Nichts geht mehr: Über Nacht wurden die firmeneigenen Server ausser Betrieb gesetzt, die Website und die Mailkonten des Unternehmens sind lahmgelegt, die Festnetztelefonie funktioniert nicht mehr, auch der Zugriff auf essenzielle Daten von Kunden und der Lagerbewirtschaftung ist nicht mehr möglich. Auslöser für die Blockade war ein Hackerangriff.

Längst vorbei sind die Zeiten, da solche Szenarien nur in Seminaren und Übungen behandelt wurden. Sie sind, wenn nicht tägliche, so doch wöchentliche Realität in Schweizer Unternehmen. Diese widerspiegelt sich im jüngsten Risikobarometer des deutschen Versicherungskonzerns Allianz: Erstmals stufen Konzernchefs und Risikomanager in der Befragung Cyber-Angriffe als das grösste Unternehmensrisiko ein – nicht nur in der Schweiz, sondern weltweit.

In den letzten paar Jahren wurden noch Betriebsunterbrechungen, zum Beispiel als Folge von Bränden und Naturkatastrophen, als grösstes Risiko für Unternehmen angesehen. Mittlerweile gelten auch Cyber-Attacken als die am meisten gefürchtete Ursache für Betriebsunterbrechungen. Gemäss der jüngsten Umfrage bezeichneten hierzulande 57 respektive 56 Prozent Cyber-Vorfälle und Betriebsunterbrechungen als die Toprisiken (Mehrfachnennungen waren möglich).

Immer mehr Schadenfälle

«Das Bewusstsein, dass Cyber-Angriffe jedes Unternehmen treffen können, scheint in den Chefetagen angekommen zu sein», sagt Christoph Müller, Schweiz-Chef der Industrieversicherungssparte Allianz Global Corporate & Speciality. Das zeigt sich laut Müller auch bei der Nachfrage nach Cyber-Versicherungen: «Für kleine und mittlere Unternehmen verzeichnet die Allianz Suisse deutliche zweistellige Wachstumsraten.»

«Vor allem KMU nehmen die Cyber-Bedrohung noch zu oft auf die leichte Schulter.»

Christoph Müller, Allianz Schweiz

Dennoch seien Cyber-Policen immer noch ein Nischenprodukt, so der Allianz-Manager. Unter den kleinen und mittleren Unternehmen (KMU) besitze nur etwa jedes zehnte einen entsprechenden Risikoschutz – für Müller ein Indiz dafür, dass «vor allem KMU die Cyber-Bedrohung noch zu oft auf die leichte Schulter nehmen». Ihnen müsste als Warnung dienen, dass die Allianz auch eine deutliche Zunahme der Schadenfälle verzeichnet. Jede siebte Police sei in der Schweiz von einem Cyber-Schaden betroffen gewesen, sagt Müller.

Die letztjährigen Hackerattacken auf das Haustechnikunternehmen Meier Tobler und die Softwarefirma Crealogix machen ebenfalls deutlich, dass keineswegs nur Grosskonzerne ins Visier geraten. Allein letzten August berichtete die Melde- und Analysestelle Informationssicherheit (Melani) beim Bund über zehn Erpressungsfälle gegen Schweizer KMU. «Die KMU-Landschaft ist ein lohnendes Ziel für die Angreifer», betonte damals Melani-Leiter Pascal Lamia. «Diese wollen damit natürlich Lösegeldforderungen einholen.»

Mitarbeiter schulen

Was die Grossfirmen anbelangt, so «hat wohl jede schon einen Cyber-Angriff erlebt», ist Christoph Müller überzeugt. «Aber längst nicht alle haben es gemerkt.» Bei den Angreifern handle es sich um «hoch professionelle Organisationen, die sehr strukturiert vorgehen, über neuste Technologien verfügen und top ausgebildete Leute an der Hand haben».

Gefragt, ob die Unternehmen schon genügend tun, um sich gegen Hacker zu schützen, spricht Müller von einem «sehr heterogenen Bild». Bei vielen Unternehmen habe das Thema höchste Priorität, und sie scheuten keinen Aufwand, um höchste Sicherheitsstandards zu erfüllen. Vielerorts müsse man aber auch feststellen, dass der Cyber-Schutz sträflich vernachlässigt werde.

Die Hauptursache für Cyber-Vorfälle, so betont der Bericht, «bleibt jedoch menschliches Versagen».

Wie die Allianz in ihrem Bericht zum Risikobarometer herausstreicht, wird die Cyber-Thematik in Zukunft noch an Brisanz gewinnen. Hätten typische Lösegeldforderungen von Hackern vor fünf Jahren rund 10'000 Euro betragen, so seien es jetzt in der Regel Millionenbeträge. Verwiesen wird ferner auf die verschärften Datenschutzbestimmungen in der EU. Entsprechend müssten Unternehmen bei Verstössen mit Bussgeldern rechnen. Darüber hinaus sehen sie sich im Falle von Datenlecks vermehrt mit Klagen von betroffenen Kunden und Geschäftspartnern konfrontiert.

Die Hauptursache für Cyber-Vorfälle, so betont der Bericht, «bleibt jedoch menschliches Versagen». Daher der Appell an die Unternehmen, die Mitarbeiter regelmässig zu schulen. Diese müssten sich dessen bewusst sein, dass die Angreifer beim Spoofing – also beim Versand vorgetäuschter Mails – immer raffinierter vorgehen, um die Herausgabe von Passwörten oder die Abwicklung von Geldtransfers zu erwirken.

Fehler gefunden?Jetzt melden.