«HR ist 
hackinggefährdet»

Herr Kunz, im Februar 2019 werden Sie mit den Swiss Cyber Security Days eine neue Messe lancieren. Wozu?

Béat Kunz: In der Schweiz gibt es zahlreiche Organisationen und Events, die sich mit Cybersecurity befassen, aber kein national ausgerichtetes Symposium, das sich diesem Thema widmet. Mit dem Standort Fribourg wollten wir den digitalen Röstigraben überwinden und Menschen aus Wirtschaft, Politik und Forschung zusammenbringen, um Lösungen für den Schutz kritischer Infrastrukturen zu finden.

Wie gravierend ist die Situation?

Hacker sind heute so aktiv und effizient wie noch nie. Neben der Vervielfachung der Angriffsziele durch das Internet der Dinge, verfügbaren Bausätzen für einfache Angriffe sowie Nachahmereffekte ist die Schweiz als Hochlohnland ein attraktives Angriffsziel.

Haben Sie ein Beispiel hierfür?

Vergangene Weihnachten wurden bei einem Krankenversicherer Kundendaten gestohlen. Bei einem grossen Schweizer Telekommunikationsanbieter haben sich Unbefugte Zugriff zu den Daten von 800 000 Kunden verschafft. Wir können uns also nicht einfach sicher fühlen. Cybersicherheit stellt Organisationen vor zwei dringliche Fragen: Wie schützen wir unsere IT-Infrastruktur? Und wie können private und öffentliche Akteure zusammenarbeiten?

Das heisst, um die Datensicherheit ist es in der Schweiz nicht allzu gut bestellt?

Grossunternehmen haben Abwehrsysteme, um sich gegen Cyberangriffe zu wehren. Vielen KMU sind die Risiken einer mangelhaften IT-Sicherheit gegenüber schwer fassbaren Gegnern nicht oder zu wenig bewusst.

Und weshalb die Zusammenarbeit zwischen öffentlichem und privatem Sektor?

Wenn es in einer Firma zu einem Hackingvorfall kommt, sollten die daraus gewonnenen Erkenntnissen mit anderen Firmen geteilt werden, damit sich diese besser schützen können. Natürlich gibt kein Unternehmen gerne zu, dass  in der Organisation Sicherheitslücken bestehen. Daher haben neutrale Akteure wie der Bund oder das Gemeinwesen eine wichtige Vermittlerrolle. Diese können solche Informationen zentral verwalten und an alle Unternehmen weitergegeben.

Inwiefern ist das HR vom Hacking betroffen?

Das HR ist gegenüber Manipulationsversuchen besonders exponiert: So ist allgemein bekannt, mit welchen Themen sich das HR beschäftigt. Ausserdem werden HR-Kontakdaten meist mit einem Bild, einer Telefonnummer oder einer -E-Mail-Adresse im Internet publiziert. Dies macht das HR zu einem lukrativen Angriffsziel, beispielsweise für Phishing-Mails. Weil das HR hackinggefährdet ist, sich in seiner Vorbildfunktion richtig verhalten sollte und nicht zuletzt neu eintretende Mitarbeitende sensibilisieren kann, hat das HR bei der Prävention von Hackerangriffen eine bedeutende Rolle.

Wie sensibilisiert man das HR?

Das ist eigentlich ganz einfach: Man muss die HR-Fachleute nur fragen, was wäre, wenn alle ihre HR-Daten plötzlich im Internet zu finden wären. Sich diese Situation vor Augen zu halten und sich zu fragen, wie man in einer solchen Situation reagieren würde, macht den meisten Arbeitnehmenden bewusst, wie wichtig das Thema Cybersecurity ist.

Und wie soll das HR nun mit Bewerbungsunterlagen von unbekannten Absendern umgehen?

Das HR muss wissen, wodurch sich Phishing-Mails auszeichnen. Diese werden jedoch immer professioneller und sind nicht immer auf den ersten Blick als solche erkennbar. Eine ungewöhnliche Verwendung von Zeichen, Buchstaben oder seltsamen Fragen sind jedoch Hinweise darauf. Die beste Lösung ist aber immer noch, den Absender anzurufen, um herauszufinden, ob dieses Mail von ihm stammt. Daneben sollten ausschliesslich PDFs angenommen und Links in -E-Mails nie angeklickt werden, wenn der Absender dem Mitarbeitenden nicht bekannt ist. Mit diesem restriktiven Verhalten kann das Risiko nicht ganz eliminiert, jedoch massiv gesenkt werden. Zudem können E-Mail- und Internet-Gateway-Filter potenziell gefährliche Anhänge löschen  oder den Download verhindern. Das HR sollte IT-Verantwortlichen gegenüber darauf bestehen, über aktuelle Cyber-Attacken informiert zu werden, damit HR-Mitarbeitende wissen, wie diese zu erkennen sind.

Und wenn es zu einem Hackerangriff kommt?

Wenn dies passiert, müssen alle Mitarbeitenden wissen, was zu tun ist und wen sie fragen können. Ein Reaktionsplan muss bereitstehen, in dem alle Arten von Zwischenfällen aufgeführt sind und erklärt wird, wie man den IT-Bereich nach einer solchen Attacke wieder in Betrieb bringen kann. Darin bestimmt wird auch, wer was wann mit welchem Ergebnis zu tun hat.  In einer solchen Situation können auch externe Fachpersonen involviert werden. Allerdings muss alles, was getan wird, dokumentiert werden.

Es gibt mittlerweile etliche Cyber-Versicherungen. Was nützen diese?

Um herauszufinden, welche Unternehmensbereiche besonders gefährdet sind, lohnt es sich, ein externes Audit durchzuführen. So weiss man, wie es um die Sicherheit in der Firma bestellt ist und wo investiert werden muss. Zwar lässt sich auch der Datenverlust versichern, um aber abschätzen zu können, inwiefern die Versicherung hält, was sie verspricht, ist der Vertrag genau zu prüfen. So gilt es etwa abzuschätzen, ob eine Firewall nach Versicherungsvorgaben eingerichtet ist. Falls eine Firma nicht alle Vorgaben erfüllt, greift der Versicherungsschutz  unter Umständen nicht mehr.

Wie tangiert die europäische Datenschutzverordnung Sicherheitsvorkehrungen von Schweizer Unternehmen?

Grundsätzlich gar nicht. Neu ist die Auskunftspflicht bei Datenschutzverletzungen. Nach einer Cyberattacke muss ein Unternehmen innerhalb von 72 Stunden über das Ausmass des Schadens informieren. Bis dahin müssen die Betroffenen identifiziert sein. Je nach Situation hat dies einen Einfluss auf die Unternehmenssysteme und Prozesse.  Im Unterschied zum europäischen Datenschutzgesetz ist das schweizerische aber veraltet. Das europäische Datenschutzgesetz hingegen ist weltweit der strengste Standard. Deswegen können sich alle Unternehmen daran orientieren. Wann das neue Schweizer Datenschutzgesetz in Kraft tritt, ist noch nicht abzusehen.