SBB von Hackerangriff getroffen – Kundendaten nicht betroffen» hiess es Anfang Februar. Tage zuvor hatte es die Universität Zürich erwischt. Eine Attacke auf Swissport störte zeitweise den Flugbetrieb in der Schweiz. Und in Hackerforen kursierten im Januar japanische Kundendaten von Zurich Insurance (HZ Insurance berichtete: Hacker erbeuten Kundendaten von Zurich Insurance in Japan).
Diese Entwicklung beunruhigt alle. Gemäss der kürzlich veröffentlichten KMU-Umfrage der Credit Suisse befürchten zwei Drittel aller grossen Unternehmen Hackerangriffe. Je kleiner die Firmen, desto kleiner sind auch die Befürchtungen – obwohl auch und gerade für kleinere Firmen das Risiko hoch ist.
IT als risikoreiche Schwachstelle
Der Ausbau der Massnahmen zur Prävention von Cyberattacken steht in der KMU-Umfrage denn auch an oberster Stelle der von Firmen in der Schweiz gewählten Massnahmen gegen Reputationsrisiken. «Die Risiken sind immer noch gleich», fasst Hannes Lubich, emeritierter Professor für IT-Sicherheit an der Fachhochschule Nordwestschweiz (FHNW) zusammen. «Es sind die Schwachstellen in eigenen oder fremden, angeschlossenen beziehungsweise genutzten IT oder die Operational-Technologie-Steuerungssysteme, bei denen auch die Zulieferer beachtet werden müssen, sowie menschliche Unzulänglichkeiten.»
Wenig Schutz in der Cloud
Neue Anwendungen schaffen ständig neue Herausforderungen. Beispielsweise Chat GPT: Hier zeichnet sich nicht nur ein Wettlauf der besten Systeme bei generativer künstlicher Intelligenz (KI) ab. Auch viel Herstellersoftware, die etwa Abschlussarbeiten an Hochschulen und Universitäten daraufhin prüft, ob sie mit unerlaubter KI-Hilfe erstellt worden sind, wurde in den vergangenen Jahren von einem US-Unternehmen zusammengekauft.
Leseempfehlung der Redaktion:
ChatGPT beschäftigt längst nicht nur die allgemeinen Medien. Auch Versicherer haben aktiv angefangen, das Thema intern zu diskutieren.
ChatGPT – Auch für Schweizer Versicherer?
Diese Anwendungen werden in der Cloud betrieben – und damit sind die Inhalte der zu prüfenden Texte, die gerade bei industrie- und anwendungsnahen Fachhochschulen sensible Informationen umfassen können, nicht mehr geschützt. «Chat GPT ist derzeit ein Hype – natürlich wird KI von Angreifern wie von Verteidigern zu verschiedensten Zwecken genutzt, und die Nutzung wird wachsen», sagt Lubich. «Aber noch ist es kein Gamechanger, sondern ein weiteres Tool, das beide Seiten noch eher opportunistisch nutzen, denn auch diese Tools haben wieder ihre eigenen Vor- und Nachteile – es ist und bleibt also ein permanentes Wettrüsten.»
Reduzierte Deckung bei Erpressung
Ziemlich hilflos sind viele Unternehmen bei Ransomware-Angriffen, also bei Verschlüsselungen von Daten und anschliessenden Geldforderungen, zahlbar vorzugsweise in Bitcoin. Versicherungen decken die hierbei entstehenden Schäden nicht mehr so grosszügig wie noch vor einigen Jahren, und betroffene Firmen müssen zeigen, dass sie der Sorgfaltspflicht nachgekommen sind.
«Wenn man erpresst wird, muss man gegebenenfalls schon vorher festlegen, wie man reagieren will, und prüft dann im Ernstfall, ob die getroffene Entscheidung noch richtig ist», rät Lubich. «Generell sollte man natürlich nicht zahlen, weil man damit Kriminelle finanziert und man Gefahr läuft, weiter erpresst zu werden. Aber im Einzelfall muss das Unternehmen entscheiden, wo das grössere Risiko liegt.» Beispielsweise in Fällen, in denen das Backup nicht ausreicht oder zerstört wurde, oder in denen die Veröffentlichung des Angriffserfolgs die Firma sofort ruinieren würde.
Versicherung rasch beiziehen
Zudem ist zu entscheiden, ob man Anzeige erstatten will. «Ist man versichert, muss die Versicherung rasch beigezogen werden. Das Gleiche gilt für externe Hilfe bei der Incident Response, der Verhandlung der Lösegeldhöhe, der raschen Beschaffung der richtigen Währung und der Auslösung der Zahlung sowie bei der Neukonfiguration der Systeme nach Erhalt eines Dechiffrierschlüssels», rät Hannes Lubich.
Und auch dann ist es noch nicht vorbei. «Spätestens zu diesem Zeitpunkt muss jedes Unternehmen sein Dispositiv bezüglich Angriffswegen und Reaktionen anpassen, damit das nicht wieder passiert. Auch die Meldepflichten sowie die Kommunikation mit den Mitarbeitenden, der Kundschaft und der Öffentlichkeit müssen passen.» Gute Vorlagen gibt es inzwischen reichlich, und fast täglich kommen neue hinzu.
Dieser Beitrag ist erstmals erschienen im HZ Insurance Special «Cyber Risk» am 2. März 2023 unter dem Titel «Grösste Sorge: Hackerangriff».