Digitec, Ricardo.ch, Angebote von Migros und Coop: Viele Schweizer Unternehmen haben kürzlich unter digitalen Attacken gelitten. Kunden konnten die Portale wiederholt während Stunden nicht nutzen. Wer dahinter steckt, ist unklar – doch es wird deutlich, dass diese Art von Angriffen keine kurzfristige Bedrohung darstellt. KPMG-Partner Matthias Bosshardt analysiert Cyberrisiken von Unternehmen.

Haben die Ddos-Attacken der vergangenen Wochen Lücken bei Schweizer Konzernen offenbart?
Matthias Bosshardt*: Ddos-Attacken und Hackerangriffe nehmen an Intensität und Häufigkeit zu, das zeigt sich nicht nur in den vergangenen Wochen. Sie werden mit einer anderen kriminellen Energie betrieben als noch vor Jahren. Viele Unternehmen fühlen sich aber nicht als mögliches Opfer, bevor etwas passiert.

Welche Schlüsse können wir aus den Angriffen ziehen?
Das Risiko eines Datenklaus ist für viele Unternehmen im Fokus. Ddos-Angriffe sind technisch etwas anderes, sie sind darauf ausgerichtet, Webseiten oder Betriebsprozesse und -infrastruktur – zum Beispiel ein Stahlhochofen – zu blockieren. Wir stellen fest: Es ist wichtig, sich auf alle Szenarien vorzubereiten. Cyberattacken in jeglicher Form sind Teil des operativen Risikos von Unternehmen.

Sie sprechen gerade an, dass Ddos-Attacken sich technisch von Hacker-Einbrüchen unterscheiden. Ddos-Spezialist Staminos wurde vor zwei Wochen selbst mit einem solchen Angriff attackiert, dabei sollen Kundendaten öffentlich geworden sein. Gibt es doch ein Risiko in dieser Richtung?
Datenklau und Ddos-Attacken sind zwei unterschiedliche Paar Schuhe. Das eine hat nichts mit dem anderen zu tun. Zum Teil – eine Studie spricht von 75 Prozent der Fälle – werden aber Ddos-Attacken ausgeführt, um abzulenken und dann Daten zu entwenden. Das heisst aber nicht, dass das aktuell in der Schweiz der Fall war.

Worin besteht der Schaden von Ddos-Attacken? Wie teuer wird es für Unternehmen, die betroffen sind?
Der grösste Schaden ist der Umsatzausfall, der durch die Blockade der Webseiten entsteht. Ausserdem fallen Aufwände für die Untersuchung des Sicherheitsvorfalls und gebenenfalls Massnahmen zur besseren Vorsorge an. Die Kosten sind schwer zu beziffern und hängen auch vom Unternehmen ab. Bei Hochrisikokonzernen – also etwa bei Banken, Technologiefirmen oder Unternehmen, die wertvolles geistiges Eigentum schützen müssen – werden schon mal 10-12 Prozent des IT-Budgets für Sicherheitsmassnahmen ausgegeben. Bei anderen Firmen bewegt sich das im einstelligen Prozentbereich des IT-Budgets. Wir nutzen diese Messgrösse mangels verfügbarer Alternativen. Sie ist nur bedingt sinnvoll, da Cyber Security nicht ein technisches Risiko ist, sondern als operationelles Geschäftsrisiko behandelt werden sollte.

Wie hoch sind die Investitionen, um sich umfassend vor Cyberattacken zu schützen?
Das ist gar nicht mal unbedingt eine Geldfrage, sondern eine der Effektivität. Das Problem ist, dass Firmen oft taktisch auf Vorfälle reagieren. Kocht gerade Kreditkartenraub hoch, schützen sie sich davor. Fallen Ddos-Attacken an, werden dagegen Schritte unternommen. Aber oft erst dann, wenn das Problem bereits besteht.

Warum ist das so?
Das Bedrohungspotenzial wird unterschätzt. Gerade die Schweiz ist für Hacker attraktiv, weil die Unternehmen hier vergleichsweise ertragsstark und viele Unternehmen innovativ sind und über wertvolles geistiges Eigentum verfügen. Und einen Hacker kostet es schliesslich keinen Dollar mehr, wenn sie in der Schweiz angreifen. Die Bedrohungslage ist global. Darum ist es wichtig, dass Unternehmen sich im Vorfeld eine Cyber-Strategie zurechtlegen, mit der sie Attacken effektiv bekämpfen können.

Anzeige

*Matthias Bosshardt ist Leiter Cyber Security bei der Beratungsgesellschaft KPMG.