Cyberattacken - RansomwarePflichten des Arbeitgebers

Ransomware (ransom = engl. für Lösegeld), ist unter dem geläufigeren Begriff Erpressungstrojaner bekannt. Dabei verschlüsselt ein Hacker mittels einer Software die Computerdateien oder Netzlaufwerke, um sie befristet oder generell unbrauchbar zu machen. Gegen eine Lösegeldzahlung wird die Verschlüsselung im besten Falle aufgehoben.

Gemäss einer Studie von safetydetectives.com geht man im Jahr 2021 von einem weltweiten Schaden infolge Ransomware Attacken von 20 Milliarden USD aus. Die einzelne Zahlung ist durchschnittlich nur 6’500 USD pro Angriff, wobei aber der Schaden pro Fall rund 380’000 USD beträgt, den Vertrauensverlust und die Ersatzmassnahmen nicht eingerechnet. Attackiert wurde in den USA letztes Jahr jedes zweite Unternehmen – die Bedrohung ist also real und das Schadensrisiko immens. Die Stadtverwaltung in Atlanta musste nach einer Ransomware Attacke 5 Tage geschlossen werden, nachdem 8’000 Computer lahmgelegt worden waren. Der Lösegeldforderung von USD 51’000 stand ein daraus resultierender Schaden von USD 2.7 Mio gegenüber.

Wie muss man als Arbeitgeber auf das Risiko von Cyberattacken reagieren?

Wir empfehlen auf 3 Ebenen gegen Cyber-Attacken wie Ransomware vorbereitet zu sein:

1. Technisch:

Stellen Sie sicher, dass Ihre Informatik up to date ist, Virenscanner und Spamfilter aufdatiert und sauber lizenziert sind (67% der Attacken erfolgen so), vertrauensvolle Software installiert ist (oft werden SaaS Applikationen wie Dropbox oder Office 365 als Zugang verwendet), und dass Sie regelmässig ein Back-Up machen. Eine Back-Up-Datei sollte auch nicht nach einer Woche bereits überschrieben oder gelöscht werden – Cyberattacken können lange dauern, denn der Informationsgewinn in der Zeit des unerlaubten Datenzugriffs ist oft eine zweite Einnahmequelle der Hacker.

Planen Sie auch aus technischer Warte das Worst-Case Szenario. Wechseln Sie regelmässig Passwörter und wählen Sie harte Passwörter (30% der Attacken sind möglich wegen unvorsichtiger Verwendung von Passwörtern). Lassen Sie mal ein Back-Up wieder aufspielen – einfach um sicher zu sein, dass Plan B auch funktioniert.

Sind wertvolle Geschäftsgeheimnisse vorhanden, müssen diese angemessen gelagert und gesichert sein. Der physische Zugriffschutz ist gegebenenfalls sicherer, als eine elektronische Verschlüsselung.

2. Menschlich:

Die unbewusste Zugangsgewährung durch die eigenen Mitarbeiter ist in den meisten Fällen die Ursache einer Cyberattacke. Der Klick auf einen Link, das Öffnen einer unbekannten Mail oder die Antwort auf automatisierte Umfragen sind nur einige Beispiele. Dies wird umso schwieriger, als diese E-Mails zwischenzeitlich immer häufiger seriös erscheinen und so im ersten Moment kaum noch als verdächtig erkannt werden – der Klick ist passiert und der Cyberangriff war erfolgreich.

Hier hilft nur regelmässiges Training und Tests, Sensibilisierung, klare Richtlinien und Verantwortlichkeiten sowie ein Desaster Plan.

Informieren Sie Ihre Mitarbeiter immer wieder über die neusten Versuche, an Ihre Daten und an Ihre Vermögenswerte ranzukommen.

Eine Cyberattacke sollte mit den Mitarbeitern auch zu Übungszwecken simuliert durchgespielt werden. Nur so geben Sie den Mitarbeitern die Fähigkeit, Entscheide schnell und doch bedacht zu fällen und nicht in zögerlicher Haltung den Schaden zu multiplizieren.

Ein bekanntes qualifiziertes Dienstleistungsunternehmen gab an, dass selbst mit einem Tag Training pro Jahr noch 40 Prozent der Mitarbeiter unbekannte Mails öffnen und auf Links klicken, deren Herkunft sie nicht kennen. Die Realität ist eben anders als die Theorie.

3. Finanziell:

Kümmern Sie sich um eine gute Cyber-Versicherung. Sie kann einen Angriff nicht verhindern aber den Schaden in Grenzen halten.

Prüfen Sie, was für ein Schaden aus einer Verschlüsselung der Daten oder aus einem Datendiebstahl erfolgen kann und ob Geschäftsgeheimnisse besonders geschützt werden müssen.

Einzelunterschrift auf Bankkonti sollten in einem Unternehmen nicht der Standard sein. Alle Vermögenswerte auf nur einer Bank oder auf einem Wallet sind längst nicht mehr zeitgemäss. Schaffen Sie Tatsachen, die es einem Angreifer erschweren, die gesamte Existenz Ihres Unternehmens in Frage zu stellen.

FAZIT:

Als Verwaltungsrat oder Geschäftsführer haben Sie die Pflicht, sicherzustellen, dass Ihr Unternehmen auf die Gefahr einer Cyber-Attacke und/oder Datendiebstahl reagieren kann.

Thematisieren Sie Cyberrisiken im jährlichen Risiko Report und dokumentieren Sie die getroffenen technischen Massnahmen, die Schulungen, die Tests, die Richtlinien und den Desaster Plan. Nur so können Sie eine angemessene sorgfältige Geschäftsführung belegen und das Risiko einer Cyberattacke mit dem damit verbundenen Schaden und Kollateralschaden allenfalls frühzeitig reduzieren.

Mit der Kenntnis der hohen Wahrscheinlichkeit einer Cyberattacke dürfen Sie als Organ der Gesellschaft dieses Thema nicht ausblenden.

Haben Sie Fragen? Das HütteLAW Team berät Sie gerne.

Autor: Martin Hütte / 04. Aug. 2021, 12:35

Name	Domain	Zweck	Ablauf	Art
YSC	youtube.com	YouTube session cookie.	54 years	HTTP
wp-wpml_current_language	www.huettelaw.ch	---	54 years	---
wpl_user_preference	www.huettelaw.ch	WP GDPR Cookie Consent Preferences	1 year	HTTP

HütteLAW AG

Weiterer Standort

Kontakt

Haben Sie Fragen?

Follow us