Der unlängst veröffentlichte 27. Halbjahresbericht der Melde- und Analysestelle Informationssicherung MELANI befasst sich mit den mannigfaltigen Cybervorfällen der ersten Jahreshälfte 2018. Wie gewohnt sind darin viele Warnungen enthalten, beispielsweise Passwörter im Internet nicht mehrfach zu nutzen. Solche Warnungen sind offenbar bitter nötig, denn laut einer Umfrage des Markt- und Sozialforschungsinstituts gfs-zürich sind die kleinen und mittleren Schweizer Unternehmen gegenüber der Gefahr von Cyberattacken nach wie vor viel zu sorglos.

Das Problem von mehrfach im Internet verwendeten Passwörtern

Für viele Menschen ist es geschäftlich und privat eine bequeme Gewohnheit: Ein vertrautes Passwort wird für mehrere Onlinedienste wie beispielsweise Webmail, E-Banking oder Onlineshops eingesetzt. Davor warnt jedoch die Melde- und Analysestelle Informationssicherung MELANI in ihrem jüngsten Halbjahresbericht. Denn die Mehrfachnutzung von Passwörtern ist eine willkommene Vereinfachung für Kriminelle. Es ermöglicht ihnen, die gesammelten Logindaten aus den diversen Datenabflüssen bei verschiedensten Internetdienstleistern systematisch einzusetzen. In einem Fall gelang es Angreifern zum Beispiel, mit knapp einer Million gestohlener und aus verschiedenen Quellen zusammengestellten Loginkombinationen sich mehrmals in die Benutzerkonten eines Onlineportals einzuloggen und entsprechend Schaden anzurichten.

Man ist zu sorglos: Das bestätigt eine Umfrage

Im Internet handeln offenbar immer noch viele Menschen trotz aller Warnungen allzu sorglos. Das bestätigt auch eine Umfrage des Markt- und Sozialforschungsinstitut gfs-zürich über die Cyberrisiken in Schweizer Klein- und Mittelunternehmen: Wenngleich ein Drittel der befragten Geschäftsführer schon einmal von einem Cyberangriff mittels Malware wie Viren oder Trojanern betroffen war, fühlen sich die meisten Unternehmenschefs trotzdem sehr gut geschützt. Denn nur jeder Fünfundzwanzigste der 300 Befragten schätzt die Gefahr sehr hoch ein, von einer Cyberattacke jemals ernsthaft gefährdet zu sein. 
Dies, obwohl nur drei von fünf Befragten angeben, in ihrem Unternehmen alle Cyber-Grundschutzmassnahmen wie Malware-Schutz, Firewall, Patch-Management und Backup voll und ganz umgesetzt zu haben. Erkennungssysteme und Prozesse zur Behandlung von Cybervorfällen wurden sogar nur von rund jedem fünften Unternehmen vollständig eingeführt und Mitarbeiter-Trainings über den sicheren Gebrauch der Informationstechnologie lediglich von rund jedem siebten Unternehmen.

Fazit: Es braucht eine ständige Sensibilisierung für die Gefahr von Cyberattacken

Unter Berücksichtigung der hohen Zahl an Betroffenen von Cyberangriffen und dem eher tiefen Fachwissen sowie den vergleichsweise noch wenig umgesetzten Sicherheitsmassnahmen, halten es die Studienautoren für empfehlenswert, die Sensibilität der Geschäftsführenden und Mitarbeitenden von kleinen und mittleren Unternehmen für das Risiko von Cyberattacken künftig noch zu stärken. 
Angesichts der nach wie vor steigenden Cyberrisiken sollte gemäss den Studienautoren sogar erwogen werden, im Bereich der Abwehr von Cyberattacken für Unternehmen bedarfsgerechte gesetzliche Mindeststandards einzuführen. Zumindest sollte rasch eine bessere Meldepflicht von Vorfällen und ein entsprechendes Warnsystem geschaffen werden.