Cybersecurity – Mit der Gefahr leben? Perspektive gegen Cybercrime

Im Jahr 2021 meldete allein Microsoft weltweit über 70 Milliarden abgewehrte Cyberangriffe. Rund 25,6 Milliarden Mal mussten dabei Zugriffe auf Unternehmenskonten blockiert werden. Das sind beunruhigende Zahlen, zumal auch Schweizer Unternehmen immer häufiger Opfer von Cyber­attacken werden. In der bislang aktuellsten Kriminalstatistik dazu (2020) finden sich insgesamt 24’398 Fälle digitaler Kriminalität. Der weitaus grösste Teil fiel in den Bereich der Wirtschaftskriminalität, meist sogenannter «Cyberbetrug». Die Aufklärungsrate lag bei 37,6 Prozent.

Allgegenwärtige Gefahr

Die Folgen von Ransomware, Phishing, Malware, Spyware und Computerviren können Unternehmen aller Grössen schwerwiegend gefährden. Bisherige Abwehrmassnahmen reichen vielfach nicht aus, und nach Schätzungen der Allianz Versicherung sind nur etwa zehn Prozent der KMU gegen solche Fälle versichert. 2021 wurden laut Untersuchungen der Versicherungsbranche 36 Prozent der KMU zum Ziel eines Cyberangriffs. Hierzu interviewte der SRF Anfang Februar Andreas Hölzli, Leiter des Kompetenzzentrums Cyber Risk der Versicherung «die Mobiliar». Hölzli wies dabei auf die enorme Steigerungsrate hin, denn 2020 hatten nur 25 Prozent der KMU von solchen Angriffen berichtet.

Grosse Geldsummen

Besonders gefürchtet sind Attacken mit erpresserischer Ransomware: Die Täter verschlüsseln hierbei wichtige Dateien in den Firmennetzwerken und fordern anschliessend Lösegeld. Nach Studien des Marktforschungsunternehmens Comparitech lagen die wirtschaftlichen Schäden durch Cyberattacken 2020 für die Schweiz insgesamt im dreistelligen Millionen-US-Dollar-Bereich. Das Thema Cybersicherheit hat daher längst nationale Bedeutung, und so ist das Kompetenzzentrum des Bundes für Cybersicherheit NCSC (National Cyber Security Centre) auch für hilfesuchende Betriebe eine erste wichtige Anlaufstelle. Eine Meldepflicht gibt es derzeit noch nicht, dennoch gingen hier im Jahr 2021 über 21’000 Meldungen ein.

Noch zu wenig Abwehr

Zahlreiche Unternehmen bemühen sich selbstverständlich um Schutzmassnahmen wie Firewalls, verschlüsselte Verbindungen oder regelmässig aktualisierte Sicherheitssoftware. Auch an Pro­blem- und Verantwortungsbewusstsein fehlt es den Führungskräften offenbar eher selten. Das zeigte eine Befragung von Sapio Research im Auftrag des Cybersecurity-Spezialisten Trend Micro. Von 204 IT- und Business-Entscheidern aus Schweizer Unternehmen mit mehr als 250 Beschäftigten gaben 68 Prozent an, zukünftig mehr Mitarbeitende in das Risikomanagement einbinden zu wollen.

Andererseits wünschte sich bei einer Erhebung der Firma Cisco im Herbst 2021 knapp die Hälfte der Befragten deutlich mehr Arbeitgeber-Initiative im Bereich der Cybersecurity. Hierfür waren europaweit 1’500 Angestellte befragt worden, von denen 251 in der Schweiz arbeiteten.

Sicherheitslücke Mensch

Leider sind es vielfach gerade unachtsam handelnde Angestellte, die unbekannte Anhänge öffnen beziehungsweise dubiose Links anklicken. Dadurch passiert es immer wieder, dass, oft zunächst unbemerkt, Schadsoftware installiert wird. Auch der Anteil derjenigen, die zur Erfüllung ihrer beruflichen Aufgaben bestehende Sicherheits­systeme zumindest manchmal absichtlich umgehen, ist immer noch zu hoch. Laut Cisco-Umfrage lag er 2021 mit 42 Prozent immerhin deutlich niedriger als 2020, in dem es 95 Prozent waren.

Eine möglichst erfolgreiche Abwehrstrategie braucht effiziente alltagstaugliche Sicherheitsroutinen, regelmässige Schulungen sowie eine Organisationsstruktur, die alle Mitarbeitenden miteinbezieht. Bestimmten Unternehmensbereichen kommt dabei jedoch zusätzliche Verantwortung zu: So wird etwa der rechtliche Umgang mit den ICT-Risiken stark an Bedeutung gewinnen. Als Beispiel sei hier die geplante Meldepflicht an das NCSC genannt. Sie soll für Betreiber kritischer Infrastrukturen gelten.

Swissness und IT-Security

Auf Basis funktionierender Unternehmenskultur kann aktuelle Abwehrsoftware guten Schutz bieten. Viele Security-Dienstleistende stammen dabei aus der Schweiz und werden zumindest vom inländischen Mittelstand bevorzugt beauftragt. Dies zeigte 2021 eine Studie der Information Service Group (ISG). Auch die Wachstumsraten des Schweizer Marktes für IT-Security-Services waren in den vergangenen Jahren mit jährlich etwa zehn Prozent sehr gut. So nützen die hohen Sicherheitsausgaben immerhin wieder der Schweizer Wirtschaft sowie der Marke Schweiz.