Im Mai meldete eine Schweizer Medtech-Firma eine Cyberattacke. Kurz zuvor war ein grosser Schweizer Personalvermittler gehackt worden. Und noch ein paar Tage früher wurde eine Firma angegriffen, die bei Breitensportanlässen die Zeiterfassung und Ranglistenberechnungen organisiert.
Das sind nur wenige Beispiele – das Bundesamt für Cybersicherheit (Bacs) registriert wöchentlich zwischen 500 und 2500 Meldungen zu Vorfällen. Die wichtigste Kategorie ist dabei «Betrug» – und hier findet sich unter anderem die Unterkategorie «CEO-Betrug», bei dem Finanzabteilungen von Firmen ausgenommen werden.
Cybersicherheit als Chefsache
«Die Finanzabteilungen von Betrieben sind für Angreifer interessante Ziele», sagt Nicolas Mayencourt, CEO des auf IT-Sicherheitsthemen spezialisierten Unternehmens Dreamlab Technologies. «Wer Zugriff auf sie hat, kann Zahlungen auslösen, Kontendaten abgreifen sowie Bilanzen und andere Finanzinformationen einsehen oder gar fälschen.» Finanzabteilungen geraten daher regelmässig und gezielt ins Visier von Betrügern und Betrügerinnen. «Hier werden zum Teil grosse Summen transferiert, was für Cyberkriminelle lukrativ ist», so Mayencourt.
Die Angriffsvektoren und -methoden sind laut Mayencourt zahlreich: von generischen Phishingmails und Ransomware-Attacken bis hin zu KI-unterstützten gezielten Deepfakes wie beispielsweise «CEO Fraud». «Oft konsultieren die Kriminellen im Vorfeld die Geschäftszahlen der Zielunternehmen», sagt Mayencourt weiter. «Damit wissen sie, wie hoch sie ihre Lösegeldforderungen ansetzen können.»
Was sich laut dem Experten immer mehr etabliert: Staatliche Akteure kooperieren mit kriminellen Organisationen in Form eines destruktiven Private-Public-Partnership-Ansatzes. «So wird beispielsweise eine Organisation mit Schadprogrammen attackiert, die wahre Absicht war aber stets Informationsbeschaffung», sagt Mayencourt. «So werden die wahren Beweggründe vertuscht, und es sieht vordergründig nach einem Angriff gewöhnlicher Cyberkrimineller aus.» Die Technologie leiste hier Hilfestellung und bilde die erste Linie der Verteidigung. So könnten holistisch konzipierte Sicherheitsarchitekturen einen Grossteil der Angriffe abfangen. «Am Ende des Tages steht und fällt aber alles mit sensibilisierten und geschulten Mitarbeitenden», erklärt Mayencourt.
Eine zunehmend wichtige Rolle spielt künstliche Intelligenz. «Einerseits unterstützt KI die Identifikation von Schadensmustern und Auffälligkeiten bei der Abwehr, anderseits wird KI immer häufiger auf der Angreiferseite eingesetzt, beispielsweise für ‹CEO Deepfake Fraud› oder bei der Optimierung von Phishingmails», sagt Mayencourt. «Dabei sind Angreifer stets im Vorteil; ihnen reicht eine einzige Sicherheitslücke – die Verteidigung hingegen muss alle Schwachstellen auf dem Radar haben.»
Cybersecurity müsse dringend als Grundlage der Unternehmensführung verstanden werden, so Mayencourt. «Analog zu der im OR definierten Finanzberichterstattung muss das Thema Cybersicherheit dringend als Managementaufgabe und als Grundvoraussetzung für eine ordentliche und sichere Geschäftsbesorgung verstanden werden.»
Für geklaute Daten gibt es Märkte
«Angesichts der zunehmenden Digitalisierung sind Finanzabteilungen verstärkt mit Cybersecurityrisiken konfrontiert», sagt Petra Maria Asprion, Professorin für Digital Trust an der Fachhochschule Nordwestschweiz (FHNW). «Die dort verarbeiteten Daten wie Bankkontonummern, Kreditkartendaten und Anlageunterlagen sind für Cyberkriminelle attraktiv, und es gibt einen Markt dafür, zudem können Unternehmen mit der Veröffentlichung der Daten erpresst werden.»
Die Finanzabteilungen in Unternehmen sind eingebettet in eine Gesamtrisikosituation, wenn das Unternehmen durch eine Cyberattacke geschädigt wird. «Ich sehe, dass Angriffe auf mobile Endgeräte in letzter Zeit häufiger genannt werden, da immer mehr finanzielle Transaktionen über mobile Apps abgewickelt werden», so Asprion weiter.
KI spielt auf beiden Seiten eine Rolle, sagt Asprion: «Cyberkriminelle nutzen bereits heute verstärkt KI, um Cyberangriffe zu automatisieren, etwa zum schnellen Durchsuchen von Netzwerken nach Schwachstellen oder zum Durchführen von sogenannten Brute-Force-Attacken, welche genutzt werden, um Passwörter und andere Zugangsdaten auszuspionieren.» KI könne auch verwendet werden, um Phishing-Kampagnen zu erstellen, indem personalisierte und überzeugend gefälschte Nachrichten generiert werden.
«Ein weiteres Szenario, sind sogenannte Adversarial Attacks, bei denen Cyberkriminelle KI-Modelle so manipulieren, dass die KI falsche Ergebnisse liefert, die wiederum Unternehmen oder Finanzabteilungen zu falschen Entscheidungen führen lässt, die letztlich dem Unternehmen schaden», so Asprion.
Neben den negativen Szenarien gibt es laut Asprion auch KI-basierte Anwendungen, um Cyberattacken abzuwehren, etwa zum Erkennen von Netzwerkanomalien, die auf potenzielle Bedrohungen hinweisen. «Des weiteren kann KI bei der Automatisierung der Reaktion auf Sicherheitsvorfälle unterstützen, zum Beispiel durch das Isolieren von infizierten Systemen, das Blockieren von IP-Adressen oder das Update von Sicherheitsregeln», sagt Asprion. «Heute geht man davon aus, dass KI die Cyberresilienz erhöhen kann, etwa indem KI genutzt wird, um zu prognostizieren, welche Ressourcen bei einem Angriff am wahrscheinlichsten betroffen sind.»
«Für die kommenden Jahre haben wir unter dem Schlüsselbegriff Digital Trust in Finance neun Themen identifiziert, mit denen sich Finanzabteilungen zum Schutz ihrer sensiblen Daten künftig noch intensiver beschäftigen müssen», so Asprion. Neben Cybersicherheit, Datensicherheit, Datenschutz, Datenanalyse und Big Data zählen dazu auch regulatorische Anpassungsfähigkeit, Technologieverständnis, Transparenz, Talentmanagement, neue Arbeitsweisen sowie digitale Ethik.