Wer zahlt, bleibt angreifbar

Fakten sprechen Bände

Die ökonomische Bedeutung des Themas Cybersicherheit lässt sich numerisch ausdrücken. 100 Prozent der Schweizer CEOs erachten Cybersecurity als Bedrohung für ihr Unternehmen. Im Jahr 2020 wurden 20’544 Fälle von Cyberkriminalität gemeldet, davon 16’395 als Cyberbetrug. Im Durchschnitt wird alle 11 Sekunden ein Schweizer Unternehmen mit einem Ransomware-Angriff konfrontiert.

Der durchschnittliche Schaden für ein mittelständisches Unternehmen in der Schweiz beläuft sich auf zirka 6 Mio. CHF. Schwere Angriffe mit Datendiebstahl und -verschlüsselung können 50 bis 150 Mio. CHF kosten, je nach Branche und Grösse. Fällt bei einer solchen Attacke die IT komplett aus, so dauert es gewöhnlich 5 bis 7 Tage, bis sich der Betrieb zumindest notdürftig wieder aufnehmen lässt. Vorausgesetzt, man weiss, wie man mit einem derartigen Ernstfall verfährt. Die Dunkelziffer der Schäden in der Schweiz – wie auch in jedem anderen Land – ist gross. Schätzungen gehen davon aus, dass Cyberkriminalität im Jahr 2021 weltweite Schäden von 6 Billionen USD verursacht hat und dass diese bis 2025 auf 10,5 Billionen USD jährlich ansteigen werden.

Noch bis vor Kurzem glaubten viele Unternehmen, sie wären nicht auf dem Radar der Angreifenden, etwa weil sie diesen zu klein wären oder nichts zu holen sei. Das ist eine Fehlannahme, was ebenfalls die Zahlen verdeutlichen: 2021 waren rund 55'000 Schweizer KMU mit 4 bis 49 Mitarbeitenden von einem Cyberangriff betroffen; 2020 waren es erst 38'000. Bei einem Viertel der gemeldeten Angriffsfälle entstand ein finanzieller Schaden, bei 6 Prozent ein Reputationsschaden; bei 7 Prozent kamen Kundendaten abhanden.

Vielfältige Angriffsformen

Der Vielfalt von Angriffsformen sind heute kaum Grenzen gesetzt. Als Basiswaffe dient den Angreifenden meist ein Schadprogramm (Malware), mit dem sie unerwünschte und gegebenenfalls schädliche Funktionen ausführen. Meistens dringen Kriminelle mit Phishing-E-Mails ins Unternehmen ein und bringen ihre Opfer dazu, ihre Malware zu nutzen. Daten werden zuerst gestohlen. Mit einer sogenannten Erpressersoftware (Ransomware) lässt sich mit Verschlüsselung des Systems der Zugriff auf Daten, deren Nutzung oder der Zugriff auf das ganze Computersystem verhindern und ein Lösegeld einfordern. Ransomware-Angriffe gehören zu den häufigsten Formen der letzten Monate und sind mit der Drohung zur Veröffentlichung der gestohlenen Daten und den zerstörten Systemen sehr effektiv. Ebenfalls häufig sind gross angelegte Distributed-Denial-of-Service-Angriffe (DDoS), mit denen Plattformen und Dienstleistungen stark verlangsamt oder zum Absturz gebracht werden. Neben Sachbeschädigung werden auch diese Angriffe häufig zu Erpressung genutzt.

Alte und neue Schwachstellen

Cyberkriminelle haben dann eine Chance, wenn sie Schwachstellen finden, die ihnen ein Eindringen ins Unternehmen ermöglichen. Als Haupteinfallstor gilt unbestritten das E-Mail und eine Attacke auf den Angriffspunkt Mensch. Die Verwundbarkeit durch Phishing-E-Mails hat durch die Pandemie und die fortgesetzte digitale Transformation der Unternehmen aufgrund von Remotearbeit und Home-Office zugenommen. Neue Prozesse, Isolation der Mitarbeitenden und der Einsatz neuer Technologien hat neue Risiken geschaffen. Auch bisherige IT-Strukturen können Schwachstellen aufweisen, zum Beispiel wenn veraltete Systeme und eigenentwickelte Applikationen nicht regelmässig mit Updates auf den neusten Stand gebracht und abgesichert werden.

Könner ihres Metiers

Das Vorgehen von Cyberkriminellen hat sich in den letzten zwei Jahren grundlegend verändert. Ging es den Angreifenden früher darum, Informationen und Daten zu stehlen, zu verkaufen oder zu missbrauchen, so geht es ihnen heute darum, Unternehmen an ihrer Geschäftstätigkeit zu hindern und grossen Schaden durch Betriebsausfälle zu erzeugen oder ihre Opfer damit zu erpressen. Cyberkriminelle arbeiten durch hochgradige Automatisierung sehr effektiv, vernetzt und professionell. Zum Beispiel wissen sie oft sehr genau, welche Lösegeldsumme sie bei einer Erpressung verlangen können, damit das Opfer lieber zahlt, als die Sicherheitslücke behebt. Sie legen das Lösegeld knapp unter der zu erwartenden Schadenssumme fest.

Schweiz kommt nicht in die Kränze

Cybersecurity wird nicht nur für Unternehmen, sondern auch für Staats- und Regierungschefs immer wichtiger; schliesslich geht es auch um den Schutz der kritischen Infrastruktur und des Wirtschaftsstandorts. Die Aktivitäten der Schweiz in diesem Thema haben zugenommen, doch im internationalen Vergleich belegt die Schweiz Platz 42 von 182 bewerteten Nationen. Das Cybersecurity-Engagement der Schweiz ist nicht nur schlechter als jenes der topplatzierten Länder USA, Grossbritannien, Saudi-Arabien und Estland, sondern hinkt auch demjenigen der Nachbarländer Frankreich (Rang 9), Deutschland (Platz 13), Italien (Rang 20) und Österreich (Platz 29) hinterher. Derzeit sind Bestrebungen für eine flächendeckende Bekämpfung von Cyberkriminalität im Gang. Das Nationale Zentrum für Cybersicherheit (NCSC) wurde im Rahmen der bundesrätlichen Strategie zum Schutz der Schweiz vor Cyberrisiken ins Leben gerufen.

Bitte melden

Weder das Schweizer Datenschutzgesetz (DSG) noch die Datenschutzgrundverordnung der EU (DSGVO) sehen aktuell eine gesetzmässige Verpflichtung zur Meldung von Cyberattacken generell vor. Trotzdem wird in gewissen Branchen bereits eine Meldepflicht verlangt, zum Beispiel von der Finanzmarktaufsichtsbehörde FINMA in der Finanzwelt oder von der Medicrime MKA im medizinischen Bereich.

Die Verfolgung von Cyberstraftaten ist hierzulande problematisch; die Täter sind schwer zu fassen, da sie meist in Ländern ohne oder mit unklarer Rechtsprechung sitzen. Damit eine Tat nach Schweizer Recht strafrechtlich verfolgt werden kann, muss ein Schaden nachweisbar sein, was nicht immer der Fall und schwierig zu berechnen ist. Anhand konsequenterer Meldungen liesse sich die Dunkelziffer von Schäden reduzieren. Aber es braucht mehr: Sollte die Meldepflicht gesetzlich vorgeschrieben werden, bleiben noch immer Fragen wie diese zu klären: Wer soll oder muss melden und wohin? Was passiert mit diesen Informationen? Werden sie verteilt? Wird ein Frühwarn- und Informationsaustauschsystem geschaffen? Wichtig ist, dass Meldungen tatsächlich Folgen haben. Nur so können die Unternehmen voneinander lernen und sich besser gegen Angriffe vorbereiten.

Lieber jetzt als zu spät

Schweizer Unternehmen können es sich schlicht nicht leisten, das Risiko Cybersicherheit zu ignorieren. Viele aktuelle Krisenpläne zielen darauf ab, Systeme und Daten so rasch als möglich wieder zugänglich zu machen, und setzen dabei auf Verfügbarkeit. Ist jedoch das Gesamtsystem betroffen, so nützt das wenig. Gerade im Bereich Resilienz gegen aktuelle Attacken haben die meisten Firmen grossen Nachholbedarf. 

Ob ein Lösegeld bezahlt werden muss, sollte nie die Frage sein. Denn die Schwachstellen bestehen fort, die Angreifenden bleiben in der Infrastruktur. Nur die Cyberkriminellen selbst wissen mit Sicherheit, ob die Vertraulichkeit und Integrität der zurückerlangten Daten unversehrt geblieben ist. Die Kosten zur Bereinigung der IT-Umgebung, Verbesserung von Schutz und Sicherheit müssen zusätzlich zur Lösegeldzahlung geleistet werden. Nachfolgend fünf Empfehlungen, die Verantwortungs- und Entscheidungstragende traktandieren sollten:

1. Risiken und deren Folgen für das Unternehmen einordnen

In einem ersten Schritt werden die geschäftlichen Hauptrisiken festgelegt. Bei einem Fertigungsbetrieb ist das etwa der Ausfall der Produktionsanlage. In einer Anwaltskanzlei könnten es gestohlene Kundendaten oder der verunmöglichte Zugriff auf Mandate sein. In diesem Prozess sollten die Unternehmen Abhängigkeiten, Risiken und Ausfallszenarien aufzeichnen und sie entsprechend gewichten.

2. Angreifende und Methoden verstehen

Nun gilt es zu verstehen, wie Angreifende agieren und welche firmenindividuellen Schwachstellen oder kritischen Themen vorliegen oder wie Angreifende diese ausnutzen würden. Zum Beispiel könnte ein DDoS-Angriff auf die Börse mit einer Verzögerung von 0,5 Sekunden im Handel einen enormen Schaden auslösen. Umgekehrt kann ein Produktionsbetrieb bei guter Vorbereitung ein bis zwei Tage auf die Produktion verzichten – etwa um ein Leck zu reparieren anstatt einer Erpressung nachzugeben.

3. Cyberattacke als Krisenfall planen

Die Unternehmen sollten den Krisenfall detailliert planen, vom Beginn eines Hacks durch einen E-Mail-Trojaner über dessen Verbreitung im IT-System bis zum Eintreten des Ernstfalls. Entlang der gesamten Ereigniskette muss klar sein, wer entscheidet, was als Erstes wieder funktionieren muss und welche technischen und organisatorischen Massnahmen es dazu braucht. Dazu sollten die Unternehmen gezielt in «Was wäre, wenn ...?»-Szenarien denken.

4. Sich schützen und Attacken vorbeugen

Schutz und Prävention kombiniert bieten die Grundlage für Sicherheit und die Fähigkeit, Angriffe zu erkennen und auf diese zu reagieren. Resilienz entsteht vor allem dann, wenn man weiss, wie man im Notfall reagiert. Dazu gehört, dass man IT, Cybersicherheitsdispositiv und Personal up to date hält und regelmässig übt.

5. Gezielt kommunizieren

Kommunikation ist in allen Bereichen wichtig, von der Sensibilisierung der Mitarbeitenden über Verhalten vor, während und nach dem Notfall. In dieser Etappe wird aber auch festgelegt, wer, wie und wann Informationen im Angriff verbreitet und wann nicht.