Helvetia: 2. Cyber-Symposium zeigt die Wichtigkeit der Zusammenarbeit von Wirtschaft, Staat und Wissenschaft

Die jährliche Kriminalstatistik des Bundes zeigt einen Anstieg der Cyberkriminalität um 33 Prozent im vergangenen Jahr. Der Bundesrat hat im Sommer diesen Jahres einen Bericht über die Cyberkriminalität in der Schweiz veröffentlicht. Die Notwendigkeit zur Koordination von Prävention und Repression wird darin sowohl auf nationaler, wie auf internationaler Ebene erneut unterstrichen. Eine Zusammenarbeit aller Parteien sei für Staat, Wirtschaft und Wissenschaft notwendig, um den nachhaltigen Schutz der Bevölkerung und der Wirtschaft vor Cyberkriminalität sicherzustellen.

Dr. Martin Jara, der CEO der Helvetia Versicherungen Schweiz stellt fest, dass im vergangenen Jahr Fortschritte zur Weiterentwicklung von Cyber-Resilienz gemacht wurden. Dazu gehört die Aufwertung des Nationalen Zentrums für Cybersicherheit zum heutigen Bundesamt für Cybersicherheit (BACS), sowie die erweiterte Datenlage in der Schweiz, die unter anderem auch die Versicherungen rund um den Schweizerischen Versicherungsverband (SVV) und auch die Beratenden aus der Brokerbranche im letzten Jahr geschaffen haben. Trotzdem sehen Fachexperten die personellen und technischen Ressourcen nach wie vor als unzureichend an, um der Entwicklung von Cyberkriminalität gerecht zu werden.

Das Volumen an Cyberversicherungen verdoppelt sich alle zwei Jahre, was die Notwendigkeit von Versicherungsprodukten, insbesondere von systemischen Cyberattacken, hervorhebt. Trotzdem besteht eine wachsende Versicherungslücke. Im vergangenen Jahr hat die Helvetia zusammen mit dem SVV eine Rechnung erarbeitet, die Moody’s RMS erstellt. Gemäss ihrer Schätzungen und Projektionen besteht jährlich eine einprozentige Gefahr dass ein Cyberereignis in der Schweiz einen volkswirtschaftlichen Gesamtschaden von 2.5 Milliarden Franken verursacht. Unter den heutigen Bedingungen wären nur 155 Millionen davon versichert, was 6 Prozent des Schadenpotentials bedeutet.

Die immer wieder angemahnte Deckungslücke für Grossereignisse ist nach wie vor da. Eine Ursache ist, dass erst 7 Prozent der Firmen in der Schweiz cyberversichert sind. Eine weitere besteht aus der ständig wachsenden Digitalisierung der Geschäftsprozesse. Die Abhängigkeit und Verletzlichkeit wurde vor einem Monat durch eine IT-Panne der US-Sicherheitsfirma CrowdStrike vor Augen geführt, die durch ein Update ihrer Software erfolgte.

Deloitte Schweiz: Menschen verfügen über eine riesige Voreingenommenheit

Dr. Klaus Julisch, Managing Partner für Risk Advisory bei Deloitte Schweiz verfügt über mehr als 20 Jahre Erfahrung im Bereich der Cybersicherheit und Risikomanagement. Er spricht von einem Riesenproblem, das nicht besser, sondern immer schlechter wird und sagt, dass man, die Cybersicherheit betreffend, seinem Bauchgefühl nicht vertrauen dürfe. Es führe in die Irre, da der Mensch über eine riesige Voreingenommenheit verfügt. Diese zeige sich, wenn etwas kürzlich und visuell dargestellt wurde als ein grosses Risiko, wenn man es nie gesehen hat, ist ein kleines. Wenn dem Bauchgefühl nicht geglaubt werden darf, sind Axiome und Handlungsprinzipien gefragt, wie mit dem Thema Cyber umgegangen werden soll.

Zusammenfassend können drei Punkte festgehalten werden: In Firmen muss eine Person definiert werden, die auf Top Level für die Cybersicherheit verantwortlich ist und Entscheidungen fällt. Gefolgt wird dies von Cyberhygiene und dem Aufbau von Resilienz, die eminent wichtig sind. Die Vereinfachung der IT-Landschaft ist sehr bedeutend, denn je komplexer sie ist, desto grösser ist die Angriffsfläche die Hacker ausbeuten können. Wenig populär, doch in diesem Fall nötig, sind Regulierungen. Regierungen haben die Aufgabe, Anreize zu schaffen, die jedermann in die richtige Richtung pusht.

Moody’s RMS: Pflege und Konsolidierung von Datenbanken

Laurent Marescot, Experte für Katastrophen-Risikomanagement bei Moody’s RMS, berät grosse Unternehmen in der Versicherungsbranche. Er vergleicht Naturkatastrophen und Cyberrisiken, wobei Cyberbedrohungen dynamischer und geographisch ungebunden sind, was erhebliche Herausforderungen für die Versicherungsindustrie mit sich bringt. Die Modellierung dieser Risiken erfordert umfangreiche Daten, die bei Cyberbedrohungen oft fehlen.

Die Identifikation von Angriffen reicht von Einzelhackern bis hin zu staatlich unterstützten Attacken. Es ist entscheidend, Schäden und Datenverluste zu modellieren, wobei Cyber-Hygiene eine Rolle spielt. Die zentrale Herausforderung liegt in der Verfügbarkeit von Daten zur Verbesserung der Versicherungsmodelle. Daher sind wichtige Schritte wie die Pflege und Konsolidierung eigener Datenbanken unerlässlich.

Microsoft: Zunahme staatlich unterstützter Angriffe

Dr. Marc Holitscher ist seit 20 Jahren bei Microsoft Schweiz tätig, seit 2015 als National Technology Officer. Der jährliche Digital Defense Report von Microsoft dokumentiert Muster und Bedrohungsszenarien und zeigt, dass staatlich unterstützte Angriffe erheblich zugenommen haben, einschliesslich breit angelegter Desinformationskampagnen. Cyberkriminalität hat sich massiv professionalisiert und industrialisiert.

Im Darkweb sind Denial of Service Attacks (DoS) bereits für 300 Dollar erhältlich, inklusive Geld-zurück-Garantie. Ransomware-Kits kosten sogar nur etwa 60 Dollar, was den Einstieg in diese Branche erleichtert. Zudem registrierte Microsoft kürzlich einen DoS-Angriff, bei dem pro Sekunde 3,5 Terabyte auf ein Ziel abgefeuert wurden. Der Einsatz von KI soll die Analyse grosser Datenmengen erleichtern und verbessern. Microsoft begrüsst die Initiative des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) zusammen mit dem AI-Center der ETH Zürich zur Entwicklung eines «Gen AI Redteaming Netzwerks», das sich den Sicherheitsproblemen generativer KI-Systeme widmet.

Helvetia: Notfallplan aufbauen und testen

Christoph Guntersweiler, Leiter Technische Versicherungen bei Helvetia, betont die Notwendigkeit, in Phasen bei der Cyber-Resilienz vorzugehen. Zunächst sollten Unternehmen ihre Daten und IT-Landschaft analysieren, gefolgt von der Festlegung organisatorischer Massnahmen, zu denen auch Mitarbeiter-Sensibilisierung gehört. Technische Massnahmen wie ein Backup-Konzept sind ebenfalls erforderlich.

Ein Notfallplan muss erstellt und regelmässig getestet werden. Dieses Thema bleibt stets aktuell und erfordert kontinuierliche Anpassungen, insbesondere im Hinblick auf Abhängigkeiten, wie sie bei Outsourcing-Lösungen entstehen können. Helvetia empfiehlt, bereits in der ersten Klasse Grundsensibilisierung zu vermitteln und hebt die Bedeutung der Ausbildung für Führungskräfte hervor. Zudem wird eine kostenlose Plattform für KMUs gewünscht, die Informationen zum Umgang mit Software as a Service (SaaS) Lösungen und zur Reduzierung von Abhängigkeiten bietet.

The Geneva Association: Public-Private-Partnerships PPP

Dr. Kai-Uwe Schanz ist seit 17 Jahren bei The Geneva Association tätig und leitet seit 2019 die Forschungsabteilung der 1973 gegründeten Gesellschaft, die als Denkfabrik für die globale Versicherungswirtschaft gilt. Zu den Mitgliedern zählen CEOs der grössten Versicherungs- und Rückversicherungsgesellschaften weltweit, darunter Mario Greco (Zurich) und Michèle Rodoni (Mobiliar).

Public-Private-Partnerships (PPP) sind Kooperationen zwischen Staat und Privatwirtschaft, die darauf abzielen, schwer versicherbare Risiken leichter versicherbar zu machen. Die Deckungslücke im Cyberbereich wird auf 900 Milliarden Dollar pro Jahr geschätzt, während der versicherte Schaden nur 10 Milliarden Dollar beträgt, was ein erhebliches gesellschaftliches Problem darstellt. Ein Hauptgrund für diese Lücke ist die mangelnde Beherrschbarkeit und Quantifizierbarkeit der Schadenakkumulation im Cyberbereich. Die Verbreitung von Schadsoftware über Lieferketten wurde mit einem erwarteten volkswirtschaftlichen Schaden von 200 Milliarden Dollar modelliert, der versicherte Schaden beläuft sich auf 27 Milliarden Dollar. Zudem werden Attacken auf kritische Infrastrukturen mit einem volkswirtschaftlichen Schaden von über 1 Billion Dollar und einem geschätzten versicherten Schaden von 70 Milliarden Dollar bewertet, was die Grenzen der Cyberversicherung aufzeigt.

Um solche Risiken besser handhabbar zu machen, muss die Privatassekuranz mit staatlichen Stellen kooperieren. Diese Partnerschaften sollen die Privatwirtschaft ermutigen, schwer versicherbare Risiken aufzunehmen. Sie werden unterstützt durch staatliche Backstopps, die Verlustgarantien für systemische Cyber-Risiken bieten, sobald bestimmte Schwellenwerte überschritten werden.

Bundesamt für Cybersicherheit (BACS): Cyberbedrohungslage aus Sicht des Bundes

Manuel Suter, stellvertretender Direktor des BACS, betont die Notwendigkeit, die Cyberbedrohungen aus verschiedenen Perspektiven zu betrachten. Die Wahrnehmung der Bedrohungen durch die Bevölkerung, wie Betrug oder Erpressung, unterscheiden sich stark von der tatsächlichen Bedrohungslage. Besonders besorgniserregend sind die Angriffe prorussischer Hacktivisten, die zuletzt während der Rede des ukrainischen Präsidenten Volodymyr Selenskyj stattfanden. Die Cyberkriminalität hat sich ebenfalls professionalisiert. Allein im Monat Juni erhielt das BACS 32.000 Meldungen, im vergangenen Jahr waren es insgesamt 50.000.

Das Bundesamt für Cybersicherheit, das aus dem Nationalen Cyber Security Center (NCSC) hervorgegangen ist, besteht erst seit Jahresbeginn und soll von 13 auf 67 Mitarbeitende aufgestockt werden. Das Budget beträgt 15 Millionen Franken. Die Nationale Cyberstrategie (NCS) wurde zum dritten Mal gemeinsam mit der Wirtschaft, den Kantonen und dem Bund entwickelt. Sie umfasst fünf Handlungsfelder, darunter die Entwicklung sicherer digitaler Dienstleistungen und eine effektive Bekämpfung der Cyberkriminalität.

Laut Manuel Suter birgt die Cybersicherheit auch Chancen, wie das Beispiel Israel mit seinen vielen Cyber-Security-Startups zeigt. Die Schweiz sollte diesen Weg ebenfalls beschreiten. Zur Umsetzung der Strategie wurde ein Steuerungsausschuss unter der Leitung von Maja Bundt, Cyber Practice Leader bei Swiss Re, eingerichtet, der sich auch aus Vertretern der Privatwirtschaft zusammensetzt. Dieser Ausschuss erarbeitet eine Roadmap und schlägt dem Bundesrat zusätzliche Massnahmen und Finanzmittel vor.

Bundesamt für Kommunikation (BAKOM): KI als Chance für die Schweiz

Bernard Maissen, Direktor des BAKOM seit Juli 2020, sieht sich als Teil des Cybersicherheitssystems und begrüsst die Gründung des BACS. Das BAKOM ist zuständig für die Medienkommunikation und Telekommunikation in der Schweiz, die beide stark durch Cyberbedrohungen herausgefordert werden. Während das BACS und das Bundesamt für Informatik und Telekommunikation (BIT) für die Sicherheit verantwortlich sind, muss die SRG, als grösste Medienanbieterin, sicherstellen, dass sie gegen Cyberangriffe gewappnet ist. Im Telekommunikationsbereich sorgt das BAKOM dafür, dass Anbieter über sichere Netze verfügen.

KI fällt ebenfalls in den Zuständigkeitsbereich des BAKOM. Bundesrat Albert Rösti nahm Anfang November 2023 im Vereinigten Königreich am ersten internationalen Gipfel zur Sicherheit von KI teil. Zusammen mit dem EDA und dem Bundesamt für Justiz arbeitet das BAKOM an Regulierungen. Maissen sieht in der KI eine Chance für die Schweiz, sich erfolgreich zu positionieren und die Branche positiv zu beeinflussen.

Cyber-Defense Campus: Forschung, Staat und Privatwirtschaft

Dr. Vincent Lenders leitet den Cyber-Defense Campus, der dem Bundesamt für Rüstung, armasuisse, angegliedert ist. Mit über 2 Millionen neuen, vernetzten Geräten monatlich und dem Vernetzen neuer Fahrzeuge ab nächstem Jahr wird die kritische Infrastruktur zunehmend gefährdet. Ein Beispiel ist der jüngste Vorfall bei CrowdStrike, bei dem aufgrund eines Konfigurationsfehlers über eine Million Geräte ausfielen.

Hätte eine böswillige Cyberattacke stattgefunden, wäre der Schaden erheblich gewesen. Das weltweite Wachstum von Sicherheitsanfälligkeiten wird durch die Common Vulnerabilities and Exposures (CVE) mit über 30’000 neuen Schwachstellen in diesem Jahr dokumentiert, Sicherheitsupdates sind oft schwierig umzusetzen, vor allem in zertifizierten kritischen Infrastrukturen. Daher ist die Kooperation von Staat, Wirtschaft und Wissenschaft unerlässlich.

In diesem Kontext wurde durch Bundesrätin Viola Amherd der Cyber Defense Campus gegründet, der Hochschulen und Unternehmen vernetzt. Schwerpunkte sind KI, Quantum- und Weltraumtechnologien sowie neue Kommunikationsnetzwerke. Ein Ergebnis ist das open-access-Buch «Large Language Models in Cybersecurity», das im Juni 2024 erschienen ist.

Ein Beispiel für erfolgreiche Forschung ist der RUAG-Vorfall von 2016, bei dem Malware über zwei Jahre unentdeckt blieb und sensible Daten abfliessen liess. Dies führte zur Gründung des Spin-offs Exeon Analytics, das KI für IT/OT-Sicherheitsanalysen nutzt. Die Cyber Startup Challenge fördert innovative Lösungen, wie die von ONEKEY, die automatisch Schwachstellen priorisiert.

Bei der DEF CON Hacking Conference erfuhr Dr. Lenders von DARPA, dass die US-Regierung ihre kritischen Infrastrukturen für infiltriert hält und verstärkt auf KI-Entwicklungen setzt, um Software-Schwachstellen automatisch zu erkennen und zu beheben — eine Strategie, die auch für die Schweiz zukünftig entscheidend sein wird.

In der heutigen digitalen Welt ist Cybersicherheit ein zentrales Anliegen für Regierungen, Unternehmen und Forschungseinrichtungen. Deshalb wird die Notwendigkeit von PPP zur Bewältigung der Risiken betont. Besonders betroffen ist der Bereich der schwer versicherbarer Cyberangriffe mit jährlichen Deckungslücken von bis zu 900 Milliarden Dollar. Der Cyber-Defense Campus zeigt die Bedeutung der Zusammenarbeit zwischen Wirtschaft, Staat und Wissenschaft sowie den Einsatz innovativer Technologien wie Künstlicher Intelligenz (KI) zur Schwachstellenidentifikation. Vorfälle wie der RUAG-Vorfall und Initiativen wie die Cyber Startup Challenge verdeutlichen die Dringlichkeit proaktiven Handelns. Angesichts der zunehmenden Komplexität von Cyberkriminalität müssen die Schweiz und andere Staaten weiterhin in ihre Cybersicherheitsstrategien investieren, um wirksam gegen bestehende und zukünftige Bedrohungen vorzugehen.

BK

Lesen Sie auch: Shira Kaplan: Aufbau eines Cybersecurity-Ökosystems in der Schweiz