Um die Cybersicherheit von kleinen und mittleren Unternehmen (KMU) der Schweiz ist es nicht zum Besten bestellt. Oft fehlt es selbst an einfachsten Massnahmen wie Patches, um jahrealte Sicherheitslücken zu schliessen. Die Cyberkriminellen freuen sich, die IT-Feuerwehr des Nationalen Zentrums für Cybersicherheit (NCSC) ärgert sich. Das Zentrum hat nun seinen Halbjahresbericht dem Thema gewidmet.

Die kleinen und mittleren Firmen unterscheiden sich stark nach Branche, Budget, Exponiertheit und Sicherheitsmassnahmen. Das eine KMU gibt es also nicht. Die grundsätzlichen Ratschläge des NCSC sind aber immer dieselben: umsichtige Digitalisierung, Unterstützung durch Fachpersonen, integrales Risikomanagement, klare Sicherheits-Vereinbarungen mit externen IT-Dienstleistern, Schulung der Mitarbeitenden, Vorbereitung auf den Ernstfall.

Dieser tritt oft ein, weil Firmen ihre Systeme nicht klug konfigurieren, so das NCSC. Eine Infektion mit Ransomware ist neben E-Mails oder Links mit schädlichen Inhalten vor allem auf Schwachstellen und die schlechte Konfiguration zurückzuführen. Laut einer Studie von Microsoft (PDF) sollen 80% der Angreifer in Ransomware-Vorfällen von allgemeinen Konfigurationsfehlern bei Software und Geräten profitieren.

Dazu kommen offen einsehbare Konfigurationsdateien, die in einem Verzeichnis auf einem Webserver zu finden sind. Ein verbreitetes Beispiel sind die Dateien, welche von der Versionierung-Software Git erstellt werden, da im Ordner ".git" der gesamte Quellcode gespeichert wird. 1300 Systeme seien in der Schweiz identifiziert worden, die über diesen Weg angreifbar waren, schreibt das NCSC, das die Betreiber benachrichtigte.

Da sich viele Firmen mittlerweile mit Backups vor Ransomware schützen, werde die Erpressung mit geleakten Informationen wichtiger, hält das NCSC fest. Kurz: Schützen Sie Ihre sensiblen Daten!

Mit einem zeitnahen Patch-Management, einer regelmässigen Überprüfung der Systemkonfiguration, sowie dem konsequenten Verwenden von Zwei-Faktor-Authentifizierung sollte das Risiko schon gemindert werden. Für Entwickler gilt generell: Sensitive oder geheime Daten wie Passwörter oder API-Keys sollten niemals im Quellcode oder in der Applikation selbst abgelegt sein.

Der Bericht des NCSC kann von dessen Website heruntergeladen werden.