Es ist nur eines von vielen Beispielen: Jüngst wurde die Firma Xplain, eine Schweizer Anbieterin von Behörden-Software, Opfer einer Cyber-Attacke. Die Angreifer verschlüsselten die entwendeten Daten, erpressten das Unternehmen und stellten einen Teil der Daten ins Darknet. Wie das Finanzdepartement mitteilte, sind von diesem Angriff auch operative Daten der Bundesverwaltung betroffen.

«für grosse Ereignisse besteht aktuell in der Schweiz kein ausreichender Schutz.»

Dass Cyber-Angriffe zunehmen, eine sehr grosse Herausforderung darstellen und Prävention sehr wichtig ist, darüber waren sich alle Teilnehmer einer kürzlich von den Helvetia Versicherungen organisierten Veranstaltung im Casino Bern einig. Wissenschafter, Praktiker, Politiker, Wirtschafts- und Verbandsvertreter und Versicherer diskutierten an diesem «Cybersicherheits-Gipfel» Lösungsansätze und hielten Vorträge.

Versicherungslücke besonders gross

Eine Zahl wurde dabei mehrmals genannt: acht Billionen US-Dollar (USD). Das sind 8000 Milliarden. So viel könnte Cyberkriminalität die Welt im Jahr 2023 voraussichtlich kosten. Die Schadenszahlen steigen in diesem Bereich seit Jahren. Zum Vergleich: Gemäss dem Schweizer Rückversicherer Swiss Re beliefen sich die weltweiten wirtschaftlichen Verluste durch Naturkatastrophen im Jahr 2022 auf 275 Milliarden USD.

Das rückt die Frage nach der Versicherbarkeit von solchen Risiken in den Vordergrund. Vor allem, weil im Bereich Cyber die Versicherungslücke besonders gross ist – etwa im Vergleich zu Elementarereignissen.

«Zwar kann die Versicherungsindustrie heute Einzelrisiken – entsprechende Investitionen der Unternehmen in Prävention und Datensicherheit vorausgesetzt – gut abdecken», sagte Martin Jara, CEO von Helvetia Schweiz. «Aber für grosse Ereignisse, die mit einer Vielzahl an Betroffenen weit über Einzelangriffe hinausgehen können, besteht aktuell in der Schweiz kein ausreichender Schutz.»

Klassische Ingenieursarbeit

Eine Idee, um diese Lücke bei Gross- oder Extrem-Risiken zu schliessen, sieht eine Public-private-Partnership (PPP) zwischen Wissenschaft, Wirtschaft und Staat vor. David Ribeaud, CEO Specialty Markets bei Helvetia, erklärte, dass es eine gemeinsame Lösung brauche, weil die Versicherer dies nicht allein stemmen könnten.

Der Berner SVP-Ständerat Werner Salzmann, Präsident der Sicherheitspolitischen Kommission der kleinen Kammer, sprach von einem «interessanten Ansatz». Einzelne Punkte sah er allerdings kritisch. Zum Beispiel, dass die PPP vorsieht, dass der Bund als subsidiärer Kapitalgeber fungieren und einen gesetzlichen Mindeststandard für IT-Sicherheit festlegen sollte, welche die Unternehmen einhalten müssten. «Wie will man das kontrollieren?»

Ähnlich sah das Florian Schütz: Dass ein Mindeststandard mehr Sicherheit schaffe, sei illusorisch, meinte der Leiter des Nationalen Zentrums für Cybersicherheit (NCSC), welches bald zum Bundesamt aufgewertet wird – mit Schütz als Direktor. Viel mehr gelte es, «Best-Practice-Beispiele» zu teilen und resilientere System zu bauen. Das sei klassische Ingenieursarbeit.

Anzeige auf CEO-Computer

Jean-Philippe Moser, Leiter des Ressorts Versicherungsbranchen beim Schweizerischen Versicherungsverband SVV, betonte den Willen der Branche, ihren Beitrag zu einer Lösung zu leisten. Zum Beispiel im Bestreben, eine solide Datengrundlage und geeignete Risikomodelle zur besseren Versicherbarkeit von Cyberangriffen zu erreichen.

Einen Ansatz dazu stellte Raphael Reischuk, Partner und Head of Cybersecurity bei Zühlke Engineering, vor. Heute seien Cyber-Versicherungen zu kompliziert, und es brauche Juristen, um zu klären, was versichert sei. Er plädierte deshalb für ein datenbasiertes System zur Echtzeiterhebung von Cyberrisiken. Vereinfacht dargestellt, schwebt ihm eine simple Echtzeit-Anzeige mit drei Farben auf dem Computer des CEO vor, ähnlich einem Zeigerthermometer. Ist der Zeiger im grünen Bereich, ist IT-mässig alles in Ordnung – und die Versicherung zahlt, wenn etwas ist. Schwappt der Zeiger auf Gelb oder gar Rot, gibt es kein Geld und das KMU weiss, dass es handeln muss.

Grosse Reputationsschäden

Das mit dem CEO griff er auf, weil Hans-Ulrich Bigler, Direktor des Schweizerischen Gewerbeverbands sgv, einleitend erklärt hatte, dass IT-Sicherheit Chefsache sei. «Denn eine Attacke kann existenzgefährdend sein.» Gerade auch wegen der Reputationsschäden. Zum Beispiel, wenn bei einem Treuhand-KMU sensible Daten von Kunden betroffen sind und man nicht weiss, wo diese landen.

Es sei deshalb von Bedeutung, dass sich KMU mit den Risiken auseinandersetzten und die Prävention ernst nähmen, betonte Bigler. Der grösste Dachverband der Schweizer Wirtschaft, der über 230 Verbände und über 600 000 KMU vertritt – also 99,8 Prozent aller Unternehmen der Schweiz – leiste deshalb seit Jahren Sensibilisierungsarbeit im Bereich Cyber-Risiken.

Befehl überschrieben

Alexandra Arni, Leiterin ICT von Swiss Banking, legte dar, wie die branchenspezifische Lösung des Finanzplatzes funktioniert. Dort baue man bei der Zusammenarbeit aller involvierten Parteien bereits heute auf Prävention, Krisenmanagement und Schadensbehebung.

Einen Blick in die Zukunft warf Professor Florian Tramèr, Experte für Computersicherheit an der ETH Zürich. Chatbots, die künstliche Intelligenz einsetzen, seien eine der grossen Gefahrenquellen der Zukunft – vor allem, wenn diese mit den persönlichen Daten verbunden sind. «Sie können nicht zwischen Befehl und Daten unterscheiden. Das ist ihre grosse Schwachstelle.» Tramèr schilderte den Fall eines Chatbots, der beauftragt wurde, den Inhalt eines Youtube-Videos zusammenzufassen. Doch das Video war so programmiert, dass es den Chatbot-Befehl überschrieb und diesen stattdessen beauftragte, sich ins System des ursprünglichen Auftraggebers zu hacken. Das Beispiel zeigte auch eindrücklich, dass uns Cyber-Risiken und deren Versicherbarkeit noch lange beschäftigen werden und die Diskussion um Lösungen weitergehen wird.Rolf Hug