Herr Hacker, Cyberattacken haben seit Russlands Angriff auf die Ukraine nochmals drastisch zugenommen. Befinden wir uns in einem globalen Cyberkrieg?
Nein. Verdeckte Cyberoperationen finden seit langem anonym sowohl in Friedens- als auch in Kriegszeiten statt. Zu lange wurde dieses Potenzial massiv unterschätzt bzw. weitestgehend ignoriert.
Die Cyberkriminalität boomt, und zwar im ganzen Spektrum von Phishingangriffen, einfachem Verunstalten von Webseiten bis hin zu technisch höchst komplexen Angriffen mittels Wiper-Malware. Ein Wiper ist eine destruktive Schadsoftware, die dazu gedacht ist, die Festplatten infizierter Rechner zu beschädigen bzw. zu löschen.
Was bedeuten solche Entwicklungen für uns in der Schweiz?
Hacker greifen längst weltweit kritische Infrastruktur an – auch in der Schweiz. Investitionen in den Schutz und die Ausweitung der kritischen Infrastruktur sollten Priorität haben bzw. rasant ansteigen. Wir befinden uns in einem neuen Zeitalter des digitalen Wettrüstens. Die Frage ist wann – nicht ob – ein Angriff kommt, bzw. bereits kam.
Der Interviewpartner
Peter Hacker (www.peterhacker.io) bringt mehr als 20 Jahre Erfahrung in der IT-Sicherheitsbranche und im Finanzsektor mit. Er war sowohl im offensiven wie auch im defensiven Cybersicherheitsbereich als Experte, Trainer und Manager tätig und wird von internationalen Organisationen, Regulierungsbehörden, Finanzinstituten, Technologie- und Pharmaunternehmen sowie Ratingagenturen konsultiert.
Er ist geschäftsführender Direktor von Distinction.global, einem unabhängigen Thinktank für Cybersicherheit. Peter Hacker verfügt über einen Abschluss in Wirtschaftswissenschaften der Zürcher Hochschule für Angewandte Wissenschaften und einen doppelten MBA-Abschluss von der London Business School und der Columbia Business School.
Wohin geht die zukünftige Cyberrisiko-Reise?
Die Digitalisierung und somit Cyberrisiken sind zweifelsohne unwiderruflich. Staaten und die Privatwirtschaft kämpfen um die digitale Vorherrschaft als strategische und politische Waffe. Ich rechne damit, dass wir weitere materielle Cyberkonflikte in der Spionage wie auch in der Spionageabwehr sehen werden.
Was meinen Sie damit?
Computer und Netzwerke werden immer mehr verwendet, um einen potenziellen Gegner zu schwächen, zu bekämpfen, bzw. in der Industrie auszuspionieren. Das potenzielle Cyberrisiko verändert sich dadurch konstant und wird immer systemischer. Solche Entwicklungen bringen exponentielle Herausforderungen mit massiven, schnell wachsenden und teilweise sehr komplexen physischen, digitalen und Software-Lieferketten-Bedrohungen.
Ihre Aussagen sind besorgniserregend…
Wir stehen sicherlich vor einigen grösseren Herausforderungen in der Cybersicherheit. Zweifelsohne werden die Angriffe auf risikobehaftete Netzwerkstrukturen, unsichere kritische Infrastruktur bzw. ungeschützte Codes von Software- und Hardwareherstellern nochmals zunehmen.
Die Angreifer beschränken sich dabei nicht auf technische Sicherheitslücken, sondern schliessen auch menschliche Komponenten ein. Oft werden gleichzeitig mehrere Angriffsvektoren wie das Täuschen von Usern, Phishing oder sogenannte Social-Engineering-Angriffe verwendet, die dazu führen, destruktive Komponenten einzubringen. Mögliche Konsequenzen sind der Verlust oder Diebstahl von Zugangs- oder Kundendaten, immateriellen Gütern sowie Betrug, Zerstörung ganzer Plattformen und gezielte Angriffe auf IoT-Devices und Router.
Wer ist besonders gefährdet?
Ein klassisches Ziel für Lieferkettenangriffe oder Drittanbieterangriffe sind sogenannte Managed Services Provider (MSP), welche die Infrastruktur und das Monitoring von Organisationen unterstützen.
Hab ich als Angreifer Zugriff auf einen MSP, habe ich gleichzeitig Zugriff auf MSP-Zugangsdaten und somit auch auf die Kundeninfrastruktur wie zum Beispiel Kreditkartendaten von Kundenservice-Systemen oder -Dashboards). Weitere Bereiche sind Open-Source-Software-Code-Entwicklungen und auch Sicherheitsanbieter für hochsensible Daten wie Patente, M&A-Vertragsdaten, Mitarbeiterinformationen oder personenbezogene Daten.
Kurz gesagt, je kritischer Daten und Infrastruktur, je grösser die Angriffsfläche. Gibt es Zahlen dazu?
Wir haben heute im Durchschnitt global alle 15 Sekunden einen Ransomware-Angriff, brauchen 270 Tage vom Zeitpunkt des Zugangs zum System bis zur Wiederherstellung und sind mit Durchschnittskosten pro Vorfall von rund vier Millionen Schweizer Franken konfrontiert. Diese Zahlen sind beängstigend.
Dieser Artikel ist Teil der Market Opinion «Cyberrisiken: Angriff, Schäden, Konsequenzen», die in Zusammenarbeit mit Howden Schweiz realisiert wurde.
Wie kann sich ein Unternehmen noch besser schützen?
Supply-Chain-Angriffe auf Dritthersteller und -entwickler sind immer noch sehr schwer vermeidbar und mindestens so schwierig zeitnahe zu stoppen. Sicherlich gilt es immer, Codes und Hardware zu prüfen, bevor sie in die Infrastruktur integriert werden. Die Erfahrung zeigt zudem, dass wir heute jederzeit mittels einer Zero-Trust-Architektur (ZTA) operieren sollten.
Wir vertrauen nicht mehr dem authentifizierten Nutzer, sondern gehen davon aus, dass sämtliche Nutzer und alle Anwendungen Angreifer sein könnten. Kurz gesagt, für jede Datenzugriffsanfrage wird nochmals eine Autorisierung und Authentifizierung verlangt. Zudem würde ich Zugriffsberechtigungen mehrheitlich nur auf Accountdaten minimieren, die für die Erfüllung der Aufgaben notwendig sind. Die Schadenerfahrung zeigt, dass privilegierte Accounts sehr oft das Einfallstor für Supply-Chain-Angriffe darstellen.
Welchen Einfluss haben KI-Technologien auf Cyberrisiken?
KI-Technologien – die Verarbeitung natürlicher Sprachen und maschinelles Lesen – reduzieren Reaktionszeiten bei Angriffen drastisch, machen Verteidigungsstrategien effizienter und effektiver insbesondere durch ein Realtime-Auslesen von Fluten von Bedrohungsdaten und Zusammenhängen. Schon heute bringt die Verwendung von KI-Technologien bei Data Clean Rooms zwar kostspielige, jedoch enorme Vorteile.
Es handelt sich dabei um sichere, geschützte Umgebungen, in denen personenbezogene Daten über KI-Technologien bereinigt und verarbeitet werden, damit sie für einen vielfältigen Datenanalysezweck genutzt werden können. KI-Technologien versprechen zweifellos exponentielles Wachstum, ein besseres Verständnis für Sicherheitsmassnahmen und eine Veränderung unserer Gesellschaft. Doch das alles hat seinen Preis.
Und was ist der Preis davon?
Ja das stimmt – auf der anderen Seite steht die ethische Entwicklung, die Einhaltung von Datenrichtlinien und sicherlich die mögliche Nutzung für proaktive, kontradiktorische Verteidigungszwecke im Fokus. Das alles hat auch einen Einfluss auf das Verständnis unserer Sicherheitsmassnahmen und verändert unsere Gesellschaft.
Was bedeuten solche Entwicklungen für die Versicherungsindustrie?
Zunächst mehr und bessere Risikodaten sowie ein umfassenderes Risikoverständnis. Versicherer bieten Unternehmern wie auch Einzelpersonen Deckungen an, damit sie sich gegen die Folgen von Cyberangriffen versichern können. Diese Deckungen machen sehr viel Sinn, wenn sie auf das jeweilige Risikoprofil abgestimmt sind und auch real gegen Angriffe getestet werden.
Hingegen sind Schäden aus Angriffen auf Systeme der kritischen Infrastruktur oder von staatlichen Stellen kaum versicherbar. Grundsätzlich bin ich der Meinung, dass staatliche Cyberangriffe jeglicher Art eine systemische Komponente beinhalten und folglich nicht alleine durch die Privatwirtschaft versicherbar sind. Wenn staatliche Angriffe systemisch durchschlagen, ist das Delta zwischen ökonomischen Schäden und der Versicherungskapazität riesig und unüberbrückbar hoch.
Welche Lösungen gäbe es?
Ich sehe für solche Cyberrisiken nur den Weg einer Partnerschaft zwischen der Assekuranz und der öffentlichen Hand, analog zum Beispiel dem Schweizer Atomkraftwerk-Modell, und zukünftig zusätzlich einer möglichen Kapitalmarktstruktur für das Katastrophenrisiko.