Disclose abonnieren
Urs Küderli
Partner, Leader Cybersecurity and Privacy, PwC Schweiz
Johannes Dohren
Director Cybersecurity, PwC Schweiz
Cyberkriminalität gehört heute zu den unternehmerischen Toprisiken, seit der pandemiegetriebenen Digitalisierung und dem aktuellen geopolitischen Konflikt erst recht. Noch immer glauben viele Unternehmen, sie wären davor gefeit. Doch die Angreifenden haben sich über die letzten Monate weiter professionalisiert. Sie attackieren alle, ganz unabhängig von Branche oder Betriebsgrösse. Mit einem geschärften Verständnis von Risiko, Cyberkriminellen, Methoden und gezielten Notfallmassnahmen können die Unternehmen ihre Cybersicherheit und -resilienz wesentlich steuern.
Die ökonomische Bedeutung des Themas Cybersicherheit lässt sich numerisch ausdrücken. 100 Prozent der Schweizer CEOs erachten Cybersecurity als Bedrohung für ihr Unternehmen. Im Jahr 2020 wurden 20’544 Fälle von Cyberkriminalität gemeldet, davon 16’395 als Cyberbetrug. Im Durchschnitt wird alle 11 Sekunden ein Schweizer Unternehmen mit einem Ransomware-Angriff konfrontiert.
Der durchschnittliche Schaden für ein mittelständisches Unternehmen in der Schweiz beläuft sich auf zirka 6 Mio. CHF. Schwere Angriffe mit Datendiebstahl und -verschlüsselung können 50 bis 150 Mio. CHF kosten, je nach Branche und Grösse. Fällt bei einer solchen Attacke die IT komplett aus, so dauert es gewöhnlich 5 bis 7 Tage, bis sich der Betrieb zumindest notdürftig wieder aufnehmen lässt. Vorausgesetzt, man weiss, wie man mit einem derartigen Ernstfall verfährt. Die Dunkelziffer der Schäden in der Schweiz – wie auch in jedem anderen Land – ist gross. Schätzungen gehen davon aus, dass Cyberkriminalität im Jahr 2021 weltweite Schäden von 6 Billionen USD verursacht hat und dass diese bis 2025 auf 10,5 Billionen USD jährlich ansteigen werden.
Noch bis vor Kurzem glaubten viele Unternehmen, sie wären nicht auf dem Radar der Angreifenden, etwa weil sie diesen zu klein wären oder nichts zu holen sei. Das ist eine Fehlannahme, was ebenfalls die Zahlen verdeutlichen: 2021 waren rund 55'000 Schweizer KMU mit 4 bis 49 Mitarbeitenden von einem Cyberangriff betroffen; 2020 waren es erst 38'000. Bei einem Viertel der gemeldeten Angriffsfälle entstand ein finanzieller Schaden, bei 6 Prozent ein Reputationsschaden; bei 7 Prozent kamen Kundendaten abhanden.
Der Vielfalt von Angriffsformen sind heute kaum Grenzen gesetzt. Als Basiswaffe dient den Angreifenden meist ein Schadprogramm (Malware), mit dem sie unerwünschte und gegebenenfalls schädliche Funktionen ausführen. Meistens dringen Kriminelle mit Phishing-E-Mails ins Unternehmen ein und bringen ihre Opfer dazu, ihre Malware zu nutzen. Daten werden zuerst gestohlen. Mit einer sogenannten Erpressersoftware (Ransomware) lässt sich mit Verschlüsselung des Systems der Zugriff auf Daten, deren Nutzung oder der Zugriff auf das ganze Computersystem verhindern und ein Lösegeld einfordern. Ransomware-Angriffe gehören zu den häufigsten Formen der letzten Monate und sind mit der Drohung zur Veröffentlichung der gestohlenen Daten und den zerstörten Systemen sehr effektiv. Ebenfalls häufig sind gross angelegte Distributed-Denial-of-Service-Angriffe (DDoS), mit denen Plattformen und Dienstleistungen stark verlangsamt oder zum Absturz gebracht werden. Neben Sachbeschädigung werden auch diese Angriffe häufig zu Erpressung genutzt.
Cyberkriminelle haben dann eine Chance, wenn sie Schwachstellen finden, die ihnen ein Eindringen ins Unternehmen ermöglichen. Als Haupteinfallstor gilt unbestritten das E-Mail und eine Attacke auf den Angriffspunkt Mensch. Die Verwundbarkeit durch Phishing-E-Mails hat durch die Pandemie und die fortgesetzte digitale Transformation der Unternehmen aufgrund von Remotearbeit und Home-Office zugenommen. Neue Prozesse, Isolation der Mitarbeitenden und der Einsatz neuer Technologien hat neue Risiken geschaffen. Auch bisherige IT-Strukturen können Schwachstellen aufweisen, zum Beispiel wenn veraltete Systeme und eigenentwickelte Applikationen nicht regelmässig mit Updates auf den neusten Stand gebracht und abgesichert werden.
Das Vorgehen von Cyberkriminellen hat sich in den letzten zwei Jahren grundlegend verändert. Ging es den Angreifenden früher darum, Informationen und Daten zu stehlen, zu verkaufen oder zu missbrauchen, so geht es ihnen heute darum, Unternehmen an ihrer Geschäftstätigkeit zu hindern und grossen Schaden durch Betriebsausfälle zu erzeugen oder ihre Opfer damit zu erpressen. Cyberkriminelle arbeiten durch hochgradige Automatisierung sehr effektiv, vernetzt und professionell. Zum Beispiel wissen sie oft sehr genau, welche Lösegeldsumme sie bei einer Erpressung verlangen können, damit das Opfer lieber zahlt, als die Sicherheitslücke behebt. Sie legen das Lösegeld knapp unter der zu erwartenden Schadenssumme fest.
Cybersecurity wird nicht nur für Unternehmen, sondern auch für Staats- und Regierungschefs immer wichtiger; schliesslich geht es auch um den Schutz der kritischen Infrastruktur und des Wirtschaftsstandorts. Die Aktivitäten der Schweiz in diesem Thema haben zugenommen, doch im internationalen Vergleich belegt die Schweiz Platz 42 von 182 bewerteten Nationen. Das Cybersecurity-Engagement der Schweiz ist nicht nur schlechter als jenes der topplatzierten Länder USA, Grossbritannien, Saudi-Arabien und Estland, sondern hinkt auch demjenigen der Nachbarländer Frankreich (Rang 9), Deutschland (Platz 13), Italien (Rang 20) und Österreich (Platz 29) hinterher. Derzeit sind Bestrebungen für eine flächendeckende Bekämpfung von Cyberkriminalität im Gang. Das Nationale Zentrum für Cybersicherheit (NCSC) wurde im Rahmen der bundesrätlichen Strategie zum Schutz der Schweiz vor Cyberrisiken ins Leben gerufen.
Weder das Schweizer Datenschutzgesetz (DSG) noch die Datenschutzgrundverordnung der EU (DSGVO) sehen aktuell eine gesetzmässige Verpflichtung zur Meldung von Cyberattacken generell vor. Trotzdem wird in gewissen Branchen bereits eine Meldepflicht verlangt, zum Beispiel von der Finanzmarktaufsichtsbehörde FINMA in der Finanzwelt oder von der Medicrime MKA im medizinischen Bereich.
Die Verfolgung von Cyberstraftaten ist hierzulande problematisch; die Täter sind schwer zu fassen, da sie meist in Ländern ohne oder mit unklarer Rechtsprechung sitzen. Damit eine Tat nach Schweizer Recht strafrechtlich verfolgt werden kann, muss ein Schaden nachweisbar sein, was nicht immer der Fall und schwierig zu berechnen ist. Anhand konsequenterer Meldungen liesse sich die Dunkelziffer von Schäden reduzieren. Aber es braucht mehr: Sollte die Meldepflicht gesetzlich vorgeschrieben werden, bleiben noch immer Fragen wie diese zu klären: Wer soll oder muss melden und wohin? Was passiert mit diesen Informationen? Werden sie verteilt? Wird ein Frühwarn- und Informationsaustauschsystem geschaffen? Wichtig ist, dass Meldungen tatsächlich Folgen haben. Nur so können die Unternehmen voneinander lernen und sich besser gegen Angriffe vorbereiten.
Schweizer Unternehmen können es sich schlicht nicht leisten, das Risiko Cybersicherheit zu ignorieren. Viele aktuelle Krisenpläne zielen darauf ab, Systeme und Daten so rasch als möglich wieder zugänglich zu machen, und setzen dabei auf Verfügbarkeit. Ist jedoch das Gesamtsystem betroffen, so nützt das wenig. Gerade im Bereich Resilienz gegen aktuelle Attacken haben die meisten Firmen grossen Nachholbedarf.
Ob ein Lösegeld bezahlt werden muss, sollte nie die Frage sein. Denn die Schwachstellen bestehen fort, die Angreifenden bleiben in der Infrastruktur. Nur die Cyberkriminellen selbst wissen mit Sicherheit, ob die Vertraulichkeit und Integrität der zurückerlangten Daten unversehrt geblieben ist. Die Kosten zur Bereinigung der IT-Umgebung, Verbesserung von Schutz und Sicherheit müssen zusätzlich zur Lösegeldzahlung geleistet werden. Nachfolgend fünf Empfehlungen, die Verantwortungs- und Entscheidungstragende traktandieren sollten:
In einem ersten Schritt werden die geschäftlichen Hauptrisiken festgelegt. Bei einem Fertigungsbetrieb ist das etwa der Ausfall der Produktionsanlage. In einer Anwaltskanzlei könnten es gestohlene Kundendaten oder der verunmöglichte Zugriff auf Mandate sein. In diesem Prozess sollten die Unternehmen Abhängigkeiten, Risiken und Ausfallszenarien aufzeichnen und sie entsprechend gewichten.
Nun gilt es zu verstehen, wie Angreifende agieren und welche firmenindividuellen Schwachstellen oder kritischen Themen vorliegen oder wie Angreifende diese ausnutzen würden. Zum Beispiel könnte ein DDoS-Angriff auf die Börse mit einer Verzögerung von 0,5 Sekunden im Handel einen enormen Schaden auslösen. Umgekehrt kann ein Produktionsbetrieb bei guter Vorbereitung ein bis zwei Tage auf die Produktion verzichten – etwa um ein Leck zu reparieren anstatt einer Erpressung nachzugeben.
Die Unternehmen sollten den Krisenfall detailliert planen, vom Beginn eines Hacks durch einen E-Mail-Trojaner über dessen Verbreitung im IT-System bis zum Eintreten des Ernstfalls. Entlang der gesamten Ereigniskette muss klar sein, wer entscheidet, was als Erstes wieder funktionieren muss und welche technischen und organisatorischen Massnahmen es dazu braucht. Dazu sollten die Unternehmen gezielt in «Was wäre, wenn ...?»-Szenarien denken.
Schutz und Prävention kombiniert bieten die Grundlage für Sicherheit und die Fähigkeit, Angriffe zu erkennen und auf diese zu reagieren. Resilienz entsteht vor allem dann, wenn man weiss, wie man im Notfall reagiert. Dazu gehört, dass man IT, Cybersicherheitsdispositiv und Personal up to date hält und regelmässig übt.
Kommunikation ist in allen Bereichen wichtig, von der Sensibilisierung der Mitarbeitenden über Verhalten vor, während und nach dem Notfall. In dieser Etappe wird aber auch festgelegt, wer, wie und wann Informationen im Angriff verbreitet und wann nicht.
Die Häufigkeit und Zahl von Cyberattacken ist explodiert, völlig unabhängig von der Branche oder Grösse der Unternehmen. Angriffe werden heute professionell und hochgradig automatisiert ausgeführt. So sieht sich ein kleines Unternehmen grösstenteils mit denselben Angreifenden und Angriffsmethoden konfrontiert wie ein Konzern. Mit dieser Dynamik hält das Verhalten der Unternehmen in der Schweiz nicht Schritt. Viele sehen sich noch immer nicht als potenzielles Ziel oder haben das mögliche Ausmass verstanden. Erpressungsopfer sind oft bereit zu zahlen, denn ohne Vorbereitung wird die Schadensbehebung ein Vielfaches teurer und dauert viel zu lange.
Zahlen ist keine Option: Denn so bleibt eine Organisation angreifbar und unterstützt kriminelle Organisationen, die auch vor Terror nicht zurückschrecken. Die Lösung heisst Vorbereitung. Deshalb müssen die Führungsverantwortlichen mit Szenarien die Geschäftsrisiken durch Cyberattacken und Lücken in ihren IT-Systemen freilegen und massgeschneiderte Pläne erarbeiten. Dieser Prozess kann dauern und sollte deshalb so rasch als möglich beginnen. Es ist nämlich nur eine Frage der Zeit, bis Klagen wegen Vernachlässigung der Aufsichtspflicht vor Gericht gebracht werden – oder bis zum nächsten Angriff.
#social#