Cybersicherheit: «Ein Restrisiko bleibt immer»

Nationalrätin Doris Fiala engagiert sich als Präsidentin der Swiss Cyber Security Days. Denn sie ist überzeugt: «Die Digitalisierung ist eine riesige Chance, birgt aber auch einige Risiken.» Gemäss Hoch­rechnungen entstehen, so Doris Fiala, jährlich Kosten in Höhe von 5 Mrd. Schweizer Franken durch Cyber­kriminalität: «Das ist mehr als das Armee­budget.» Vielen Schweizer KMU ist noch gar nicht bewusst, dass auch sie betroffen sein könnten, hat Doris Fiala beobachtet. «Die KMU müssen im täglichen Wettbewerb stark auf die Kosten achten und scheuen deshalb oft die Ausgaben für Internetsicherheit. Doch ein guter Schutz auf allen Stufen lohnt sich.»

Daniel Nussbaumer ist Co-Leiter der Abteilung Cyber­kriminalität bei der Kantonspolizei Zürich. Er beobachtet immer wieder, dass KMU Opfer von Ransomware-­Angriffen, also virtueller Lösegelderpressung, werden. «Wenn man plötzlich keinen Zugriff mehr auf seine Daten hat, kann einen das an die Existenzgrenze bringen.» Er bedauert, dass viele Opfer sich nicht bei der Polizei melden: «Dabei können wir wirkungs­voll unterstützen, etwa bei Verhandlungen mit dem Täter.» Erstaunlich oft stehen frustrierte Mitarbeitende oder Konkurrenten hinter den Cyberattacken. In diesen Fällen hat die Polizei sehr gute Chancen. Doch selbst bei Cyber­kriminellen aus dem Ausland gibt es Möglichkeiten, dank internationaler Kooperationen.

Sandra Tobler ist Co-Founder und CEO der Futurae Technologies AG, die sich auf sichere und benutzerfreundliche Authenti­fizierungs­software für Firmenkunden spezialisiert hat. «Vielen KMU ist gar nicht bewusst, dass sie ein Ziel sein könnten», konstatiert die Expertin. Absolute Sicherheit gebe es in Sachen Cyber­sicherheit ohnehin nicht. «Aber es geht darum, einen Prozess und eine Kultur zu schaffen, welche die Sicherheit erhöhen.» Für Sandra Tobler hat das auch mit einer Fehlerkultur zu tun: «Anstatt Personen bloss­zustellen, die ein falsches E-Mail angeklickt haben, sollte man lieber als Organisation aus solchen Fehlern lernen, sich zum Beispiel auch einmal kreativ in die Rolle eines Hackers versetzen.»

Philipp Hurni ist Risiko­experte mit Schwerpunkt Cyber bei Zurich. Er stellt fest, dass sich die Cyber­kriminalität in den letzten Jahren rasant weiterentwickelt hat: «Man muss kein IT-Spezialist mehr sein, sondern kann im Darknet für wenig Geld Anleitungen für Erpressungs­software kaufen und diese dann gegen Firmen einsetzen.» Gerade weniger kompetente Hacker fokussierten sich auf KMU: «Sie wissen, dass diese oft schlechter vorbereitet sind und Löse­geld­forderungen eher nachkommen – etwa, weil sie keine Backups gemacht haben.» Er plädiert für eine Melde­pflicht bei Cyber­angriffen: «Diese würde auch in der Schweiz dazu führen, dass Sicherheits­ereignisse konsequenter erfasst und verfolgt werden können.» Wichtig ist dabei, dass eine solche Melde­pflicht so ausgestaltet werden würde, dass diese aus­schliesslich dafür dient, die Vorfälle aufzu­klären und zukünftige Ereignisse zu verhindern – und nicht etwa um die Meldenden mit Buss­geldern zu bestrafen.  

Weil sich Cyber­attacken nie vollständig verhindern lassen, ist es so wichtig, die Folgen abzusichern: Die Zurich Cyber­versicherung kommt für bestimmte Kosten infolge eines Hackerangriffs auf, zum Beispiel beim Bereinigen der Computer­geräte nach einem Virenbefall oder bei der Wiederherstellung von Daten. Zudem erhalten die Versicherten Zugang zu erfahrenen Juristen, welche für Sofort­massnahmen beratend zur Seite stehen. Optional können sie sich gegen die finanziellen Folgen eines Betriebsunterbruchs nach einer Attacke versichern. Auch der Diebstahl von Geldern übers E-Banking lässt sich über einen Zusatz­baustein absichern. Dank einer Partnerschaft profitieren Zurich-Cyberkunden von Sonder­konditionen bei einem Sicherheits-Check zu Stärken und Schwächen der Unternehmens-IT – und Neukunden erstattet Zurich dabei sogar einen Teil der Kosten.