«Schweizer Personalvorsorge» 05/22: Sammelstiftungen

Hackerabwehr für Pensionskassen

Fälle von Erpressung und Datendiebstahl durch Angriffe aus dem Internet haben sich in den letzten Jahren gehäuft. Am Infoanlass von Inter-pension wurde diskutiert, wie sich Pensionskassen gegen kriminelle Cyberangriffe wappnen können. Die Versicherung des Risikos ist derzeit sehr teuer.

Claudio Zemp
 

Es ist seit einigen Jahren ein eigentliches Wettrüsten im Gang, sagte Franco Cerminara, Chief Consulting Officer der auf Cyber Security spezialisierten Firma Infoguard AG. In seinem Referat beschrieb er die modernen Cyberkriminellen als gut organisierte, spezialisierte Unternehmen, die ihren potenziellen Opfern, den Schweizer KMU oder Pensionskassen, nicht unähnlich sind. Da gehe es darum, besser geschützt zu sein als der Nachbar und den Angreifern aus dem Internet keine Türen offen zu lassen. Das Thema Cyberresilienz sei Chefsache und gehöre zuoberst auf die Agenda des Stiftungsrats.

«You are hacked!»

Cerminara beleuchtete reale Sicherheitsfälle aus den vergangenen Jahren. Der Worst Case sei, wenn es den Angreifern gelinge, den Betrieb lahmzulegen. Bisher sind vor allem Fälle von Industriebetrieben bekannt, deren Betrieb nach einem Angriff während Wochen unterbrochen war. In der Regel schneiden die Hacker den Zugang zu den Daten ab und verschlüsseln diese. Dann werden die Opfer eines Angriffs kontaktiert und erpresst. Deshalb empfiehlt er Firmen, einen 8-Punkte-Notfallplan (siehe Infobox) in petto zu haben. Präventiv sei zudem neben der Schulung von Mitarbeitenden auch in die Detektion von möglichen Angriffen zu investieren. Das sei die halbe Miete. Denn oft vergehe zu viel Zeit, bis ein Unternehmen überhaupt realisiere, dass es angegriffen worden ist. Leider müsse, aufgrund einer ungenügenden oder gar fehlenden Backup-Strategie, in vielen Fällen Lösegeld bezahlt werden, sagte Cerminara, zumeist mit Kryptowährungen. Diese Geldflüsse sind kaum nachzuverfolgen. Nach der Zahlung werde in der Regel das Schlüsselmaterial den Opfern wieder ausgehändigt und die Daten können restauriert werden.

Prämien explodieren

An einem Podium tauschte sich Sicherheitsmann Cerminara anschliessend mit Beat Zuberbühler, Leiter zentrale Dienste bei Asga, und Till Siegmann, Special Risks Berater bei Kessler, aus. Moderiert wurde das Panel von Bernhard Nitz, Stiftungsrat von Profond. Sie würden täglich angegriffen, bestätigte Zuberbühler den Befund. Das Thema Cyberresilienz sei seit Jahren auf der Agenda des Stiftungsrats. Ein Problem sei, dass es inzwischen wesentlich schwieriger geworden ist, Versicherungsschutz zu erhalten. Vor wenigen Jahren konnte man sich noch bei einigen spezialisierten Versicherern gegen Cyberangriffe pauschal versichern. Dies ist schwieriger geworden und vor allem teurer. Wegen den vielen Fällen sind die Prämien stark gestiegen, gleichzeitig sank die Deckungssumme und gewisse Risiken wurden ausgeschlossen. So stehe man als Pensionskasse vor der Wahl, ob man nicht lieber in die eigene IT-Sicherheit investieren wolle. Heikel sei es auch, zusätzliche Rückstellungen zu bilden für den Fall eines Angriffs, da dies die regulatorischen Bedingungen nicht zulassen.

Siegmann, der als Broker für Cyberversicherung arbeitet, bestätigte die grosse Nachfrage und den zurückhaltenden Zeichnungsappetit der Versicherer. Im letzten Jahren beliefen sich die Prämienerhöhungen im oberen zweistelligen Prozentbereich. Der Markt sei derzeit an einem Scheidepunkt. Deshalb seien die Unternehmen gezwungen, zuerst in ihre IT-Sicherheit zu investieren, riet er. Darauf achteten im Übrigen auch die Versicherer, die vor einer Offerte prüfen, ob ein Kunde seine Hausaufgaben gemacht hat. So werden die KMU auch von den Versicherern auf Herz und Nieren geprüft: Haben sie ein Offline-Backup, sind die Daten segmentiert und die Kronjuwelen separat gesichert? Je besser der Stand der IT-Security, desto eher könne man das Risiko versichern.

Sensibilisierung der Mitarbeitenden

Aller Automatisierung zum Trotz spielt der Mensch nach wie vor eine zentrale Rolle in der Abwehr von Cyberangriffen und in der Prävention. Zuberbühler bezeichnete die Mitarbeiter als das stärkste Glied in der Sicherheitskette. Mit Sensibilisierung könne man viel Unbill verhindern. Cerminara ergänzte, dass «Fingerpointing» definitiv nichts bringe, nachdem ein Vorfall entdeckt worden sei. Dies nütze niemandem und sei ausserdem allzu oft nebensächlich, weil die Probleme eines Angriffs so dramatisch seien.

Mehr Angriffsversuche

Im vergangenen Jahr sind dem Nationalen Zentrum für Cybersicherheit (NCSC) rund doppelt so viele Fälle gemeldet worden wie 2020. Bei vielen der gemeldeten Vorfälle handelt es sich allerdings um erkannte Angriffsversuche und nicht um erfolgreiche Angriffe. Insgesamt sind dem NCSC im vergangenen Jahr 21714 Fälle von Cyberkriminalität gemeldet worden. Im Jahr davor waren es noch 10833 Fälle gewesen. Ein Grund für diese starke Zunahme dürfte sein, dass das Meldeformular Ende 2020 erneuert wurde. Gleichzeitig habe es aber tatsächlich deutlich mehr Angriffsversuche gegeben. (sda)

8-Punkte für den Notfall

  1. Bleiben Sie ruhig und gehen Sie strukturiert an die Lösung der Probleme.
  2. Alarmieren Sie die für die Bewältigung notwendigen Mitarbeitenden und etablieren Sie einen Krisenstab, der die Aktivitäten steuert.
  3. Holen Sie sich für die Bewältigung von Sicherheitsvorfälle externe Unterstützung (Sicherheitsunternehmen, Versicherungen, KAPO, NCSC).
  4. Bestimmen Sie gemeinsam mit Experten, welche Sofortmassnahmen eingeleitet werden müssen.
  5. Sorgen Sie dafür, dass Ihre wichtigsten Prozesse weiterbetrieben werden können – manchmal sind diese auch ohne IT betreibbar (inklusive Zahlungsverkehr).
  6. Kommunizieren Sie regelmässig, z.B. an Kunden, Partner, Mitarbeitende, Öffentlichkeit, Regulatoren.
  7. Nach Analyse und Eindämmung des Vorfalls, stellen Sie sicher, dass der Angreifer nachhaltig entfernt wird.
  8. Bereinigen Sie Ihre IT-Systeme schrittweise und stellen Sie Ihre Handlungsfähigkeit wieder her.

Quelle: Präsentation von Franco Cerminara, Chief Consulting Officer, InfoGuard AG. 

Zurück