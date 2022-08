Cyberkriminalität Emonitor St.Gallen ist gegen Cyberattacken gerüstet – der Technologiechef sagt: «Die Daten sind im schlimmsten Fall weg» Unternehmen wie das St.Galler Start-up Emonitor arbeiten mit vielen Personendaten. Täglich greifen Hacker etwa Tausende Mal nach dem Zufallsprinzip an. Der Schutz ist wichtig und auch das neue Datenschutzgesetz. Interview: Stefan Borkert Jetzt kommentieren 25.08.2022, 05.00 Uhr

Emonitor in St.Gallen digitalisiert Vermietung und Verkauf von Wohnungen und Häusern. Bild: Getty

Cyberkriminalität nimmt immer mehr zu. Unternehmen, die mit vielen Personendaten arbeiten, sind ein beliebtes Ziel der Hacker. Marcel Wehrle ist aufgewachsen in Wittenbach und Technologiechef des St.Galler Start-ups Emonitor AG. Zusammen mit seinem Team digitalisiert er Vermietungs- und Verkaufsprozesse von Immobilien für Kunden in der Schweiz. Das neue Datenschutzgesetz, das im September 2023 in Kraft treten wird, hält er für wichtig und richtig.

Wie viel Cyberattacken haben Sie als Sicherheitsspezialist schon abwehren können?

Die Emonitor AG ist ein Start-up im Immobilienbereich. Mit unseren Softwarelösungen digitalisieren wir den Vermietungs- und Verkaufsprozess. Wir sind ein kleines Team und finanzielle Mittel und personelle Ressourcen sind begrenzt. Nichtsdestotrotz arbeiten wir natürlich mit Daten von potenziellen Mietern und Immobilieninteressenten. Deshalb sind wir hier in der Pflicht, uns stets bestmöglich auf sich ändernde Bedrohungslagen einzustellen.

Marcel Wehrle, Technologiechef Emonitor AG, St.Gallen. Bild: PD

Wird Emonitor häufig von Cyberkriminellen attackiert?

In meiner Laufzeit gab es lediglich zwei gezielte Attacken. Wir sind Tausenden zufälligen Attacken täglich ausgesetzt, bei denen von Hackern auf Zufallsbasis Sicherheitslücken gesucht werden.

Wie wird dann reagiert?

Sobald etwas Auffälliges passiert, erhalten wir eine Warnmeldung. Dann reagiert das Team sehr schnell. Das Problem wird analysiert und man probiert die Attacke auszuschliessen vom restlichen Code der Software oder Website. Unsere Back-ups erlauben uns dann eine Notfallwiederherstellung zu machen von den Daten bis zum Zeitpunkt, zu dem der Angriff stattfand. Da die Daten in unserer Software unseren Kunden gehören, ist es unsere Pflicht, unsere Kunden über jeden Hacking-Angriff zu informieren,

Das neue Datenschutzgesetz soll nun im September 2023 eingeführt werden. Es verspricht mehr Sicherheit. Tatsächlich?

Das aktuelle Datenschutzgesetz (DSG) stammt noch aus dem Jahr 1992. Lange vor Google, Facebook und Smartphones. Insofern ist die Revision richtig und wichtig. Nicht zuletzt auch, um das DSG an die technologischen Entwicklungen und neuen internationalen Standards anzupassen. Mit Privacy-by-Design (Privatsphäre durch Gestaltung) und Privacy-by-Default (Datenschutz durch Voreinstellung) werden zwei wichtige Konzepte Teil des DSG, welche neben einer erhöhten Sicherheit oft auch der Benutzererfahrung, der User Experience zugutekommen. Im Idealfall genügt das revidierte DSG künftig den europäischen Anforderungen, wodurch sich für Schweizer Unternehmen die Rechtslage mit Kunden aus EU und EWR vereinfacht.

Ein Gesetz allein bringt noch keine Sicherheit, oder?

Ja. Am Ende hat unser privates, individuelles Onlineverhalten den wohl grössten Einfluss auf die Sicherheit unserer persönlichen Daten. Wir sollten hinterfragen, wieso wir, ohne uns wirklich damit auseinander zu setzen, persönliche Informationen für Gratisapps und Gewinnspiele preisgeben und Social-Media-Plattformen Zugang zu unseren Kontakten und Metadaten erlauben.

Emonitor arbeitet mit vielen Personendaten. Was muss angepasst werden und reicht dafür die erneute Verlängerung?

Unsere Software hilft unseren Kunden, den passenden Mieter oder die passende Käuferin für ihre Immobilien zu finden. Während diesem Prozess werden auch detaillierte Mieterdaten abgefragt. Unsere Kunden werden genau überprüfen müssen, welche Daten sie weiterhin abfragen dürfen. Ob sie diese überhaupt benötigen und für was sie verwendet werden. Manche Daten können dann als Konsequenz nur noch effektiv dann abgefragt werden, wenn es zu einem Vertragsabschluss mit dem Interessenten kommt.

Bei Immobiliengeschäften fallen viele Daten an, auf die es Hacker abgesehen haben können. Bild: Getty

Mitarbeitende sollen die Schwachstelle sein bei Cyberattacken. Wirklich?

Die meisten erfolgreichen Hackerangriffe auf Unternehmen können durchgeführt werden, weil Mitarbeitende nicht aufmerksam genug sind. Dies aber nie willentlich. Wo Menschen arbeiten, passieren Fehler und diese Fehler machen sich die Cyberkriminellen zu Nutzen. Sei es, weil es eine Sicherheitslücke im Code gibt oder weil man auf ein Phishing-Mail reagiert.

Wie verhält es sich bei Emonitor?

Emonitor ist noch ein junges und relativ kleines Unternehmen und unsere Mitarbeiter sind aufgrund des Geschäftsfeldes, in dem wir uns bewegen, von Haus aus digital affin und technisch versiert. Zudem sensibilisieren wir unsere Mitarbeiter regelmässig auf aktuelle Gefahren und schulen sie dementsprechend. Ausserdem gibt es ein klares Rollen- und Zugriffskonzept. Das heisst, dass selbst, wenn man Zugriff erhält, ist es nicht möglich, Daten im grossen Stil zu entwenden. Um die Daten der Kunden zu schützen, muss man auf sie zugreifen können.

Cyberkriminelle versuchen immer wieder Daten von Unternehmen zu erbeuten oder mit Erpressung Geld zu verdienen. Bild: Pixabay

Server sind doch sicher auch beliebte Angriffsziele?

Das ist richtig, unsere Server sind die grösste Angriffsfläche, die wir haben, da wir digitale Produkte herstellen. Hier gibt es mittlerweile aber viele gute und effiziente Möglichkeiten, um sich zu schützen. Wir sind hier auf dem letzten Stand der Technik.

Auch bei Vermietungen und Immobilienverwaltungen sammeln sich Daten an. Ist Emonitor für den Schutz vorbereitet?

Unsere Software deckt bis jetzt nur einen Teilbereich des Vermietungsprozesses ab. Während diesem Prozess fallen aber auch viele schützenswerte, persönliche Daten an. Wir bereiten uns vor, indem wir auf dem letzten Stand der Technik sind, unser Team entsprechend aufstellen und Daten, die nicht mehr relevant sind, regelmässig löschen.

Hier gibt es eine Grauzone, denn der Mieter hat die Hoheit über seine Daten aber der Vermieter darf sie verarbeiten. Das könnte zu Problemen führen, oder?

Mithilfe unserer Software kann der Vermieter beurteilen, ob ein Bewerber für sein Projekt passend ist oder nicht. Deshalb muss er gewisse Daten abfragen und auch verarbeiten. Im Falle eines Hauskaufes zum Beispiel, muss im Voraus die Bonität abgefragt werden können.

Versicherungen gegen Cyberangriffe kommen auf den Markt. Nutzen die denn überhaupt etwas?

Wenn das System down ist, nützt mir das Geld von der Versicherung erstmal ja nichts. Die Daten sind im schlimmsten Fall weg. Da kann man auch nicht viel dagegen machen, ausser vorbeugende Massnahmen ergreifen. Versicherungen sind dazu da, um für den entstandenen Schaden aufzukommen, sind also immer reaktiv. Den Schaden gibt es bereits. Bei den besagten Versicherungen kümmert sich ein Team von Experten darum, den Schaden möglichst zu begrenzen. Zudem kann man den Umsatzausfall abdecken, der entsteht, während das System down ist.

Fünf Tipps für den Schutz vor Cyberattacken Marcel Wehrle hat ein paar Vorschläge, wie man Hackerangriffen vorbeugen kann: Augen auf bei der Datenabfrage: Ist diese Datenabfrage nun wirklich nötig? Daten besser nicht preisgeben, wenn der Anbieter nicht vertrauenswürdig aussieht oder es nicht dringend nötig ist. Software und Tools immer updaten: Alle Softwarelösungen und digitalen Tools up to date halten. Sicherheitslücken tauchen täglich auf. Diese werden von den Anbietern mit Updates ausgemerzt. Kritisches Denken im täglichen Mailverkehr: E-Mails nicht blind vertrauen, nur weil gerade viel zu tun ist und noch 150 weitere ungelesene Nachrichten im Posteingang warten. E-Mail erst prüfen, zum Beispiel die Echtheit des Absenders, bevor eine darin enthaltene Handlungsanweisung befolgt wird. Passwortmanager nutzen: Passwortmanager erlauben es, für jeden Login ein unterschiedliches und kompliziertes Passwort zu generieren, was die Sicherheit extrem erhöht. Zudem kann man mit ihnen die erstellten Passwörter verwalten und muss sich nicht mehr alle merken oder händisch aufschreiben. Vorsicht auch im Homeoffice: Arbeiten von daheim birgt neben all der Vorteile auch Risiken. Eine speziell eingerichtete Firewall und Benutzerkontrolle fehlen in den meisten Fällen. Dazu kommt noch ein WLAN, das häufig nicht sicher genug ist. Diese drei Punkte sollten überprüft und gegebenenfalls angepasst werden.

