Cyber-Angriffe sind auch bei der Spitex gang und gäbe

Ende August hat der Bund einen Minimalstandard mit 106 Massnahmen zur Cyber-Sicherheit veröffentlicht. Wie gehen Softwarefirmen der Spitex-Branche mit dem Problem um? Zwei marktführende Unternehmen nehmen Stellung zur Digitalisierung, die Schweizer Unternehmen grosse Chancen bietet, aber auch neue Gefahren birgt. Denn: Auch bei Spitex-Organisationen kommt es zu Attacken.

Laut einem Videobeitrag der NZZ waren im Jahr 2016 54 Prozent von befragten Schweizer Unternehmen von Cyberangriffen betroffen, 2017 waren es schon 88 Prozent, also beinahe neun von zehn Firmen. Auch in der Spitex-Branche sind solche Attacken gang und gäbe, wie Mathias Fischbacher, Leiter Systemtechnik der Informatikfirma Root-Service in Bürglen (TG), bestätigt. «Kunden von uns erhielten schon Verschlüsselungstrojaner.»

Glücklicherweise waren die Schäden bis jetzt nicht sehr hoch

Darunter versteht man eine schadhafte Software (Malware), welche die Daten auf dem Server verschlüsselt und für den Kunden unlesbar macht. Sie gelangen z.B. über eine E-Mail oder über das Hacken einer Website auf den Computer, für die Entschlüsselung werden oft hohe Geldsummen verlangt. Die Schäden seiner betroffenen Kunden seien zum Glück nicht sehr hoch gewesen, sagt Fischbacher, weil ein Backup vorhanden gewesen sei und man die Daten wiederherstellen konnte.

Bei der Firma Swing Informatik in Sursee tönt es ähnlich: Es gab schon Angriffe durch Verschlüsselungen von Kundendaten, der Schaden konnte aber innert weniger als vier Stunden Isolierung der betroffenen Systeme und Zurücksicherung eines aktuellen Backups wieder behoben werden, wie Geschäftsführer Hans-Peter Christen per E-Mail erläutert.

Einen absoluten Schutz gibt es nicht

Wie kann man sich vor Cyber-Angriffen schützen? «Einen absoluten Schutz gibt es nicht», meint Christen. Aber aktuelle Firewalls, Virenscanner und weitere Massnahmen erlaubten schon einen «weitgehenden technischen Schutz». Die Konkurrentin Root-Service bietet den Firmen, die sich nicht um solche Probleme kümmern möchten, externe Server mit regelmässigen Backups und umfassendem Virenschutz an.

Empfehlungen zur Cyber-Sicherheit
Ende August hat das Bundesamt für wirtschaftliche Landesversorgung einen «IKT-Minimalstandard» mit 106 zum Teil sehr detaillierten Empfehlungen zur Cyber-Sicherheit veröffentlicht. Diese beinhalten unter anderem den Schutz gespeicherter Daten (vor Verletzungen der Vertraulichkeit), Massnahmen gegen den Abfluss von Daten und auch die Mitarbeiterschulung. Der Minimalstandard zur Informations- und Kommunikationstechnologie (IKT) richtet sich vor allem an Betreiber kritischer Infrastrukturen wie zum Beispiel Spitäler und Energieversorger, das Thema betrifft aber grundsätzlich alle Unternehmen. Setzt die Swing Informatik die Empfehlungen um? «Wir richten uns nach den umfassenderen Vorschriften des Information Security Management Systems (ISMS), welche sich aus unserer ISO 27001-Zertifizierung ergeben» erklärt Christen. Dabei handelt es ich um ein weltweit anerkanntes Zertifikat für Cyber-Sicherheit. Daneben prüfe seine Firma weitere Möglichkeiten für Zertifizierungen im Bereich Datensicherheit.

Der richtige Umgang mit Cyber-Security muss gelebt werden

Die Root-Service, die neben Spitex-Organisationen auch Gärtnereien und KV-Angestellte mit Software beliefert, hat das ISO-Zertifikat 27001 zwar noch nicht, strebt es aber an. «Uns ist wichtig, dass der richtige Umgang mit Cyber-Sicherheit auch gelebt wird, und das Papier nach der Zertifizierung nicht einfach in einer Schublade verschwindet», sagt Fischbacher.

Das grösste Risiko ist laut der Einschätzung beider angefragter Softwarefirmen der Mensch. Man spricht von Social Engineering, wenn etwa die Hilfsbereitschaft oder Gutgläubigkeit von Menschen ausgenutzt wird. Zum Beispiel, wenn ein Mitarbeiter vom vermeintlichen Chef der Firma in einer gefälschten Mail am Freitag Abend angewiesen wird, noch rasch einen höheren Geldbetrag auf ein ausländisches Konto zu überweisen (im Fachjargon: CEO-Fraud). In vielen Fällen ist aber die E-Mail-Adresse nur ähnlich wie die des Firmenchefs, aber nicht identisch. «Man sollte also die E-Mailadresse des Absenders in jedem Fall genau prüfen», rät Fischbacher, und im Zweifelsfall nachfragen. Solche Vorkommnisse richteten bei den Kunden der Root-Service bisher zum Glück noch keine Schäden an.

Persönliche Passwörter alle drei Monate ändern

In einigen Firmen sei es schon schwierig, die Mitarbeitenden dazu anzuhalten, alle ein bis drei Monate ihr persönliches Passwort zu ändern, bilanziert Fischbacher. Dies wäre eigentlich empfehlenswert. Aber wenn die Kennwörter dann auf einen Zettel notiert und dieser vielleicht auf den Monitor geklebt würde, sei die Massnahme kontraproduktiv.