Cyberattacken: «Einige Firmen denken, sie seien zu klein, um ein Opfer zu sein – das ist leider ein Trugschluss» Digitale Erpressungen und Betrugsversuche werden auch in der Schweiz zu einem immer grösseren Problem. An einer Zukunftsdebatte von «NZZ Live» diskutierten Experten über Cyberangriffe, Prävention, Abwehrmöglichkeiten und Strafverfolgung – ihre Tipps.

Digitale Erpressungen und Betrugsversuche werden auch in der Schweiz zu einem immer grösseren Problem. An einer Zukunftsdebatte von «NZZ Live» diskutierten Experten über Cyberangriffe, Prävention, Abwehrmöglichkeiten und Strafverfolgung – ihre Tipps.

Weltweite Cyberangriffe auf Unternehmen, Behörden oder Infrastrukturen häufen sich und sind fast alltäglich geworden. Entsprechend gross ist die Unsicherheit vor den unsichtbaren Kriminellen, die im Internet operieren. Zum Beispiel Royal Mail in Grossbritannien, ABB, der Hafen im japanischen Nagoya oder CH Media und die NZZ wurden unlängst Opfer von solchen Angriffen.

In der Schweiz waren letztes Jahr laut einer Umfrage rund 60 Prozent der Firmen betroffen, wobei ein durchschnittlicher Schaden von 460 000 Franken entstanden ist. Aber auch Privatpersonen geraten immer mehr in den Fokus der Cyberkriminellen. Doch welche Formen von Attacken gibt es überhaupt, und was lässt sich vorkehren, um IT-Schwachstellen frühzeitig zu erkennen? Welche Möglichkeiten haben die Strafbehörden, um gegen die Angreifer vorzugehen?

Betrugsfälle am häufigsten

Am 14. September 2023 hat in der Reihe «Zukunftsdebatte» von «NZZ Live» in Zürich eine Podiumsdiskussion zum Thema «Cyber-Security: Wie schützen wir uns gegen unsichtbare Angreifer?» stattgefunden. Dabei diskutierten unter der Leitung von Lukas Mäder, Redaktor der «Neuen Zürcher Zeitung» im Ressort Technologie (Schwerpunkt Cybersicherheit), eine Expertin und zwei Experten über Sicherheitsrisiken und Lösungsansätze. Sponsoringpartner Accenture, eine der weltweit grössten Dienstleistungsfirmen im Bereich der Unternehmens- und Strategieberatung sowie Technologie- und Outsourcing, unterstütze die Veranstaltung (siehe Infobox unten).

Maya Bundt, Chair Cyber Resilience Chapter bei der Swiss Risk Association, erklärte eingangs, dass laut der Statistik des Nationalen Zentrums für Cybersicherheit (NCSC) Betrugsfälle mit grossem Abstand am häufigsten vorkämen. Bedeutend wegen des grossen Schadenpotenzials seien aber vor allem auch Erpressungen mit Ransomware (Schadprogrammen), und in jüngster Zeit wurden auch wieder vermehrt DDos-Attacken (Überlastung eines Services mit derart vielen Anfragen, sodass der Service gestört wird) registriert. Thomas Holderegger, Security Lead Schweiz bei Accenture, ergänzte, dass man auch zwischen staatlichen Akteuren zu Spionagezwecken und Kriminellen unterscheiden müsse. «Die Qualität eines Angriffs, hinter dem ein Staat steckt, ist in der Regel viel höher.» Ausserdem werde er länger geführt und sei schwerer zu verhindern, richte sich aber eher gegen Behörden als gegen Firmen, die aber trotzdem oft in Mitleidenschaft gezogen würden

Angriffe mit Spam-E-Mails

Stephan Walder, Leiter Digitale Transformation und Chief Digital Officer bei der Oberstaatsanwaltschaft des Kantons Zürich, gab Einblicke in das Ökosystem der Cyberkriminalität: «Die Kriminellen sind meistens Menschen ohne Job, die Geld verdienen wollen und den Weg des geringsten Widerstands gehen.» Das Business sei äusserst anonym, arbeitsteilig und nicht reglementiert, weshalb viele Arten von Delikten möglich seien. Cybercrime sei kein Delikt, sondern eine Methode zur Identifikation und Lokalisation der Täterschaft im Inter- und Darknet. Thomas Holderegger ging näher auf Erpressungsversuche mit Ransomware ein. «Das sind breit gefahrene, rein ökonomisch motivierte Angriffe mit Spam-E-Mails. Sobald dann jemand in einer Firma auf einen Link klickt oder einen Anhang öffnet, haben die Kriminellen Zugang ins IT-System und zu den Servern.» Dort stöhlen sie Daten und drohten, diese öffentlich zu machen, oder verschlüsselten sie, sodass die Mitarbeitenden Dokumente und Applikationen nicht mehr öffnen könnten, bis das eingeforderte Lösegeld bezahlt würde.

In einem solchen Fall ist es gemäss Maya Bundt wichtig, dass ein Unternehmen sofort den Krisenstab aktiviert, der idealerweise gut vorbereitet und eingeübt ist. «Dieser muss versuchen, kritische Prozesse aufrechtzuerhalten, und gut gegen innen und aussen zu kommunizieren.» Falls personenbezogene Daten gestohlen wurden, müssen laut Gesetz die Datenschutzbeauftragten informiert werden. Aus Sicht der Strafverfolgungsbehörden wäre es, wie Stephan Walder ausführte, jeweils wünschenswert, einen Angriff weiterlaufen zu lassen, statt zu stoppen. «So steigt die Chance, die Täter zu identifizieren und zu lokalisieren.» In diesem Spannungsfeld gelte es, zusammen mit der betroffenen Firma eine praktikable Strategie zu finden. «Die Täter zu fassen, ist durchaus möglich, wobei wir vielfach auf Rechtshilfe im Ausland angewiesen sind. Die Erfolgsquote liegt bei rund 40 Prozent», erklärte er.

Auf einfache Weise viel Geld verdienen

Auf die Frage des Moderators, warum Cyberangriffe eine weltweite Bedrohung geworden seien, antwortete Maya Bundt: «Es lässt sich auf einfache Weise viel Geld verdienen. Und das Risiko, erwischt zu werden, ist nach wie vor relativ klein.» Für Thomas Holderegger spielt auch die Zunahme der Nutzung und Vernetzung der digitalen Technologien und die unkomplizierte Möglichkeit der pseudoanonymen Geldübergabe in Kryptowährungen eine wichtige Rolle. «Diese Entwicklungen haben dazu geführt, dass die Firmen grössere Schutzanstrengungen unternehmen, Lücken wird es allerdings immer geben.» Das Aufkommen der Kryptowährungen beurteilte Stephan Walder weniger negativ: «Bitcoins und Co. hinterlassen eine digitale Spur, der man folgen kann.» Die Geldflussanalyse sei in der Strafverfolgung ein wichtiger Faktor. Die zunehmende Regulierung von digitalen Währungen hat gemäss Maya Bundt die Situation stabilisiert. Ohne Kryptowährungen würde es immer noch Cyberattacken geben.

Um sich gegen Angriffe zu wehren, müssen die Firmen laut Thomas Holderegger eine sogenannte Cyber-Resilienz aufbauen und sich spezifische Fähigkeiten aneignen. Weil Banken und Versicherungen früh ins Visier von Kriminellen gerieten, hätten sie schon frühzeitig zahlreiche Massnahmen ergriffen, sagte Maya Bundt. In den letzten Jahren sei aber auch das produzierende Gewerbe stärker betroffen. Insgesamt sei das Verständnis für das Risiko stark gewachsen, doch noch immer gäbe es Unternehmen, die zu wenig tun. «Einige Firmen denken, sie seien zu klein, um ein Opfer zu sein – das ist leider ein Trugschluss.»

Minimale Massnahmen – grosse Wirkung

«Aber schon mit einfachen Massnahmen lässt sich einiges erreichen», führte Thomas Holderegger aus. Dabei müssten auch die Daten von Zulieferern geprüft werden, um Supply-Chain-Risiken zu reduzieren, also die Einführung von Schadsoftware via kompromittierte Zulieferer. Viele erfolgreiche Angriffe würden Schwachstellen ausnutzen, die lange bekannt seien, erklärte Maya Bundt. Der Ruf nach Regularien im IT-Bereich wird gemäss Stephan Walder in nächster Zeit wohl lauter werden. Maya Bundt erläuterte, dass Cyberversicherungen im Markt vorhanden seine. In den letzten zwei Jahren seien die Ansprüche der Versicherer an die Cyber-Security der Unternehmen deutlich gestiegen; ausserdem seien im gleichen Zeitraum die Prämien stark gestiegen, was wiederum die Aufmerksamkeit für das Thema erhöht hat.»

Abschliessend empfahl Thomas Holderegger Privatpersonen die Verwendung eines Passwortmanagers. «Das ist einfach, aber effektiv». Maya Bundt riet dazu, immer aufmerksam zu sein, wenn man angerufen werde oder eine E-Mail erhalte. Stephan Walders Tipp: «Nie bezahlen bei Erpressungsversuchen!» Man wisse nie, ob die gestohlenen Daten nicht doch weiterverwendet werden. «Im Darknet gibt es kein Handeln nach Treu und Glauben.» Cybercrime lasse sich nicht ausrotten, aber durch die Arbeit der Strafverfolgung könne die Schweiz etwas weniger attraktiv gemacht werden als andere Länder.

Die nächsten Veranstaltungen von «NZZ Live»