Es ist seit einigen Jahren ein eigentliches Wettrüsten im Gang, sagte Franco Cerminara, Chief Consulting Officer der auf Cyber Security spezialisierten Firma Infoguard AG. In seinem Referat beschrieb er die modernen Cyberkriminellen als gut organisierte, spezialisierte Unternehmen, die ihren potenziellen Opfern, den Schweizer KMU oder Pensionskassen, nicht unähnlich sind. Da gehe es darum, besser geschützt zu sein als der Nachbar und den Angreifern aus dem Internet keine Türen offen zu lassen. Das Thema Cyberresilienz sei Chefsache und gehöre zuoberst auf die Agenda des Stiftungsrats.
«You are hacked!»
Cerminara beleuchtete reale Sicherheitsfälle aus den vergangenen Jahren. Der Worst Case sei, wenn es den Angreifern gelinge, den Betrieb lahmzulegen. Bisher sind vor allem Fälle von Industriebetrieben bekannt, deren Betrieb nach einem Angriff während Wochen unterbrochen war. In der Regel schneiden die Hacker den Zugang zu den Daten ab und verschlüsseln diese. Dann werden die Opfer eines Angriffs kontaktiert und erpresst. Deshalb empfiehlt er Firmen, einen 8-Punkte-Notfallplan (siehe Infobox) in petto zu haben. Präventiv sei zudem neben der Schulung von Mitarbeitenden auch in die Detektion von möglichen Angriffen zu investieren. Das sei die halbe Miete. Denn oft vergehe zu viel Zeit, bis ein Unternehmen überhaupt realisiere, dass es angegriffen worden ist. Leider müsse, aufgrund einer ungenügenden oder gar fehlenden Backup-Strategie, in vielen Fällen Lösegeld bezahlt werden, sagte Cerminara, zumeist mit Kryptowährungen. Diese Geldflüsse sind kaum nachzuverfolgen. Nach der Zahlung werde in der Regel das Schlüsselmaterial den Opfern wieder ausgehändigt und die Daten können restauriert werden.
Prämien explodieren
An einem Podium tauschte sich Sicherheitsmann Cerminara anschliessend mit Beat Zuberbühler, Leiter zentrale Dienste bei Asga, und Till Siegmann, Special Risks Berater bei Kessler, aus. Moderiert wurde das Panel von Bernhard Nitz, Stiftungsrat von Profond. Sie würden täglich angegriffen, bestätigte Zuberbühler den Befund. Das Thema Cyberresilienz sei seit Jahren auf der Agenda des Stiftungsrats. Ein Problem sei, dass es inzwischen wesentlich schwieriger geworden ist, Versicherungsschutz zu erhalten. Vor wenigen Jahren konnte man sich noch bei einigen spezialisierten Versicherern gegen Cyberangriffe pauschal versichern. Dies ist schwieriger geworden und vor allem teurer. Wegen den vielen Fällen sind die Prämien stark gestiegen, gleichzeitig sank die Deckungssumme und gewisse Risiken wurden ausgeschlossen. So stehe man als Pensionskasse vor der Wahl, ob man nicht lieber in die eigene IT-Sicherheit investieren wolle. Heikel sei es auch, zusätzliche Rückstellungen zu bilden für den Fall eines Angriffs, da dies die regulatorischen Bedingungen nicht zulassen.
Siegmann, der als Broker für Cyberversicherung arbeitet, bestätigte die grosse Nachfrage und den zurückhaltenden Zeichnungsappetit der Versicherer. Im letzten Jahren beliefen sich die Prämienerhöhungen im oberen zweistelligen Prozentbereich. Der Markt sei derzeit an einem Scheidepunkt. Deshalb seien die Unternehmen gezwungen, zuerst in ihre IT-Sicherheit zu investieren, riet er. Darauf achteten im Übrigen auch die Versicherer, die vor einer Offerte prüfen, ob ein Kunde seine Hausaufgaben gemacht hat. So werden die KMU auch von den Versicherern auf Herz und Nieren geprüft: Haben sie ein Offline-Backup, sind die Daten segmentiert und die Kronjuwelen separat gesichert? Je besser der Stand der IT-Security, desto eher könne man das Risiko versichern.
Sensibilisierung der Mitarbeitenden
Aller Automatisierung zum Trotz spielt der Mensch nach wie vor eine zentrale Rolle in der Abwehr von Cyberangriffen und in der Prävention. Zuberbühler bezeichnete die Mitarbeiter als das stärkste Glied in der Sicherheitskette. Mit Sensibilisierung könne man viel Unbill verhindern. Cerminara ergänzte, dass «Fingerpointing» definitiv nichts bringe, nachdem ein Vorfall entdeckt worden sei. Dies nütze niemandem und sei ausserdem allzu oft nebensächlich, weil die Probleme eines Angriffs so dramatisch seien.