen Tools schützen, auf die nur die Entwickler Zugriff haben. Weitere gute Organisationsmassnahmen sind das kontinuierliche Testen von Backups und ihre Offline-Aufbewahrung sowie ein besonders starker Fokus auf der Verschlüsselung von Passwörtern und sonstigen Daten.

Und natürlich sind eine Überwachungs- und Erkennungssoftware wie EDR (Endpoint Detection and Response) für ICT-Unternehmen ein Muss. Dies ist auch der Fall für Firewalls oder ein Netzwerküberwachungssystem, die 24/7 von einem internen oder externen Security Operations Center überwacht werden. Neben diesen technischen Präventionsmassnahmen dürfen vertragliche Massnahmen, wie Service Level Agreements, Datenschutzvereinbarungen und Entwicklungsrichtlinien nicht vergessen werden. Finden Sie alle vorgeschlagenen Massnahmen im neusten Chubb-Risikobericht zum Cyberbewusstsein von ICT-Unternehmen.