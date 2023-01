Teures Risiko – In der Schweiz gibt es so viele Hackerangriffe wie noch nie Rotes Kreuz, Emil Frey, Läderach: 2022 wurden über 34’000 Cyberattacken gemeldet, und die Dunkelziffer ist gross. Das kostet die Wirtschaft bis zu einigen Milliarden Franken. Auch die öffentliche Hand ist betroffen. Simone Luchetta

Bei Angriffen mit Erpressungssoftware – auch Ransomware genannt – werden Daten auf Computern verschlüsselt, und die Hacker verlangen Geld für die Freigabe. Foto: Lino Mirgeler (Keystone)

Erstmals tauchen Cyberattacken im Bericht des Weltwirtschaftsforums (WEF) über die weltweit grössten Risiken unter den Top 10 auf. Sowohl kurz- als auch langfristig halten die 1200 befragten Fachleute und Führungspersonen die Gefahr von Hackerangriffen für hoch (Platz 8).

Auch die Schweiz ist davor nicht gefeit. Das zeigen die jüngsten Zahlen des Nationalen Zentrums für Cybersicherheit des Bundes (NCSC). Im vergangenen Jahr sind dort rund 34’000 Meldungen zu Cybervorfällen eingegangen – so viele wie nie zuvor, 13’000 mehr als im Vorjahr und dreimal so viele wie 2020.

Wie gut ist die Schweiz gegen Cyberrisiken gerüstet? Wer war im vergangenen Jahr besonders betroffen, und was waren die grössten Bedrohungen? Wir haben bei Experten nachgefragt.

Wie viele Cyberangriffe gab es im Jahr 2022 in der Schweiz?

Genaue Zahlen gibt es nicht, weil keine Stelle alle Angriffe erfasst. Das Nationale Zentrum für Cybersicherheit des Bundes (NCSC) nimmt Meldungen zu sogenannten Cybervorfällen und Schwachstellen von Unternehmen, Verwaltungen und aus der Bevölkerung entgegen.

Bei den gemeldeten Vorfällen handelt es sich aber nicht immer um erfolgreiche Cyberangriffe: «Es besteht in der Schweiz keine generelle Meldepflicht. Daher kann die Dunkelziffer entsprechend höher sein», sagt Florian Schütz, Leiter des NCSC. Lediglich rund ein Viertel aller Fälle wird gemeldet, schätzen Sicherheitsexperten.

«Die Angriffe aus dem Cyberraum werden immer professioneller und hochgradig automatisiert ausgeführt», sagt Nicolas Mayencourt, Chef der Cybersicherheitsfirma Dreamlab in Bern. Immer mehr Unternehmen digitalisieren ihre Geschäftsabläufe. Das bietet eine grössere Angriffsfläche. «Hinzu kam 2020 der Cybercrime-Beschleuniger Nummer 1: Covid», so Mayencourt.

Gleichzeitig haben immer mehr Menschen Zugang zum Internet, vor allem in Entwicklungsländern. Somit steige auch die Anzahl Menschen, welche das Internet für betrügerische Handlungen und Cyberangriffe verwenden könnten, sagt Roman Hüssy, Gründer der privaten Cyberabwehr-Initiative Abuse.ch.

Wie gut sind die Heimanwender in der Schweiz gegen Cyberangriffe geschützt?

«Das hängt von den einzelnen Personen ab und deren Umgang mit Computer und Internet», erklärt Roman Hüssy. Entscheidend sei, ob die Nutzer Software-Aktualisierungen regelmässig machten und misstrauisch gegenüber verlockenden Finanzangeboten seien. Hüssy: «Viele Leute sind noch immer zu leichtgläubig gegenüber Informationen im Internet.»

Die Verantwortung, sich zu schützen, liegt bei den Heimanwenderinnen und -anwendern. Nicolas Mayencourt sieht hier auch den Bund in der Pflicht. Viele Menschen arbeiteten seit der Pandemie häufiger im Homeoffice: «Das Privatleben ist also stärker mit dem Arbeitsleben vermischt. Das Problem ist, dass diese von ihren privaten Netzwerken von zu Hause aus auf Firmengeräte zugreifen.»

Welches waren die häufigsten Angriffsmethoden?

Heimanwender und -anwenderinnen waren 2022 oft Ziel von Betrugsversuchen. Erfolgreich waren und sind Cyberkriminelle mit Fake-Extortion-E-Mails. Dabei handelt es sich um angebliche Drohmails von Strafverfolgungsbehörden. Darin wird behauptet, dass der Empfänger eines massiven Fehlverhaltens – typischerweise in Zusammenhang mit Kinderpornografie – überführt worden sei und die Anklage nur durch eine Geldzahlung fallen gelassen werden könne.

Die Zahl der Betrugsmeldungen insgesamt hat sich im 2022 im Vergleich zum Vorjahreszeitraum beinahe verdoppelt:

Das grosse Geld holen Kriminelle aber nicht bei den Heimanwendern. «Der Fokus der organisierten Cyberkriminalität liegt bei Unternehmen, Organisationen und Staaten», sagt Dreamlab-Chef Mayencourt.

Wo lauern die grössten Gefahren für Unternehmen?

Die häufigste Angriffsform auf Firmen und Institutionen war der sogenannte CEO-Fraud. Dies zeigt eine Umfrage des Verbands der Maschinen-, Elektro- und Metallindustrie Swissmem und des Instituts für Strafrecht und Kriminologie der Universität Bern bei den 1200 Mitgliederfirmen. Kriminelle versuchen, beim Finanzverantwortlichen Zahlungen auszulösen, indem sie sich als Chef der Firma ausgeben. Rund die Hälfte der Firmen war davon betroffen.

Die befragten Sicherheitsexperten sehen die grösste Gefahr aber in sogenannten Ransomware-Angriffen. Dabei dringen Angreifer ins Firmen-IT-System ein, stehlen und verschlüsseln Daten und versprechen eine Entschlüsselung erst nach Zahlung eines Lösegeldes (englisch: ransom). Die Cyberfirma Infoguard bearbeitete 2022 über 150 Fälle – gegenüber 120 im Vorjahr.

Auch beim NCSC haben die Meldungen von Ransomware-Angriffen seit 2020 (66 Meldungen) deutlich zugenommen. Mit 159 Meldungen sind 2022 aber zwei weniger eingegangen als im Vorjahr.

Werden auch Mitarbeitende im Homeoffice erpresst?

Ja. Ein Drittel der Ransomware-Meldungen betrifft Private. «Erpressungen gegen Heimanwender geschehen heute täglich», sagt Roman Hüssy. So gaukeln Cyberkriminelle dem Heimanwender vor, dass sein Computer gehackt worden sei und man ein delikates Bild und Videomaterial von ihm besitze. Ohne Zahlung eines «Lösegelds» werde das Material im Internet veröffentlicht. Oft verfügten die Kriminellen aber über gar kein kompromittierendes Material, weiss Hüssy.

Roman Hüssy, Gründer der privaten Cyberabwehr-Initiative Abuse.ch. Foto: Simone Frischknecht

Was soll man bei einem Ransomware-Angriff tun?

«Auf keinen Fall Lösegeld zahlen», rät das NCSC. Es gebe keine Garantie, dass die Verbrecher nach der Lösegeldzahlung die Daten nicht doch noch veröffentlichten. Zudem motiviere jede erfolgreiche Erpressung die Täter zum Weitermachen.

Wollen Opfer dennoch Geld bezahlen, so empfiehlt das NCSC dringend die Kontaktaufnahme mit der Kantonspolizei. Die Website Nomoreransom.org gibt Ratschläge, wie man die Schadsoftware identifizieren kann.

Welche Angriffe gaben 2022 besonders zu reden?

Einer der grössten Cyberangriffe betraf das Internationale Komitee vom Roten Kreuz (IKRK). Zu den bekannten Opfern gehörten auch der Glarner Schokoladenproduzent Läderach, der Autohändler Emil Frey, die CPH-Papierfabrik in Perlen LU und die Flughafen-Servicegesellschaft Swissport. Dazu gesellen sich die Universität Neuenburg oder die Gemeinde Messen SO.

Bei solchen Attacken ist meist nicht nur der Geschäftsbetrieb gestört. Cyberkriminelle entwenden oft auch heikle Daten von Kundinnen und Kunden, die im Darkweb veröffentlicht oder weiterverkauft werden.

«Mr. Cyber» Florian Schütz, Delegierter des Bundes für Cybersicherheit und Leiter des Nationalen Zentrums für Cybersicherheit (NCSC). Foto: Keystone

Sind Schweizer Firmen genug geschützt?

Viele Firmenserver weisen zahlreiche Sicherheitslücken auf – Grosskonzerne wie KMU. «Der Zustand ist teilweise katastrophal», sagt Gunnar Porada. Mit seiner Sicherheitsfirma Innosec in Weggis LU klopft er Unternehmen in deren Auftrag nach Schwachstellen auf den Websites ab. «Wir haben kürzlich im Auftrag eines IT-Magazins zwei Detailhändler, eine Bank, ein IT-Unternehmen und einen Branchenverband gescannt. Alle haben schlecht abgeschnitten. Die Lücken waren grösstenteils längst bekannt und hätten von der IT mit einem Update geflickt werden müssen.»

Viele Chefs delegierten das Thema Cybersicherheit an die IT-Verantwortlichen, die ihrerseits Sicherheitslücken gern unter den Teppich kehrten, sagt Porada: «Aber Cybersicherheit ist Chefsache.»

Ist es strafbar, wenn eine Firma bekannte Löcher nicht schliesst?

Nein. «Aber wenn Unternehmen bekannte Sicherheitslücken nicht schliessen, ist dies sicher als grobfahrlässig einzustufen», sagt Thomas Meyer, Chef des IT-Sicherheitsanbieters Infoguard in Bern. Das kommt häufig vor. So musste das NCSC im Frühjahr 2022 mehr als 200 Organisationen wiederholt über verwundbare Exchange-Server in deren Netzwerken anschreiben. Die Schwachstelle war damals bereits seit einem Jahr bekannt.

Macht es die öffentliche Hand besser?

«Die Angreifer suchen nach verwundbaren Systemen und greifen diese an, egal ob es sich um eine Verwaltung, ein Spital oder eine Firma handelt», sagt NCSC-Leiter Schütz. Die Websites vieler Gemeinden und Städte weisen zahlreiche Schwachstellen auf. Die Scans von Innosec ergaben etwa für Luzern «erstaunlich gute Resultate», bei Schaffhausen und Zug waren laut Porada die Resultate «eher bestürzend».

Auch in Spitälern registrierte man im vergangenen Jahr eine Zunahme von Cybervorfällen. Kriminelle nutzten dabei aktuelle Ereignisse wie Corona und den Lockdown: «Organisationen, die sowieso schon unter Druck sind, können dann effektiver erpresst werden», sagt NCSC-Leiter Florian Schütz.

Dabei können personenbezogene Daten für Identitätsdiebstahl missbraucht werden. Betrüger stehlen eine fremde Identität etwa aus der Datenbank der Gemeindeverwaltung und nutzen sie für kriminelle Taten. Betroffene müssen in der Folge oftmals ein Leben lang immer wieder beweisen, dass sie ein Verbrechen oder eine Tat nicht begangen haben.

Oder Kriminelle nutzen die Informationen in einem Social Account, um an Geld zu kommen. «Bekannt sind zum Beispiel erfundene Geschichten, bei denen sich die Betrüger via Social-Media-Account ihres Opfers bei dessen Freunden und Verwandten melden und um Geld etwa für Hotel oder Rückflug bitten, weil das Opfer angeblich im Ausland überfallen worden sei, sagt Hüssy.

Wie gross ist der wirtschaftliche Schaden durch Cyberdelikte?

Schätzungen für 2022 gehen von mehr als 6 Billionen Franken weltweit aus. Bis 2025 soll der globale Schaden bei über 10 Billionen Franken liegen. «In der Schweiz wird der wirtschaftliche Schaden auf bis zu einigen Milliarden Franken geschätzt», sagt Thomas Meyer von Infoguard.

Gibt es genügend Fachkräfte in der Cybersecurity?

«Der Fachkräftemangel im Bereich der Cybersecurity ist für die Schweiz ein grosses Problem», sagt Nicolas Mayencourt. Und gemäss einer Studie des Instituts für Wirtschaftsstudien Basel (IWSB) im Auftrag von ICT-Berufsbildung Schweiz werden bis 2030 fast 120’000 zusätzliche ICT-Fachkräfte fehlen.

Politik und Bundesrat hätten jedoch die Zeichen der Zeit erkannt und machten vorwärts. So bieten Fachhochschulen und Universitäten neu Ausbildungsmöglichkeiten im Bereich der Cybersecurity an. «Bis diese Personen dem Arbeitsmarkt zur Verfügung stehen, dauert es aber noch Jahre. Diese Zeit hat die Schweiz meines Erachtens nicht», sagt Mayencourt.

Umso wichtiger ist es darum laut Infoguard-Chef Thomas Meyer, «das Know-how der bestehenden Mitarbeitenden mit allen Mitteln zu fördern».

Simone Luchetta arbeitet im Wirtschaftsteam bei Tamedia und schreibt über Arbeit und Technologie. Sie hat eine Weiterbildung in Datenjournalismus absolviert. Mehr Infos @SimLuchetta

Fehler gefunden?Jetzt melden.