Herr Hacker, die Tragweite von Cyberrisiken als Bedrohung hat seit Russlands Angriff auf die Ukraine nochmals drastisch zugenommen. War dies der Start eines globalen Krieges im Netz?
Nein. Verdeckte Cyberoperationen finden seit langem anonym sowohl in Friedens- als auch in Kriegszeiten statt. Zu lange wurde dieses Potential massiv unterschätzt bzw. weitestgehend ignoriert.
Die Cyberkriminalität boomt, und zwar im ganzen Spektrum von Phishing-Angriffen, einfachem Verunstalten von Webseiten bis hin zu technisch höchst komplexen Angriffen mittels Wiper Malware. Ein Wiper ist eine destruktive Schadsoftware, die dazu gedacht ist, die Festplatten infizierter Rechner zu beschädigen bzw. zu löschen.
Zur Person
Peter Hacker bringt mehr als 20 Jahre Erfahrung in der IT-Sicherheitsbranche und im Finanzsektor mit. Er war sowohl im offensive wie auch defensive Cybersicherheitsbereich als Experte, Trainer und Manager tätig und wird von internationalen Organisationen, Regulierungsbehörden, Finanzinstituten, Technologie- und Pharmaunternehmen sowie Rating Agenturen konsultiert. Er ist geschäftsführender Direktor von Distinction Global, einem unabhängigen Think-Tank für Cybersicherheit. Peter Hacker verfügt über einen Abschluss in Wirtschaftswissenschaften der Zürcher Hochschule für Angewandte Wissenschaften und einen doppelten MBA-Abschluss von der London Business School und der Columbia Business School.
Aktuell scheint sich die Verwendung von Wiper Malware auf die Ukraine zu begrenzen. Die Schäden ausserhalb sind nicht besonders gross?
Bis anhin noch nicht. Der Einsatz von Wiper Malware weitet sich jedoch zunehmend über den Ukraine-Konflikt hinaus, wobei neue Varianten in beispielloser Geschwindigkeit auftauchen. Diese Art von Schadsoftware wird stark von staatlichen Kräften eingesetzt, richtet sich immer mehr auf kritische Infrastruktur aus, was bereits u.a. zu kurzen Stromausfällen, Beeinträchtigung von Telekommunikation, Gesundheitswesen und Satelliten durch Cyberangriffe führte.
In der Vergangenheit war die klassische IT von der Operational Technology – Produktionsanlagen – getrennt. Durch die Verknüpfung und Ausweitung auf IoT-Geräte wird sich das Risiko erfolgreicher Angriffe auf die OT steigern.
«Die Frage ist <wann, nicht ob> ein Angriff kommt, bzw. bereits kam.»
Weshalb?
Fehlende Patches und veraltete Software sind massgebliche Gründe, die zu digitalen und physischen Schäden führen könnten. Ein Horrorszenario wäre ein direkt oder indirekt erfolgreicher und einschneidender Angriff auf das globale Finanzsystem, ein Kernkraftwerk oder die Strom- bzw. Wasserversorgung.
Was bedeuten solche Entwicklungen für uns in der Schweiz?
Hacker greifen längst weltweit kritische Infrastruktur an – auch in der Schweiz. Investitionen in den Schutz und die Ausweitung der kritischen Infrastruktur sollten Priorität haben bzw. rasant ansteigen. Wir befinden uns in einem neuen Zeitalter des digitalen Wettrüstens. Die Frage ist «wann, nicht ob» ein Angriff kommt, bzw. bereits kam.
Führende Fachkonferenz
Das Financial Lines Forum 2023 findet am 20. Juni in Zürich statt. An der führenden internationalen Fachkonferenz der Schweiz im Bereich Cyber- und D&O-Risiko & -Versicherung werden neben Peter Hacker andere namhafte Referentinnen aus dem In- und Ausland auftreten. Weitere Informationen und Tickets finden Sie hier.
Wie kann sich ein Unternehmen noch besser schützen?
Bei einem Ransomware Angriff sprechen wir von drei Phasen: Vorfall-Triage, Business Impact und Business Recovery. Gehen wir einmal davon aus, dass wir in der Vorfall-Triage und im Business Impact unsere Hausaufgaben gemacht und mindestens jährlich einmal einen Angriff gegen das Unternehmen und die verschiedensten Einheiten real getestet und bestanden haben.
Persönlich würde ich verstärkt auf sogenannte Data Cleaning Rooms und auf die Wiederherstellung, die Data Recovery Phase, setzen. Es handelt sich dabei um sichere, geschützte Umgebungen, in denen personenbezogene Daten über künstliche Intelligenz bereinigt und verarbeitet werden, damit sie für einen vielfältigen Datenanalysezweck genutzt werden können.
Die Erfahrung zeigt, dass bei einem Ransomware Angriff die sogenannte Last Known Good Configuration Recovery Option z.B. bei Software als reine Alternative sehr oft nicht genügt und als Folge immer neue Angriffe stattfinden.
«Unsere Gesellschaft wächst zu einem einzigartigen, globalen Mega-Computer zusammen.»
Wohin geht die zukünftige Cyberrisiko-Reise?
Die Digitalisierung und somit Cyberrisiken sind zweifelsohne unwiderruflich. Staaten und die Privatwirtschaft kämpfen um die digitale Vorherrschaft als strategische und politische Waffe. Ich rechne damit, dass wir weitere materielle Konflikte in der Spionage wie auch in der Spionageabwehr sehen werden.
Computer und Netzwerke werden immer mehr verwendet, um einen potentiellen Gegner zu schwächen. Das Cyberrisiko verändert sich dadurch konstant und wird immer systemischer. Solche Entwicklungen bringen exponentielle Herausforderungen für das Enterprise Risk Management.
Was meinen Sie damit?
Regierungen, die globale Wirtschaft und Aufsichtsbehörden stehen vor grossen Herausforderungen. Unsere Gesellschaft wächst zu einem einzigartigen, globalen Mega-Computer zusammen. Wir werden neue Lebensweisen und Möglichkeiten wie Smart Cities oder autonomes Fahren sehen, aber auch die Gefahr zunehmender elektronischer Kriegsführung, ethischer Herausforderungen in der Verteidigung und zunehmender Abhängigkeiten. Diese beispiellosen Veränderungen zwingen Unternehmen und den Staat sicherzustellen, dass ihre eigenen Strategien – von Cybersicherheit über Risiko Management, inklusive Versicherung bis hin zum Stakeholder-Management – mit der Entwicklung der Risiken Schritt halten können.
Gibt es Zahlen dazu?
Wir haben heute im Durchschnitt global alle 15 Sekunden einen Ransomware-Angriff, brauchen 270 Tage vom Zeitpunkt des Zugangs zum System bis zur Wiederherstellung und sind mit Durchschnittskosten pro Vorfall von rund vier Millionen Schweizer Franken konfrontiert. Diese Zahlen sind beängstigend.
«Schäden aus Angriffen auf Systeme der kritischen Infrastruktur oder staatlichen Stellen sind kaum versicherbar.»
Was bedeuten solche Entwicklungen für die Versicherungsindustrie?
Versicherer bieten Unternehmer wie auch Einzelpersonen Deckungen an, um sich gegen die Folgen von Cyberangriffen zu versichern. Diese Deckungen machen sehr viel Sinn, wenn sie auf das jeweilige Risikoprofil abgestimmt sind und auch real gegen Angriffe getestet werden. Hingegen sind Schäden aus Angriffen auf Systeme der kritischen Infrastruktur oder staatlichen Stellen kaum versicherbar.
Grundsätzlich bin ich der Meinung, dass staatliche Cyberangriffe jeglicher Art eine systemische Komponente beinhalten und folglich nicht alleine durch die Privatwirtschaft versicherbar sind. Wenn staatliche Angriffe systemisch durchschlagen, ist das Delta zwischen ökonomischen Schäden und der Versicherungskapazität riesig und unüberbrückbar hoch.
Was für Lösungen gäbe es?
Ich sehe für solche Cyberrisiken nur den Weg zwischen einer Partnerschaft der Assekuranz und der öffentlichen Hand analog z.B. des Schweizer Atomkraftwerk Models und neu zusätzlich einer möglichen Kapitalmarktstruktur für das Katastrophenrisiko.
HZ Insurance-Gastautor Markus Haefeli ist Managing Partner bei der Haefeli & Schroeder Financial Lines AG, dem Spezialbroker für Vermögensschaden-Versicherungen in der Schweiz.