Die Zahl der Cyberangriffe hat sich weltweit innert Jahresfrist signifikant erhöht. Allein im zweiten Quartal 2024 ist die Zahl der gemeldeten Vorfälle im Vergleich zur Vorjahresperiode um rund 30 Prozent angestiegen. In der Schweiz wurde im Laufe des Jahres 2023 sogar eine Zunahme der Cyberangriffe um 61 Prozent gegenüber dem Vorjahr registriert. Dabei wurde fast die Hälfte der grossen Schweizer Unternehmen mindestens einmal von Cyberkriminellen angegriffen. Aktuelle Erhebungen lassen befürchten, dass sich diese Entwicklung im laufenden Jahr eher noch verschärfen wird.
Angesichts dieser Entwicklung hat der Bundesrat im Sommer dieses Jahres einen Bericht publiziert, der einerseits die Notwendigkeit der Koordination von Prävention und Repression hervorhebt, gleichzeitig aber auch eine noch stärkere Zusammenarbeit zwischen verschiedenen Akteuren und intensivere Präventionsarbeit für den Schutz der Bevölkerung und der Unternehmen fordert.
Helvetia Versicherungen hat schon früh auf die Notwendigkeit einer verstärkten Kooperation zwischen Wirtschaft, Wissenschaft und Staat hingewiesen, vor allem um die Risiken von grossen, systemischen Cyberattacken zu minimieren, die eine hohe Deckungskapazität erfordern und bei deren Eintreffen lediglich ein Bruchteil der zu erwartenden Schäden auch wirklich versichert wäre.
Marktdurchdringung bei Cyberversicherungen noch überschaubar
Um die Möglichkeiten einer Minimierung dieser Versicherungslücke zu diskutieren und um mögliche Perspektiven zur Entwicklung einer nachhaltigen Cyber-Resilienz in der Schweiz aufzuzeigen, trafen sich deshalb auf Initiative von Helvetia bereits zum zweiten Mal nach 2023 namhafte Vertreter aus den Bereichen Wirtschaft, Wissenschaft und Staat zu einem Symposium unter dem Titel «Cyber-Resilienz weiterentwickeln – Trends und Perspektiven».
Gastgeber und Helvetia Schweiz CEO Martin Jara machte in seinem Eröffnungsreferat klar: «Wohl wurden zuletzt Fortschritte bei der Bekämpfung der Cyberkriminalität erzielt, aber noch immer bestehen Hindernisse, die eine wirkungsvolle Verbesserung der Cyberresilienz erschweren.» Auch die Versicherungsunternehmen selbst sieht Martin Jara dabei in der Verantwortung: «Die Branche hat in den letzten Jahren ausgewogene Versicherungsangebote für Unternehmen und Private bereitgestellt und viel in die Erhöhung der Resilienz investiert, dennoch ist die Marktdurchdringung immer noch sehr überschaubar.» Eine möglichst grosse Anzahl versicherter Betriebe wäre aber ein wichtiger Beitrag zur Minimierung der ungedeckten Schäden im Falle eines Grossereignisses.
Wie gross die Gefahr eines solchen systemischen Cyberangriffes für die Schweiz ist, hat der Schweizerische Versicherungsverband SVV Ende letzten Jahres in Zusammenarbeit mit dem Risikobewerter Moody's RMS errechnet. Gemäss Laurent Marescot, Senior Director und Experte für Katastrophenrisikomanagement bei Moody's, ist aktuell davon auszugehen, dass pro Jahr in der Schweiz eine einprozentige Chance für ein Cyberereignis besteht, das mit einem volkswirtschaftlichen Gesamtschaden von über 2.5 Milliarden Franken einherginge. Als speziell anspruchsvoll erwies sich bei der Kalibrierung eines entsprechenden Risikomodells, dass bei Cybervorfällen nicht auf vergleichbare historische Ereignisse zurückgegriffen werden kann und dass die Wirkung derartiger Ereignisse – anders als Schäden aufgrund von Naturkatastrophen – geografisch nicht klar eingrenzbar ist.
Resilienz der Gesellschaft muss nachhaltig erhöht werden
Um die bestehende Versicherungslücke zu verkleinern, ist es aus Sicht der anwesenden Wirtschaftsvertreter unabdingbar, die Resilienz des Wirtschaftsstandortes Schweiz nachhaltig zu erhöhen. Dem steht, so Klaus Julisch, Partner bei Deloitte (Schweiz) AG, indes oft die menschliche Natur im Weg. Eine Haltung, wonach nicht sein kann, was nicht sein darf, und ein blauäugiger Technologieglaube öffnen Angreifern oftmals Tür und Tor. In der aktuellen Situation ist es aber geradezu überlebensnotwendig, jegliche IT-Projekte auch auf deren Cybersicherheit zu prüfen und dieses Monitoring laufend aktuell zu halten. Projekte, die diesen Anforderungen nicht genügen, sind heute nicht mehr vertretbar oder in den Worten von Klaus Julisch: «Digitale Projekte, die sich Cyber-Sicherheit nicht leisten können, haben keinen Business Case.»
Marc Holitscher, National Technology Officer und Mitglied der Geschäftsleitung von Microsoft Schweiz, baut beim Ausbau der Resilienz gegenüber Cyberkriminellen vor allem auf die Möglichkeiten künstlicher Intelligenz: «KI erlaubt bereits heute eine koordinierte Verteidigung über alle Bedrohungsvektoren hinweg, um letztendlich eine umfassende Transparenz und Bekämpfung möglicher Bedrohungen zu gewährleisten.» Mindestens ebenso wichtig ist aber aus Sicht von Holitscher das Know-how über Strategien und Vorgehensweisen von Cyberkriminellen, welches heute dank generativer KI-Lösungen viel effizienter aufgebaut werden kann, was wiederum eine gezieltere Bekämpfung möglicher Angriffe erlaubt.
Verantwortlichkeit beginnt bei den einzelnen IT-Anwendenden
Letztlich – darin sind sich alle Referenten einig – muss eine effiziente Bekämpfung von Cyberangriffen bei den Anwenderinnen und Anwendern von IT-Infrastrukturen ansetzen. Darauf verwies auch Christoph Guntersweiler, Leiter Technische Versicherungen bei Helvetia, der in seinen Ausführungen unter anderem auf die Bedeutung einer anhaltenden Sensibilisierung der Belegschaft von KMU und Grossunternehmungen hinwies: «Nur wer neben anderen Massnahmen auch betriebsinterne Anwenderinnen und Anwender regelmässig und umfassend zu Cyberrisiken sensibilisiert, kann sich konsequent vor Angriffen schützen.»
Weltweit gigantische Schadenpotenziale
Trotz der hohen Awarness von Cyberrisiken bleiben systemische Attacken von kriminellen oder politischen Akteuren auf kritische Infrastrukturen ein latentes Risiko. Berücksichtigt man die vorhandenen Versicherungslücken, so entpuppt sich das weltweite Netto-Verlustpotenzial als gigantisch. Kai-Uwe Schanz, Deputy Managing Director des Versicherungs-Think-Tanks The Geneva Association, fokussiert auf die globalen Dimensionen von koordinierten Malware-Angriffen oder weltweiten Cloud-Ausfällen mit Schadenssummen zwischen 50 und 200 Milliarden US-Dollar. Bei gezielten Angriffen auf kritische Infrastrukturen wie etwa die weltweite Stromversorgung, würden die Folgeschäden sich gar auf über 1 000 Milliarden US-Dollar belaufen.
Private Public Partnerships als möglicher Lösungsansatz
Aus der Sicht der Geneva Association sind für derartige Vorfälle Public Private Partnerships (PPP) unumgänglich. Gerade die COVID-Pandemie hätte gezeigt, dass internationale Risikoszenarien und deren Kosten nur unter Einbezug möglichst vieler staatlicher und wissenschaftlicher Institutionen und Organisationen und durch innovative Ansätze gemeistert werden können.
Dass die Dimensionen der Cyberbedrohungen durch den Staat ernstgenommen werden, bewiesen die Ausführungen von Manuel Suter, Stellvertretender Direktor des Bundesamtes für Cybersicherheit BACS, von Bernhard Maissen, Leiter des Bundesamtes für Kommunikation BAKOM, und von Vincent Lenders, Leiter des Cyber-Defence Campus beim Bundesamt für Rüstung. Alle Experten sind sich einig: Die Gefährdung durch Cyberangriffe wird weiter steigen. Gründe dafür sind unter anderem eine weltweit immer breitere Verfügbarkeit von Hard- und Software-Angeboten, stetig steigende Rechnerkapazitäten und damit einhergehend eine immer stärkere Vernetzung. Gleichzeitig sind der Verfolgung von Straftätern durch internationale Hemmnisse immer noch Grenzen gesetzt.
Schweiz kann einen Beitrag zur internationalen Zusammenarbeit leisten
Die offizielle Schweiz ist aber bereit – und das ist die positive Nachricht – ihren Beitrag zu mehr Cybersicherheit zu leisten. Interessant dazu auch der Vorschlag seitens des BACS: Die Schweiz soll, aufbauend auf ihrer Rolle als Vermittlerin in internationalen Konflikten, den Verhandlungsplatz Genf als Standort für internationale Debatten zum Thema Cybersicherheit zur Verfügung stellen und sich auf operativer und strategischer Ebene aktiv für einen offenen, freien und sicheren Cyberraum und für die umfassende Anerkennung, Einhaltung und Durchsetzung des Völkerrechts im digitalen Raum einsetzen. Der Cyber-Defence Campus als Bindeglied zwischen Hochschulen, Industrie und dem Bund betreibt bereits heute fünf innovative PPP-Modelle, die durchaus auch als Blaupausen für weitere derartige Initiativen dienen könnten.
Politik muss optimale Rahmenbedingungen schaffen
Als Fazit des Anlasses bleibt festzuhalten, dass die Schweiz in zahlreichen Bereichen viel unternimmt, um der Cyberkriminalität die Stirn zu bieten. Um am Ende aber auch gegen grosse Cyberereignisse gewappnet zu sein, ist eine verstärkte Kooperation und Koordination zwischen allen relevanten Ansprechpartnern wie Wirtschaft, Wissenschaft und Staat zwingend notwendig. Dazu bedarf es aber der uneingeschränkten Unterstützung durch die politischen Partner. Dass dort das Thema angekommen ist, zeigte das abschliessende Podium mit den Nationalräten und Sicherheitspolitikern Michael Götte (SVP/SG) und Fabian Molina (SP/ZH). Trotz aller Differenzen in der konkreten Ausgestaltung, waren sich beide Mitglieder der nationalrätlichen Sicherheitskommission einig, dass die Schweiz bezüglich Cybersicherheit dringenden Nachholbedarf hat und es nun der Politik obliegt, für die handelnden Akteuren schnellstmöglich optimale Rahmenbedingungen zu schaffen.