Die Website ist nicht erreichbar. Der Zugang zum System ist gesperrt und Verkäufe können nicht mehr abgewickelt werden. Unbekannte verlangen die Zahlung eines Lösegelds, um die Veröffentlichung der gestohlenen Herstellungspläne und Kundenstammdaten zu verhindern. Das ist weder Science-Fiction noch Verschwörungstheorie (siehe dazu auch unser Artikel «Sich nicht erpressen lassen»).
Angriffe auf Systeme der Informations- und Kommunikationstechnologie ICT haben seit Beginn der Pandemie stark zugenommen. Auch Schweizer Firmen sind gemäss einem Bericht von Lorena Rota und Claudia Liliane Jung des Beratungsunternehmens PwC in jüngster Zeit branchenübergreifend vermehrt betroffen. Und gemäss dem Nationalen Zentrum für Cybersicherheit NCSC kam es 2021 zu über 21 000 Cybervorfällen – das waren doppelt so viele wie im Vorjahr.
Sicherheitsbudgets steigen
Für Rota und Jung ist neben angemessenen technischen Massnahmen wie geeigneter Hard- und Software, Backup oder Netzwerk-Überwachung sowohl vor als auch nach einem Vorfall der regulatorische und rechtliche Umgang mit ICT-Risiken von grosser Bedeutung – Cyberlaw als wesentlicher Bestandteil einer modernen, zukunftsgerichteten Compliance.
Wie wichtig das ist, zeigt auch der jährliche Global Digital Trust Insights Survey von PwC. Im neuen Jahr erwarten 51 Prozent der im Juli und August befragten Schweizer Unternehmen eine weitere wesentliche Zunahme von Ransomware-Angriffen im Vergleich zu 2022. Die gefürchteten Phishing-E-Mails gelten auch weltweit als die am häufigsten erwartete Angriffsart.
Schweizer KMU: Dornröschenschlaf
Kein Wunder, dass Schweizer Unternehmen aufrüsten wollen. Im Jahr 2023 planen 54 Prozent der Führungskräfte eine weitere Erhöhung ihres Budgets für Cybersicherheitsanliegen. Das überrascht nicht, denn jedes vierte Unternehmen weltweit berichtet von einer Datenschutzverletzung mit Kosten zwischen 1 und 20 Millionen Franken in den vergangenen drei Jahren. Dieses Geld möchten die Firmen lieber in neue lukrative Produkte und Dienstleistungen stecken. Was auffällt: 52 Prozent der Befragten sind Führungskräfte in grossen Unternehmen mit einem Umsatz von 1 Milliarde Dollar und mehr, 16 Prozent gar in Firmen mit 10 und mehr Milliarden Dollar Umsatz.
Bei den KMU in der Schweiz hingegen ist das Risikobewusstsein in Bezug auf Cyberkriminalität noch wesentlich geringer. Das zeigt eine aktuelle Studie des Versicherers Axa im August dieses Jahres. Zwar gaben 15 Prozent an, dass sie in den letzten Jahren Opfer eines Cyberangriffs waren. Hohe 62 Prozent erachten aber das Risiko als gering, künftig Opfer einer Attacke zu werden. Für Andrea Rothenbühler, Leiterin der Axa-Cyberversicherung, ist das ein Trugschluss. «Vor allem KMU rücken vermehrt ins Visier von Internetkriminellen, da sie weniger Ressourcen in die eigene IT-Sicherheit investieren können als grosse Konzerne.»
Für KMU wie für Grossunternehmen gilt, was Rota und Jung vorschlagen: Die beiden machen sich stark für einen pragmatischen Einsatz von Cyberlaw mit der Erfassung der Risiken und darauf aufbauend einer Erstellung eines Abwehrdispositives. Es darf dabei aber nicht bei Lippenbekenntnissen bleiben: Zuständigkeiten beim und Prozesse zum Umgang mit ICT-Risiken in Bezug auf Prävention und Reaktion müssen verbindlich festgelegt werden. So kann das Unternehmen unliebsamen ICT-Vorfällen vorbeugen und im Ernstfall schnell reagieren.
Konkret beinhaltet ein Abwehrdispositiv einen «Incident Response Plan» und die Ernennung eines «Computer Incident Response Teams» für Ernstfälle. Wichtig ist die kontinuierliche Schulung der Mitarbeitenden. Und die Prüfung und Minimierung von rechtlichen Risiken bei Lizenzen und Verträgen mit Drittparteien. Auch muss das Schutzkonzept laufend überwacht und aktualisiert werden.
Cybervorfälle melden
Bei Vorfällen raten die beiden Autorinnen zur sofortigen Meldung an Aufsichts- und weitere Behörden wie zum Beispiel die Finma. Bei der PwC-Umfrage gaben zwei Drittel der Firmen an, dass für eine verpflichtende Offenlegung von Cybervorfällen ein vergleichbares und einheitliches Format erforderlich ist.
Heute können Firmen Cybervorfälle freiwillig melden. Einzig der Finma unterstellte Unternehmen sind derzeit verpflichtet, Attacken auf ihre IT zu melden. Der Bundesrat möchte, wie er in einer Botschaft letzte Woche verkündete, eine Meldepflicht für sämtliche kritischen Infrastrukturen mit einem erheblichen Schadenpotenzial gesetzlich verankern – nun läuft die Vernehmlassung im Parlament. Also beispielsweise Energieproduzenten, aber auch Spitäler. So könnten die Behörden frühzeitig die Gefahrenlage einschätzen und allfällige Angriffsmuster erkennen.
Doch nicht nur die Firmen sollen zu Meldungen verpflichtet werden. Auch das Nationale Zentrum für Cybersicherheit NCSC soll die Öffentlichkeit vor Cyberdrohungen warnen und die Bevölkerung für Cyberrisiken sensibilisieren.