In der Schweiz kommt es jede Woche zu Hunderten von Cyberangriffen – und das sind nur die gemeldeten Fälle. Um die Cyberresilienz langfristig zu erhöhen, brauchen Firmen nicht nur effiziente Schutzmassnahmen, sondern auch eine klare Strategie.
Im vergangenen Herbst verschafften sich Hacker Zugriff auf die Datenbank der grössten australischen Krankenversicherung Medibank. Bei der Attacke wurden sensible Informationen von Millionen Kunden gestohlen. Nachdem sich Medibank weigerte, das geforderte Lösegeld zu zahlen, begannen die Täter, sensible Daten im Darknet zu veröffentlichen. Im Zuge des Angriffs brach der Börsenkurs ein und der Handel musste über mehrere Tage ausgesetzt werden. «Das Topmanagement und der Verwaltungsrat kamen in Erklärungsnot, da sie auf sowas schlicht nicht vorbereitet waren», sagt Gabor Jaimes, Cyber Experte beim SVV. Attacken wie diese ereignen sich aber längst nicht nur auf der anderen Seite der Erdkugel: So wurde im November 2022 auch der Berner Cloud-Anbieter Infopro Opfer einer Cyberattacke. In der Folge standen zum Beispiel rund 50'000 (!) Winbiz-Kunden wochenlang ohne Cloud-Hosts oder Rechnungs-, Buchhaltungs- und Gehaltsverwaltungssoftware da.
«Wer heute noch ohne Datenbackup, Firewall und starken Passwörter unterwegs ist, handelt fahrlässig.»
Jede Firma ist potenzielles Ziel
Die Liste könnte noch lange weitergeführt werden, schliesslich vergeht kaum ein Tag, an dem nicht irgendwo ein grösserer Cyberangriff für Schlagzeilen sorgt. «Fälle wie Winbiz oder Medibank sollten für alle Schweizer Unternehmen ein Weckruf sein», betont deshalb Gabor Jaimes. Für ihn ist klar: «Jede Firma ist ein potenzielles Angriffsopfer.» Umso erstaunlicher sei es laut Jaimes, dass in Sachen Prävention und Sicherheitsstandards bei vielen Betrieben noch grosser Nachholbedarf bestehe. Jaimes zieht den Vergleich zum Strassenverkehr: «Früher waren die Leute ohne Gurt und Airbag unterwegs, mittlerweile wissen wir es besser.» Im Cyberbereich sei es ähnlich: «Auch wenn es einem mühsam erscheint: Wer heute noch ohne Datenbackup, Firewall und starken Passwörter unterwegs ist, handelt fahrlässig.»
Mehr Transparenz könnte viel bringen
Tatsache ist aber auch, dass das Thema Cybersicherheit in den vergangenen Jahren auch in der Schweiz verstärkt in den Fokus gerückt ist. Das betont jedenfalls Florian Schütz, Leiter des Nationalen Zentrums für Cybersicherheit NCSC. Die wachsende Aufmerksamkeit bewertet er als positiv: «Das zunehmende Bewusstsein sowie die verstärkte Berichterstattung in den Medien führte dazu, dass viele Unternehmen, die heute Opfer eines Cyberangriffs geworden sind, eher an die Öffentlichkeit gehen.» Dennoch gebe es immer noch Unternehmen, die daraus ein Geheimnis machen. «Das müsste sich ändern», betont Schütz. Denn je transparenter die Angriffe dokumentiert und das Vorgehen der Angreifer festgehalten werde, desto besser könnten andere potenzielle Opfer gewarnt werden. «Mehr Transparenz könnte in diesem Bereich sehr viel bringen», ist Schütz überzeugt.
Rund 700 Meldungen gehen pro Woche ein
Das Nationale Zentrum für Cybersicherheit NCSC erhält aktuell rund 700 Meldungen pro Woche, was laut Schütz einem hohen Niveau entspricht. Besonders oft komme es aktuell zu Betrugsversuchen sowie Ransomware-Angriffen. Angebliche Drohmails von Strafverfolgungsbehörden – so genannte Fake-Extortion-E-Mails – machen circa einen Drittel der beim NCSC eingegangen Meldungen aus. «Das Motiv der meisten Cyberkriminellen ist und bleibt wohl auch in Zukunft, mit wenig Aufwand möglichst viel Profit zu machen», weiss Schütz. «Daher gelten Angriffe nicht einer bestimmten Institution, einem Unternehmen, Personen oder einer bestimmten Branche. Angreifer suchen sich viel mehr Schwachstellen, die sie für ihre Zwecke missbrauchen können.»
«Mit den richtigen Schutzmassnahmen lassen sich viele Cyberangriffe verhindern.»
Laut dem Delegierten des Bundes für Cybersicherheit können auch die Versicherungen beim Thema Cybersicherheit eine wichtige Rolle übernehmen. «Eine Versicherung ist ein valides Mittel», sagt Schütz. Aber: «Sie schützt einen nicht vor Reputationsschäden.» Bei der Cybersicherheit sollte somit nicht die primäre Frage sein, wie sich eine Unternehmung bestmöglich gegen Cyberangriffe versichern kann, sondern wie sie sich so gut wie möglich vor Cyberangriffen schützen kann. «Versicherungen können bei der Risikoermittlung helfen und dafür sorgen, dass Unternehmen den Grundschutz umsetzen.» Auch in Sachen Präventionsarbeit sieht Florian Schütz die Versicherungen in der Pflicht: «Mit den richtigen Schutzmassnahmen lassen sich viele Cyberangriffe verhindern.»
In den Chefetagen fehlen IT-Fachleute
Florian Schütz wünscht sich, dass in den Geschäftsleitungen der Unternehmen künftig noch mehr Leute vertreten sind, die sich mit der Materie auskennen. «Im höheren Management braucht es unbedingt Mitarbeitende mit einer Fachausbildung im IT-Bereich.» Die Schweiz verfüge über genügend Talente und Fachkräfte – «aber wir sehen sie noch sehr wenig in den Geschäftsleitungen». Bei Unternehmen ist es wichtig, dass sich die Geschäftsleitung der Cybergefahren bewusst ist, die wichtigsten organisatorischen und technischen Massnahmen ergreift und die entsprechenden Mittel spricht. «Cybersicherheit ist Chefsache!»
Das betont auch Maya Bundt, Verwaltungsrätin der Baloise. Die promovierte Umweltwissenschafterin beschäftigt sich schon seit vielen Jahren mit Cyberrisiken, aber auch mit Versicherungslösungen in diesem Bereich. Laut Bundt sollten sich aber nicht nur die operativen Geschäftsleitungen mit dem Thema befassen. «Das Thema Cyberrisiken gehört auch auf die Traktandenliste von Verwaltungsräten.» Für Maya Bundt ist klar: «Unternehmen sollten heute zwingend auch strategisch festlegen, wie sie ihre Cyberresilienz langfristig erhöhen können.» Schliesslich bestehe kein Zweifel, dass das Thema auch in Zukunft brandaktuell bleibe.
Hinweis:
Unter dem Meldeformular des Nationalen Zentrums für Cybersicherheit können Cybervorfälle erfasst und gemeldet werden.
