«Hacker zielen auf den Brand, die Reputation und den Marktwert ab»

Wie entwickelt sich die Cyberbedrohung international?

Der Code ist die neue Waffe zur Macht im digitalen Wandel. Wir leben seit einigen Jahren in einem versteckten Cyberkrieg, der mit elektronischen Waffen geführt wird. Da geht es darum, dass Staaten oder staatsnahe Hackergruppen anderen Staaten und Unternehmen Schaden zufügen, vor allem im Bereich der kritischen Infrastruktur wie Energieversorgung, Bankensystem, Elektrizität, Nahrungsmittelindustrie oder im Gesundheitswesen. Mit Hilfe von verschiedenen Angriffsvektoren, die häufig parallel laufen, wird versucht, Daten zu stehlen und so einen immensen Schaden zu verursachen. Es gibt aber auch systemische Angriffe auf Zulieferer, wo ich mit Malware sehr viel Chaos verursachen kann. Klassisches Beispiel sind Navigationssysteme bzw. Satellitensysteme in der Schifffahrt, elektronische Datenspeichersysteme im Gesundheitswesen (Patientenakten) oder Softwaredienstleisungen, die mehrheitlich über externe Provider (Managed Service Providers) beliefert werden. Wenn Hacker in der Lage sind, bei Zulieferern eine Malware z.B. durch den wöchentlichen Update des elektronischen Kartendarstellungs- und Informationssystem (kurz genannt ECDIS), das als Navigationsinformationssystem verwendet wird, zu installieren, dann können sie nicht nur einzelne Schiffe manövrierunfähig machen, sondern im schlimmsten Fall eine ganze Flotte lahmlegen und sowohl physische wie auch non-physische Schäden verursachen.

Das tönt bedrohlich. Gibt es noch weitere Beispiele?

Im Gesundheitswesen führen 90 Prozent der Spitäler und die meisten Arztpraxen die Patientenakten mittlerweile über ein elektronisches Dossier mit vielen gesundheitsbezogenen Daten, die für Hacker sehr attraktiv sind. Dabei wird standardisiert über Abfragedatenbanken (sogennante SQL) auf eigenen Servern oder über die Cloud auf die Patientendatenbanken zugegriffen. Gelingt es einem Hacker, auf diese Datenbanken zuzugreifen, ist er in der Lage, nicht nur Daten zu manipulieren und zu löschen, sondern im schlimmsten Fall den Zugriff zu verweigern. Das sind nur einige Beispiele für das rasant wachsende Gefahrenpotenzial. Die grössten Angriffsvektoren sind heute immer noch Phishing, Ransomware, Schadsoftware, Social Engineering und Business Email Compromise. In letzterem Angriff geben sich Akteure als vertrauenswürdige Personen aus und verlangen die Bezahlung einer gefälschten Rechnung oder die Herausgabe vertraulicher Daten, die sie für weitere betrügerische Aktivitäten missbrauchen können. 

Ist die Situation wirklich so dramatisch wie häufig beschrieben?

Da muss man unterscheiden, was die Quantität und Qualität anbelangt. Wenn es um die Frequenz geht, dann verzeichnen wir viel mehr Angriffe als in der Vergangenheit. Wir sehen zudem ein starkes Wachstum von Ransomware-Angriffen, die sich häufig erst 12-15 Monate später direkt sichtbar bemerkbar machen. Positive Meldungen von Versicherern, die von einer geringeren Schadenbelastung durch Ransomware-Angriffe berichten, sind also mittel- bis langfristig mit Vorsicht zu geniessen. Es gab 2023 auf den ersten Blick quantitativ sicher weniger gravierende Versicherungsschäden, aber die Kosten für die Wirtschaft durch Cyberkriminalität und Angriffe sind weiter exponentiell gestiegen. Wir lagen 2023 bei rund 7,5 Milliarden Franken, verglichen mit 5 Milliarden in 2021. Ich erwarte, dass diese Kosten exponentiell weiter steigen und schon 2025 über 10 Milliarden Franken liegen werden.

Sind Hacker eigentlich immer einen Schritt voraus?

Die Schlagwörter, die einem in Zeiten des digitalen Wandels immer wieder begegnen, sind Künstliche Intelligenz und Robotics. Zudem werden Netzwerke immer mehr mit neuen Sensoren, Softwaren und anderen Technologien ausgestattet, so dass Systeme und Geräte über das Internet vernetzt werden können und Daten schnell und effizient ausgetauscht werden (Internet der Dinge). Diese neuen Technologien und Verknüpfungen vergrössern natürlich auch das Cyberrisiko, das sich fundamental von einem Naturkatastrophenrisiko unterscheidet. Nicht nur, weil es ein globales Risiko ist und relativ wenig Diversifikation (ausserhalb einzelner Industrien) erlaubt. Was in der Vergangenheit passierte bezüglich der Schäden und der Angriffsvektoren bedeutet bei Cyber nicht zwangsläufig, dass es in Zukunft gleich sein wird. Wir hatten in den letzten Jahren drei Generationen von Ransomware-Angriffen mit Erpressung und Abziehen von Daten sowie Drohungen gegenüber Kunden, diese zu veröffentlichen. Jetzt sind wir schon wieder in einer neuen Phase. Das ist eine grosse Herausforderung für jeden Versicherer, weil sie nicht einfach auf vergangene Daten zurückgreifen können, um die Zukunft zu modellieren. Gleichzeitig müssen die Deckungskonzepte bzw. -umfänge jährlich überprüft werden. Ansonsten werden wir eines Tages ein systemisches Schadenpotential vorfinden, das die Privatwirtschaft sicherlich alleine nicht mehr tragen kann.

Wie gut sind Unternehmen oder Organisationen auf diese Herausforderungen überhaupt vorbereitet?

Früher gab es eine klare Abgrenzung zwischen der sogenannten Operative Technology (OT) und der Informationstechnologie (IT), die nicht miteinander über das Internet verknüpft waren. Letzteres kümmert sich um die Informationsverarbeitung bzw -verarbeitung, wogegen Ersteres die Hardware und Maschinen umfasst, die für die physischen Prozesse eines Unternehmens verantwortlich sind. Heute muss man essentiell eine Brücke zwischen beiden schlagen, um schneller, effizienter und umfänglicher Daten nutzen zu können. Das bedeutet natürlich wiederum mehr Angriffsmöglichkeiten. Kurz gesagt, wir haben riesige Herausforderungen im Cyberbereich. Prävention und Erkennung alleine genügen heute längst nicht mehr. Im Pokerspiel würde man mindestens bei der Prävention diese als Mindesteinsatz bezeichnen (Tablestake). Der entscheidende Punkt für Unternehmen und Organisationen ist eine schnelle Wiederherstellung von Daten, also die «Response & Recovery». Je schneller ich wieder zurück bin, desto kleiner sind die Kosten, der Ausfall und der mögliche Schaden. Und desto weniger gross wird meine Haftung sein gegenüber Dritten. Da kommen natürlich zukünftige Technologien mit künstlicher Intelligenz oder Robotics zum Tragen, die hier wertvolle Unterstützung in der Früherkennung leisten können. Man sollte jedoch nie vergessen, dass diese Technologien auch vom Gegner genützt werden…

Aus Ihrer Sicht: Sind Cyberrisiken überhaupt versicherbar? 

Das ist immer noch eine sehr gute Frage. Und zwar aus dem Grund heraus, dass es CEOs in der Versicherungsindustrie gibt, die berechtigterweise sagen, bestimmte Arten von Cyberrisiken (z.B. staatliche Angriffe, systemische Angriffe auf kritische Infrastruktur) sind nicht oder nur teilweise versicherbar. Diese Sorge und Position ist absolut berechtigt. Ich kenne allerdings keinen CEO in der Assekuranz, der sagt, Cyberrisiken sind grundsätzlich absolut nicht versicherbar. In der Zwischenzeit haben sich die Versicherer zum Glück zum Thema materiell weiterentwickelt und haben Klauseln in ihren Versicherungsverträgen eingeführt, die klare Ausschlüsse für die kritische Infrastruktur beinhalten und in grössten Teilen staatliche Angriffe, mindestens direkte Auswirkung durch Cyber Operationen während, oder in der Vorbereitung oder im Nachgang eines Krieges ausschliessen. Bei systemischen Risiken muss zwangsläufig über sogenannte PPPs, also Private Public Partnerships, nachgedacht werden. Andere Staaten wie zum Beispiel Singapur wollten diesen Schritt bereits 2017 tun. Damals hiess es jedoch von Seiten der Industrie, man brauche keine PPPs. Heute hat sich das Blatt total gewendet, und praktisch auf jedem Fachkongress, insbesondere von Seiten der Makler, werden PPPs gefordert.  

In der Schweiz ist eine solche Partnerschaft bislang auch nicht zustande gekommen…

Das stimmt, in der Schweiz ist es genau umgekehrt. Da hat bin anhin der Staat die Meinung vertreten, das brauchen wir nicht. Da bin ich wiederum der Meinung, man sollte nicht voreilig zu Konklusionen kommen. Das Risiko wird nicht kleiner, das Risiko wird grösser. Es gibt immer noch sehr, sehr viele Leute, die denken, es wird zu keiner Katastrophe kommen und die sagen, es wird niemals einen Blackout geben. Ich bin mir hundertprozentig sicher, dass es ein Umdenken gibt, sobald es zu einem grossen Vorfall kommt. Und die Frage ist nicht ob, sondern wann. Die Stakeholder wie Staat, Versicherungswirtschaft und die Sicherheitsindustrie sollten sich an einen Tisch setzen und offen darüber diskutieren, wo die Reise jetzt hingeht. Man müsste wahrscheinlich einen Zwischenweg gehen, ohne rein staatliche Deckung, sondern beispielsweise eine obligatorische Versicherung für bestimmte Industrien und Unternehmensgrössen einführen. KMU könnten steuertechnisch unterstützt werden, wenn sie in die IT-Sicherheit investieren. Und Teile des Risikos könnten auch an den Kapitalmarkt ausgelagert werden, wie es heute ja schon bei NatCat-Bonds der Fall ist. Aber Cyberkrieg im Sinne von staatlich getriebenen Cyberoperationen gegen kritische Infrastruktur - das kann der private Versicherungsmarkt nicht tragen und sollte er auch nie tragen. 

Wird das Risiko noch immer unterschätzt? 

Nun, in vielen Unternehmen nehmen Mitarbeitende im IT-Security-Bereich häufig noch andere Funktionen wahr - sie kümmern sich zum Beispiel darum, dass alle einen Laptop haben und dieser einwandfrei funktioniert. Damit gehen allerdings viele Ressourcen verloren, die aus meiner Sicht anders eingesetzt werden könnten. Was ich auch feststelle, ist die Tatsache, dass fast kein CTO oder CISO in der Geschäftsleitung repräsentiert ist. Obwohl die Gefahrenlage gestiegen und damit die Reputation des Unternehmens gefährdet ist. Auf was ziele ich vor allem ab, wenn ich jemanden angreifen will? Auf die Reputation, auf den Brand und den Marktwert. Ich will mir die Daten und schlussendlich die immateriellen Güter holen - und kann damit ein Unternehmen vernichten. Beispiele dafür gibt es genügend. Der matchentscheidende Punkt ist doch, dass wir uns bewusst sein müssen, dass die Cybersicherheit kein Kostenfaktor sein darf. Es ist eine Investition in die Zukunft, um den Ruf eines Unternehmens zu schützen und langfristig den Wert eines Unternehmens weiterzuentwickeln. Da braucht es diese Expertise und Verantwortung auch in der Geschäftsleitung.

Auf einer Skala von 1-10: Wie hoch ist die Wahrscheinlichkeit für einen Blackout in der Schweiz?

Die Wahrscheinlichkeit, dass ein Blackout aufgrund eines Hackerangriffs passiert, steigt aus meiner Sicht exponentiell. Wenn wir uns die Energiekraftwerke anschauen, wenn wir uns Stromproduzenten genauer anschauen - dort haben wir Schwachstellen, weil häufig noch mit alter Technologie gearbeitet wird. Da müsste in Zukunft einiges an Geld investiert werden. Insgesamt sehe ich die Schweiz irgendwo in der Mitte und würde die Wahrscheinlichkeit für einen Blackout mit einer 5-6 beziffern. Die Grundsatzfrage, die wir uns stellen müssen: Sind wir bereit und können wir die notwendigen Mittel in die Cybersicherheit investieren? Auf jeden Fall ist Cybersicherheit ein Geschäftsleitungsthema, gehört Top-Down adressiert und Cyberversicherung wird ein wichtiges Risikotransferinstrument bleiben, solange es auf die Bedürfnisse der einzelnen Unternehmen abgestimmt ist.

Dieser Artikel erschien zuerst in der Handelszeitung unter dem Titel: "«Cybersicherheit darf kein Kostenfaktor sein und ist Chefsache»".