12. Juni 2019
Schlachtfeld Cyberspace
Betrug, Sabotage, Datenklau, Erpressung, verbotener Nachrichtendienst: Die Schweiz und ihre Unternehmen sind im Fadenkreuz von Cyberkriminellen. Eine Analyse zur Kehrseite der digitalen Kommunikation.
Hacker erbeuten von zwei Berner Firmen über Nacht 1,5 Millionen Franken. In einer Aargauer Druckerei stoppt eine Erpressersoftware alle Maschinen; sie laufen erst wieder, als die Firma Lösegeld zahlt. Erpresst wird auch ein Viersternehotel in Graubünden – die Täter haben das Reservationssystem lahmgelegt. Das Hotel zahlt nicht, doch es investiert 50 000 Franken in die Sicherheit, unter anderem in neue Server.
Die Gefahr steigt
Cybervorfälle sind im Wirtschaftsleben nichts Exotisches mehr. Sie stellen mittlerweile das zweitgrösste Geschäftsrisiko dar, fast gleichauf mit dem Betriebsunterbruch. So lautet ein Fazit des «Allianz Risk Barometer», basierend auf einer Umfrage unter 2400 Risikoexperten aus 86 Ländern. Besonders hoch ist das Cyberrisiko laut dem Bericht für Unternehmen mit einem Jahresumsatz unter 250 Millionen Euro: In dieser Grössenkategorie hat das Cyberrisiko den Betriebsunterbruch sogar überholt. Zu den Ergebnissen des Risk Barometers passt die Kriminalstatistik: Im Jahr 2018 haben Cyberdelikte auch in der Schweiz erneut stark zugenommen. Die Kapo Bern meldet 21 Prozent mehr Erpressungsfälle und 7 Prozent mehr Einbrüche in Datensysteme. Die Kapo Zürich verzeichnet 16 Prozent mehr Anzeigen gegen Internetbetrüger. Und natürlich gibt es eine Dunkelziffer – Fälle, die nie zur Anzeige gelangen.
Erhebliche Defizite
Wie gut sind die Unternehmen für Cybergefahren gerüstet? Ivano Somaini, Experte für Cybersicherheit bei Compass Security in Zürich, testet IT-Systeme auf Schwachstellen. Die Methode: Er greift das System seiner Kunden an – in deren Auftrag. Die Erfahrungen fasst Ivano Somaini in einem Wort zusammen: «schockierend». Wenn er den Auftrag habe, in ein System einzubrechen, liege die Erfolgsquote bei fast 100 Prozent. «In der Regel benötige ich dafür ein bis zwei Tage.» Gegen solche gezielten Attacken hätten Unternehmen einen schweren Stand, räumt er ein. Einfacher, aber immer noch schwierig, sei die Abwehr von Massenangriffen, die kein bestimmtes Ziel haben, etwa mittels Phishingmails. Das Cyberrisiko ist der Preis für die Chancen einer digitalen Wirtschaft: Was digital vernetzt ist, kann man angreifen. Und zwar auch Computer von Apple. Ivano Somaini: «Zwar sind Apple-Geräte für Hacker weniger interessant, und meiner Erfahrung nach sind iPhones sicherer als Androidgeräte.» Aber: «Die Meinung, dass Apple-Geräte keine Antivirensoftware benötigen, ist falsch.»
Hochprofitable Straftaten
Die Schlacht im Cyberspace tobt immer heftiger. Es wütet eine kriminelle Energie, die landläufig massiv unterschätzt wird. Schon wenige Stunden nach 9/11 gab es mehrere Websites, die ein Fundraising vortäuschten. Ivano Somaini: «Man geht davon aus, dass die Cyberkriminalität seit 2013 profitabler ist als der weltweite Drogenhandel.» Die jährlichen Kosten der Cyberkriminalität erreichen gemäss Allianz Risk Barometer geschätzte 600 Milliarden Dollar. Das ist dreimal so viel wie die vom Rückversicherer Swiss Re errechneten Durchschnittskosten von 200 Milliarden Dollar pro Jahr infolge von Naturkatastrophen. Eine Cyberattacke kann Firmen auf diverse Art schädigen: durch Betriebsunterbruch, Strafverfahren, Bezahlen von Erpressungsgeld, Schadenersatz und Aufwendungen für das Wiederherstellen von Daten. Weltweit kostet ein Cyberschaden im Durchschnitt zwei Millionen Euro. Manche Schäden kosten «nur» einige Tausend Franken, andere Dutzende Millionen. Nicht zu vergessen sind indirekte finanzielle Schäden, zum Beispiel durch Reputationsverluste. Oder durch Wirtschaftsspionage – die Schweiz als bedeutender Standort für Innovation und Forschung ist ein exponiertes Ziel. Cyberattacken können auch Personen verletzen oder zu Sachschäden führen, wenn zum Beispiel wichtige Systeme ausfallen oder wenn die Attacke einen PC oder die Heizung überhitzt und Feuer auslöst.
Abwehrkraft der KMU erhöhen
KMU sind im Cyberkampf tendenziell verwundbarer als grosse Firmen. Viele KMU beschäftigen keine eigenen IT-Spezialisten. Die Verletzlichkeit der KMU ist beunruhigend, denn KMU haben für die hiesige Wirtschaft grosse Bedeutung: Fast alle Unternehmen in der Schweiz sind KMU – 99 Prozent. Sie sorgen gemäss dem Schweizerischen Gewerbeverband derzeit für 70 Prozent der Arbeitsplätze und für 87 Prozent der Lehrstellen. Es gilt, diese Werte zu schützen. Aber das kostet. Für KMU können Investitionen in die Cybersicherheit rasch unverhältnismässige Dimensionen annehmen. Kein Wunder, ist manches Unternehmen angesäuert: «Was sollen wir denn noch alles machen?» Die 2018 vom Bundesrat verabschiedete «Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken» streicht denn auch klar heraus, dass Cyberrisiken vor allem die KMU vor grosse Herausforderungen stellen.
IT auslagern: keine Sicherheitsgarantie
Manche KMU haben die Informatik ausgelagert und denken, das Sicherheitsproblem sei damit gelöst. Das stimmt nicht ganz. Externe Spezialisten zu beauftragen, ist zwar wesentlich besser, als die IT schwach aufzustellen, aber auch Profis können keinen vollen Schutz bieten. Unter anderem deshalb, weil sie die Zukunft nicht vorhersehen. Selbst eine aktuelle Virensoftware erkennt neue Viren erst zeitverzögert. Schlimmer noch, wenn die Software spezifisch gegen eine bestimmte Firma geschrieben worden ist. Und nicht jede Betrugsmail lässt sich abfangen – sobald Angestellte auf den Link klicken oder den Anhang öffnen, ist eine Schadsoftware im Haus, trotz professioneller IT. «In unseren Tests fallen meist mindestens zehn Prozent der Nutzer auf Phishingmails herein», sagt Ivano Somaini. Machtlos sind IT-Leute auch gegen physische Attacken, zum Beispiel wenn Angreifer infizierte USB-Sticks ins Büro schmuggeln. Wird der USB-Stick angedockt, beginnt die Schadsoftware ihr übles Werk. Zu den physischen Attacken gehören auch Abhörwanzen. Ivano Somaini kennt eine Firma, die das Sitzungszimmer regelmässig danach absucht und immer wieder fündig wird.
Datenschutz – Teil des Cyberrisikos
Noch ein Grund, weshalb KMU die Verantwortung nicht auf ihren IT-Dienstleister abschieben sollten: Zum Cyberrisiko gehören auch Rechtsverstösse, namentlich gegen das Datenschutzgesetz oder gegen das Urheberrecht. Dafür ist die Firma selbst zuständig. Sie muss Richtlinien aufstellen. Ist es zum Beispiel in Ihrem Unternehmen erlaubt, die Software der Facebook-Tochter Whatsapp zu benutzen, die auf das ganze Adressbuch und somit auf die Daten Ihrer Kunden zugreift? Ist es erlaubt, Sprachassistenten wie Siri zu benutzen? KMU müssen sich insbesondere fragen, ob es rechtens ist, wenn sie Daten auf ausländischen Servern speichern. Rechtsfragen haben mit der EU-Datenschutz-Grundverordnung DSGVO eine neue Schärfe erhalten. An der DSGVO wird teils heftige Kritik geübt. Die «Handelszeitung» vom 25. Mai 2018 bezeichnete die DSGVO als «Friendly Fire»: Sie nehme die grossen Datenkraken ins Visier, treffe aber primär KMU. Ivano Somaini glaubt jedoch an einen positiven Effekt: «Durch die DSGVO rückt das Cyberrisiko stärker ins Bewusstsein.» Trotzdem dürfte die DSGVO für zahlreiche Unternehmen schwer verdaulich sein. Ein Grundproblem liegt in der Sprache. Im Gegensatz zum Schweizer Datenschutzgesetz ist die DSGVO über weite Strecken unverständlich. Ohne juristische Beratung geht es nicht.
Unbedeutend und doch interessant
Das Cyberrisiko wird zuweilen auch mit folgendem Argument verharmlost: Wir speichern keine vertraulichen Daten. «Es spielt häufig gar keine Rolle, ob die Daten vertraulich sind», entgegnet Ivano Somaini. «Erpressbar ist jemand schon, wenn er keinen Zugriff mehr auf Daten hat, die für ihn wichtig sind.» Dass eine Firma oder eine Privatperson denkt, sie sei als Ziel unbedeutend, ist noch aus einem anderen Grund abwegig: Schlecht gesicherte Systeme dienen als Mittel zum Zweck: Grosse Firmen werden über schwach aufgestellte Systeme angegriffen. Zudem werden schwache Systeme für den Spamversand und für andere illegale Geschäfte genutzt. In der Folge wird ein KMU womöglich haftpflichtig.
Gefangen im Netz
Der wirksamste Schutz vor Risiken ist deren Vermeidung. Im Cyberspace würde dies grundsätzlich bedeuten: die Vernetzung auf das nötige Minimum beschränken. Doch das ist leichter gesagt als getan. Unsere Gesellschaft verhält sich widersprüchlich, wir knüpfen das Netz immer dichter. Die Liste der Schauplätze ist beinahe endlos: Internettelefone, RFID, Biometrie, elektronisches Patientendossier, Diskussionen um das E-Voting, die E-Vignette und die elektronische ID, obligatorisches GPS in neuen Autos. Wir werden gezwungen, uns zu verhalten wie die Theaterfigur Gottlieb Biedermann, der im Bühnenstück von Max Frisch zwei mutmassliche Brandstifter ins Haus lässt, obwohl er ahnen muss, dass sie es niederbrennen wollen. Die Sensoren im Smartphone schicken pausenlos Informationen in den Cyberraum, Apps spähen uns aus, wir hinterlassen Spuren. Die Attacken werden immer perfider. Kriminelle sind dabei, bösartige Websites im Blick auf die Sommerolympiade 2020 in Tokio einzurichten. Je mehr wir uns vernetzen, desto mehr Einfallstore gibt es für Cyberkriminelle. Und desto einfacher können uns Staaten und private Organisationen überwachen.
«Es braucht Krisenszenarien»
Höchste Zeit also, dass sich der Widerstand breiter formiert. Denn schon ist die nächste Risikostufe gezündet: das Internet der Dinge. «Mit dem Internet of Things werden die Angriffsflächen weiter zunehmen», sagt Ivano Somaini. Sein Rat: «KMU sollten zuerst die Prävention stärken, dann aber auch Krisenszenarien erarbeiten.» Was bedeutet es zum Beispiel, wenn der Onlineshop tot ist? Wenn wir keine E-Mails mehr schreiben können? Oder Kundendaten abhandenkommen? Und was tun wir dann? Beispiel: Sie können zwar externe Kosten für die Krisenkommunikation versichern lassen, aber das nützt wenig, wenn Sie im Ernstfall nicht wissen, was Sie unmittelbar nach dem Vorfall tun sollen. Antworten sind dringend. Denn für ein KMU geht es um viel – letztlich um seinen Fortbestand. Und es geht darum, den grossen Nutzen vieler digitaler Errungenschaften nicht zu gefährden.
Im nächsten Blogbeitrag erfahren Sie, wie Hacker vorgehen und wie Sie die Abwehr verstärken.
Foto: Beat Hühnli