Diesen Sommer wurden mehrere Schweizer Firmen aus unterschiedlichsten Branchen Opfer von Cyberattacken. Dabei verschlüsselten die Täter nicht nur Daten, sondern veröffentlichten diese auch. So geschehen Anfang September mit Finanzunterlagen, Rechnungen, Verträgen und Lohndokumenten der Arboner Firma Saurer. 

Cyberrisiken sind Chefsache

Mittlerweile haben zwar viele Unternehmen eine Cyberversicherung abgeschlossen, doch eine solche hilft nach einem Angriff nur teilweise. Vor allem den Vertrauensverlust, der dadurch entsteht, kann eine Police nicht entschädigen. Aus diesem Grund ist es für Verwaltungsräte und Geschäftsleitungen ein Must, sich mit dem Thema Cyberrisiken auseinanderzusetzen.
 
Um die Wahrscheinlichkeit eines Einbruchs, eines Brandes oder einer Überschwemmung zu senken, ergreifen Führungskräfte bereits verschiedene Massnahmen. Im Cyberspace funktioniert dieses Konzept allerdings wenig bis gar nicht. Dies, weil die Wahrscheinlichkeit, Opfer eines Angriffs zu werden, nicht nur von der eigenen Verteidigung abhängt, sondern auch von den Massnahmen, die Lieferanten, Partner und andere Organisationen, mit denen ein Unternehmen zusammenarbeitet, treffen. Zudem sind Cyberattacken weit weniger vorhersehbar als andere Risiken und kein Unternehmen ist davor gefeit.

Bewusstsein massiv angestiegen

Dies ist allerdings kein Grund, die Flinte ins Korn zu werfen, denn Prävention, Notfallkonzepte und die Schulung des Bewusstseins für Cyberrisiken im gesamten Betrieb können bereits sehr viel bewirken. Letzteres scheint mittlerweile bei den meisten Unternehmen deutlich gestiegen zu sein. So geben in der jüngsten CEO-Befragung von PWC 43 Prozent der Geschäftsführer an, dass sie die Cyberrisiken als grösstes Hindernis für das weitere Wachstum ihres Unternehmens ansehen; im Vorjahr waren es erst 26 Prozent. Zudem waren 2021 46 Prozent der Meinung, dass sie in Sachen Cybersicherheit und Datenschutz Nachholbedarf hätten.

Dass das Bewusstsein für Cyberrisiken in den Führungsgremien derart angestiegen ist, wundert Martin Eckert, Mitgründer und Partner der Anwaltskanzlei MME und Experte für rechtliche Fragen rund um Cyberrisiken, nicht. «Die neuen europäischen Datenschutzrichtlinien sowie die zunehmende mediale Berichterstattung haben viel dazu beigetragen.» Und auch die vor einigen Jahren vom Bund erlassenen neuen Vorgaben und Standards zum Thema Cybersicherheit scheinen Früchte zu tragen. «Dies vor allem bei systemrelevanten Unternehmen wie Grossbanken oder Energieversorgern, welche mittlerweile sogar Branchenstandards aufgegleist haben.»

Verteidigung professionalisieren

Weil Cyberattacken nicht einfach so wieder verschwinden und die Angreifer immer professioneller werden, müssen sich Unternehmen ebenfalls zu Profis entwickeln. Grundsätzlich wäre es für viele von ihnen schon sehr hilfreich, wenn sie wenigstens die vom Bundesamt für wirtschaftliche Landesversorgung ausgearbeiteten IKT-Minimalstandards einführen würden. Deren Ziel: die Vertraulichkeit, Integrität und Verfügbarkeit von IKT-Systemen zu schützen und zu gewährleisten. Diese Standards sind keine rein helvetische Erfindung, sondern basieren auf dem international anerkannten NIST Cybersecurity Framework und werden mit weiteren Industriestandards wie ISO 270001 ergänzt. 

Jede Sekunde zählt

Da es vor Cyberangriffen keinen absoluten technischen und organisatorischen Schutz gibt, ist es zentral, dass neben Prävention auch das Vorgehen im Ernstfall definiert ist. «Während einer Attacke zählt jede Sekunde», betont Martin Eckert. «Je schneller die technische und juristische Eingreiftruppe vor Ort ist, desto effektiver kann der Schaden begrenzt werden.» Eine Cyberrisk-Versicherung, die sofort unterstützt, sowie ein Notfallkonzept mit technischen Spezialisten seien dazu Gold wert. Für Eckert ist klar, dass das Thema Cyberrisiken die Unternehmen nie mehr loslassen wird. Aber er macht auch Hoffnung: «Technologisch ist noch vieles möglich und mit jedem Angriff lernen auch die IT-Spezialisten dazu.»