Schweizer Unternehmen sind ein beliebtes Ziel für Hackerangriffe. Neben den SBB traf es in diesem Jahr auch die Autohändlerin Emil Frey Gruppe oder den weltweit grössten Gepäckabfertiger Swissport. In beiden Fällen sollen sensible Daten gestohlen worden sein.
Mit der wachsenden Abhängigkeit von Technologien «nimmt die Angriffsfläche laufend zu, und damit werden die Geschäftsmodelle für Kriminelle immer attraktiver», sagt Cybersecurity-Experte Marc Ruef (41) von IT-Sicherheitsfirma Scip AG.
Cybercrime ist ein Geschäftsmodell, bei dem mit wenig Aufwand viel Geld gemacht werden kann. «Gestohlene Daten können zum Beispiel für Erpressung herhalten oder im Darknet verkauft werden», so Ruef.
Massive Investitionen nötig
Genau beziffern lässt sich die Zunahme der Hackerangriffe jedoch nicht. Betroffene Firmen halten sich oft bedeckt. Sei es aus Scham, Angst vor einem Imageschaden oder auch, weil sie nicht öffentlich machen wollen, dass sie Erpressern Geld bezahlt haben.
Ruef verweist jedoch auf die Anzahl der veröffentlichten IT-Schwachstellen: «Wurden vor fünf Jahren im Schnitt noch 45 Schwachstellen pro Tag publiziert, sind es im 2022 gar schon 75 pro Tag.»
Die Firmen sind unter Druck: Wollen sie die eigenen Daten und Systeme schützen, müssen sie kontinuierlich aufrüsten. Mittlerweile liegen die Ausgaben für Cybersecurity in der Schweiz im hohen dreistelligen Millionenbereich. Allein die SBB investieren nach eigenen Angaben inzwischen einen mittleren zweistelligen Millionenbetrag.
Hackerangriffe führen Firmen in den Konkurs
Doch tun die Schweizer Firmen genug? «Manche Unternehmen investieren viel, um nicht Opfer von digitalen Attacken zu werden. Andere nehmen das Thema auf die leichte Schulter, sehen sich nicht als potenzielle Ziele», sagt Ruef. Das kann verheerende Folgen haben. «In vereinzelten Fällen wurden Unternehmen gar schon in die Insolvenz getrieben», sagt der Experte.
Das Thema müsse gerade von Führungsetage ernst genommen werden: «So mancher Manager denkt jedoch nur in Quartalszahlen», so Ruef. Gerade für diese Geschäftszahlen kann ein Hackerangriff aber verheerende Folgen haben: «Die Datenschutz-Grundverordnung der EU, die unter Umständen auch für Schweizer Unternehmen gelten kann, sieht bei fahrlässigem Vorgehen drakonische Strafen vor.» Auch in der Schweiz sei man um eine Anpassung der Rechtslage in dieser Hinsicht bemüht. «Manche Unternehmen nehmen das Thema offenbar nur ernst, wenn ein Verstoss konkrete finanzielle Folgen hat», sagt Ruef.
Doch auch schon der Hackerangriff selbst kann zu beträchtlichen finanzielle Schäden führen. Das Vergleichsportal Comparis schätzt den jährlichen Schaden von Cyberangriffen in der Schweiz auf über 700 Millionen Franken. Gemäss einer Studie der Universität Bern bewegen sich die Schäden bei Industriefirmen in vielen Fällen zwischen 10'000 und 100'000 Franken. In Einzelfällen können sie sich aber auch auf ein bis zwei Millionen belaufen.