Die Digitalisierung schreitet voran. Parallel dazu blüht die Cyberkriminalität. In der Schweiz gab es im Jahr 2022 über 34’000 Cybervorfälle. Das ist ein Zuwachs im Jahresvergleich um rund 50 Prozent. Und die Zahl steigt stetig weiter.
Datensicherheit ist besonders für Finanzanbieter überlebenswichtig. Dennoch schützen sich nicht alle Finanzunternehmen ausreichend, warnt eine Studie von Mastercard zur Cybersicherheit im Schweizer Finanzsektor.
So erhalten laut Studie nur 54 Prozent der befragten Unternehmen die beste Sicherheitsbewertung. 7 Prozent der untersuchten Firmen attestieren die Experten von Mastercard sogar wesentliche Sicherheitsprobleme.
Nicht genug ausgerüstet
«Viele Schweizer Unternehmen sind noch immer nicht ausreichend ausgerüstet, um Schwachstellen in ihren Systemen und Abläufen zu adressieren und damit verbundene Risiken zu beseitigen», sagt Daniela Massaro, Country Manager Switzerland bei Mastercard.
So berichtete etwa das Nationale Zentrum für Cybersicherheit im November 2022 von knapp 3000 Unternehmen, die seit zwei Monaten bekannte Sicherheitslücken in ihren IT-Systemen immer noch nicht geschlossen hatten. Diese Zahl umfasst indes alle Unternehmen und beschränkt sich nicht auf die Finanzindustrie.
Mehr zum Thema Cybersicherheit
Doch auch hier gibt es viele Probleme, wie die Mastercard-Studie aufzeigt: Finanzunternehmen nutzen veraltete Software, haben ungenügend geschützte Content-Management-Systeme und verwenden unsichere Netzwerkdienste. 65 Prozent der untersuchten Unternehmen nutzten für die Verschlüsselung ihrer Webseiten Zertifikate, die abgelaufen waren oder ungültige Subjekte hatten. «All das macht Cyberkriminellen den Zugriff leichter», warnt Daniela Massaro.
Der Schaden ist hoch
Haben Cyberkriminelle sich einmal Zugriff auf die Systeme verschafft, wird es teuer: Alleine durch Datenlecks verlieren börsennotierte Unternehmen durchschnittlich 1,1 Prozent ihres Marktwertes. Und oft als harmlos betitelte IT-Systemausfälle kosten im Durchschnitt 5200 Franken pro Minute.
Beachtliche 40 Prozent der angegriffenen Unternehmen zahlen nach einem Hackerangriff Lösegeld. Rund 80’000 Franken Lösegeld ist der Durchschnittswert in der Schweiz. Weltweit sind es 167'000 Franken. Die Behebung des Schadens kostet in den meisten Fällen mehr als 1,5 Millionen Franken.
Hinter dem grossen Schaden stecken Hacker. «Unsere Datenauswertungen zeigen, dass sich 93 Prozent der Cyberangriffe in der Schweiz auf drei Hauptbedrohungsakteure zurückführen lassen: Finanzhackerinnen und Finanzhacker, politisch motivierte Cyberkriminelle und politische Aktivistinnen und Aktivisten», sagt Daniela Massaro.
Dieser Artikel wurde erstmals in der «Handelszeitung» publiziert. Weitere spannende Artikel findest du auf www.handelszeitung.ch.
Dieser Artikel wurde erstmals in der «Handelszeitung» publiziert. Weitere spannende Artikel findest du auf www.handelszeitung.ch.
Die drei Profile der Hacker und Hackerinnen
Zusätzlich zu den drei Hauptakteuren gibt es auch eine kleine Gruppe von Betrügern, die finanziell motiviert sind und einfachere Methoden verwenden wie das Abgreifen von Kreditkartendaten. Alle Gruppen handeln mit unterschiedlichen Zielen und Methoden.
Die bevorzugten Ziele der Finanzhacker sind Banken, Kartenherausgeber und Versicherungen. In der Regel versuchen sie, sensible Informationen zu stehlen und Geld daraus zu machen.
Die motivierten Cyberkriminellen sind oft Spione für ihre Regierung oder für nationale Interessen und zielen auf staatliche Institutionen und wichtige Branchen wie Transport, Luft- und Schifffahrt, Bildung, Medien, Unterhaltung und Gesundheitswesen ab.
Die drittaktivste Gruppe besteht aus politischen Aktivisten, auch bekannt als Hacktivisten. Sie handeln aus ideologischen, politischen oder sozialen Motiven. Die Hacktivisten blockieren oft den Zugang zu wichtigen Websites wie Nachrichtenseiten, um ihre Botschaften öffentlich zu verbreiten.
Was die Studie empfiehlt
Cybervorfälle sind häufig und sie kosten. Geschützt sind die Mehrzahl der Unternehmen nicht ausreichend. Was also tun? Die Studie empfiehlt Schulungen für Mitarbeitende und Lieferanten, damit diese auf häufig auftretende Sicherheitsrisiken besser vorbereitet sind.
Zusätzlich empfiehlt die Studie, ein separates Budget für die Cybersicherheit einzurichten, um sicherzustellen, dass diese Investitionen nicht mit anderen IT-Projekten konkurrieren.
Selbst Angriffe zu simulieren, soll dabei helfen, die Risiken zu minimieren. So können Sicherheitslücken im eigenen System und bei Dritten frühzeitig erkannt und behoben werden.
Daniela Massaro sagt: «Mit dem Verständnis von Cybersicherheit als Investition – nicht allein als Kostenfaktor – stellen sich Unternehmen zukunftssicher auf.»