Cyberattacken als grösstes Geschäftsrisiko

10. Oktober 2022. Cyberattacken auf Unternehmen, staatliche Institutionen und Privatpersonen nehmen zu: Im Jahr 2020 verursachte Cyberkriminalität weltweit Schäden von 1000 Milliarden US-Dollar – ein Zuwachs von 40 Prozent im Vergleich zu 2018. «In den letzten Jahren hat sich die Cyberkriminalität industrialisiert. Man kann mittlerweile solche Attacken bei Anbietern buchen, auch wenn man keine weitreichenden IT-Kenntnisse hat», sagt Martin Eling, Professor und Direktor am Institut für Versicherungswirtschaft der HSG (I.VW-HSG).

Als Versicherungsökonomen interessiert Eling in erster Linie, welche finanziellen Verluste bei Cyberattacken zu erwarten sind. «Wenn Entscheidungsträger in Politik und Wirtschaft die potentiellen Schäden kennen, erlaubt ihnen das ein präziseres Risikomanagement», sagt er. Versicherer können aufgrund dieser Zahlen zudem abschätzen, welche digitalen Risiken überhaupt versicherbar sind.

Gesundheitssektor ist exponiert

Eling hat gemeinsam mit Mauro Elvedi (HSG) und Greg Falco (John Hopkins University, Baltimore) ein Modell entwickelt, um die Bandbreite der möglichen Kosten sechs extremer digitaler Schadenszenarien in den USA zu berechnen. Das Modell betrachtet zudem sogenannte Spillover-Effekte: Diese treten ein, wenn ein Angriff auf einen Wirtschaftssektor (z.B. Energieversorgung) Auswirkungen auf andere Sektoren hat. Diese Effekte sorgen etwa dafür, dass sich die möglichen Schadenssummen bei fast allen Angriffsszenarien deutlich vergrössern – ein Resultat, das auch die globalisierte und vernetzte Weltwirtschaft abbildet.

Die im März 2022 im renommierten North American Actuarial Journal veröffentlichte Studie hat Elings Team vom I.VW-HSG nun mit Zahlen für die Schweiz, Europa und China erweitert. Erstmals wurden damit extreme Cyberrisiken für verschiedene Weltregionen mit dem gleichen Analyserahmen berechnet. «Die Zahlen zeigen unter anderem, dass in der Schweiz wie in den USA in erster Linie der Gesundheitssektor, öffentliche Dienstleistungen sowie Steuerungssysteme in der Industrie sehr exponiert sind, was mögliche Folgekosten betrifft», sagt Eling. In diesen Bereichen müssten Cyberrisiken darum verstärkt in Planungen einbezogen werden. «Gerade auch, weil es sich dabei teils um kritische Infrastrukturen für die Öffentlichkeit handelt.» Auffällig ist, dass sich die Zahlen für die USA und die Schweiz relativ betrachtet kaum unterscheiden. Laut Eling liegt das an den ähnlich dienstleistungsgeprägten Volkswirtschaften beider Länder.

Studie zum Umgang mit digitaler Erpressung geplant

Eling ist weltweit vernetzt als einer der führenden Forscher auf dem Gebiet der Messung von Schäden durch Cyberattacken. So wurde er etwa zu einer interdisziplinären Konferenz eingeladen, die das Massachusetts Institute of Technology (MIT) Anfang September gemeinsam mit der US-Notenbank Federal Reserve organisiert hatte. Forschende verschiedener Fachrichtungen sowie Vertreter der Finanzindustrie und der US-Regierung diskutierten dort aktuelle Fragen im Bereich Cybersicherheit und deren Messung. Als Resultat hat Eling eine weitergehende Zusammenarbeit mit MIT-Forschenden zu dem Thema geplant.

Zudem arbeitet Eling aktuell in Kooperation mit dem New Yorker Versicherungsbroker und Risikomanagementanbieter Marsh an einem Forschungsprojekt. Untersucht wird darin, ob es sinnvoll ist, bei Erpressungen im Zusammenhang mit Cyberattacken Lösegeld zu zahlen. Marsh liefert den HSG-Forschenden dafür einen umfangreichen, anonymisierten Datensatz. Für die Forschenden ist das eine privilegierte Position, denn Daten zu Cyberattacken und deren Folgen gibt es nur wenige. «Die meisten Unternehmen und Institutionen haben kein Interesse daran, Daten zu einer Attacke offenzulegen», erklärt Eling.

Dabei gibt es laufend solche Attacken – «auch in der Schweiz werden gerade KMUs täglich im digitalen Raum angegriffen, nur ist das in der öffentlichen Wahrnehmung kaum präsent», sagt Eling. Das gilt offenbar auch für die Firmen selbst: Wie eine Ende August vom Versicherer AXA veröffentlichte repräsentative Studie zeigt, stufen zwei Drittel der Schweizer KMUs das Risiko eines digitalen Angriffes als gering ein. Eling sagt dazu: «Das Risikomanagement vieler KMUs ist eher unterentwickelt. Eine Cyberattacke ist heutzutage aber eines der grössten Geschäftsrisiken.»

Attacken auf Ruag und Stadler Rail

In der Schweiz haben sich in den letzten Jahren zudem einige aufsehenerregende digitale Angriffe auf Firmen ereignet: Im April 2021 veröffentlichten Hacker ein Video, das zeigen soll, wie sie ungehindert diverse Datensätze des bundeseigenen Technologiekonzerns Ruag International betrachten. Eine Untersuchung der Geschäftsprüfungskommission des Nationalrates fand keine Beweise für einen Hack. Sie kritisierte aber «schwerwiegende Mängel» in der Informationssicherheit von Ruag International. «Der Fall der Ruag International zeigt exemplarisch, dass über mutmassliche Cyberangriffe keine oder nur unklare Informationen und Daten an die Öffentlichkeit gelangen», sagt Eling.

Eine offensive Informationspolitik betrieb hingegen der Zughersteller Stadler Rail: Er informierte im Mai 2020 darüber, dass sein IT-Netzwerk gehackt worden sei und die Angreifer für die Rückgabe sensibler Daten ein Lösegeld von sechs Millionen US-Dollar in Bitcoin verlangen. Stadler Rail bekräftigte, man wolle dieses Geld nicht zahlen. Tatsächlich veröffentlichten die Hacker danach gestohlene Daten auf Twitter und im Darknet. «Unternehmen brauchen ein Modell zum Umgang mit Hackern», sagt Eling dazu. Bislang seien Handlungsempfehlungen eher theoretisch gewesen, doch das erwähnte Forschungsprojekt der HSG mit Marsh soll stichhaltige Hinweise dazu liefern, welche Massnahmen angegriffene Firmen ergreifen können.

Die Forschungsfragen werden Eling bei diesem Thema nicht ausgehen. «Es eröffnen sich laufend neue Herausforderung im Bereich Cyberrisiken. Anders als bei Naturkatastrophen haben wir es hier mit menschengemachten Herausforderungen zu tun. Das bedeutet, dass die Angreifer laufend neue Strategien und Bedrohungen entwickeln.»