Am gefürchtetsten sind bei Cyberangriffen die sogenannten Spillover-Effekte: Solche treten ein, wenn ein Angriff auf einen ganzen Wirtschaftssektor – etwa die Energieversorgung eines Staates – Auswirkungen  auch andere Sektoren entwickelt. (Foto: Shutterstock)

Die Zahl der Attacken von Cyberkriminellen auf Unternehmen, staatliche Institutionenwächst: 2020 stiegen die Schäden weltweit in diesem Kontext auf rund 1000 Milliarden US-Dollar. Das entspricht einem Wachstum von 40 Prozent gegenüber 2018. Martin Eling, Professor und Direktor am Institut für Versicherungswirtschaft der HSG, sagt dazu: «In den letzten Jahren hat sich die Cyberkriminalität industrialisiert. Man kann mittlerweile solche Attacken bei Anbietern buchen, auch wenn man keine weitreichenden IT-Kenntnisse hat.»

Versicherungsökonom Eling möchte mit seiner Forschung in erster Linie quantifizieren, welche finanziellen Verluste bei Cyberattacken zu erwarten sind. Er sagt: «Wenn Entscheidungsträger in Politik und Wirtschaft die potenziellen Schäden kennen, erlaubt ihnen das ein präziseres Risikomanagement.» Versicherer könnten aufgrund dieser Zahlen zudem abschätzen, welche digitalen Risiken überhaupt versicherbar sind, so Eling.

Gesundheitssektor besonders exponiert 
Gemeinsam mit HSG-Kollege Mauro Elvedi und Greg Falco von der John Hopkins University in Baltimore hat Eling ein Modell entwickelt, um die Bandbreite der möglichen Kosten von sechs extremen Cyber-Schadenszenarien in den USA abzuschätzen. Das Modell betrachtet auch sogenannte Spillover-Effekte: Solche treten ein, wenn ein Angriff auf einen ganzen Wirtschaftssektor – etwa die Energieversorgung eines Staates – Auswirkungen auf andere Sektoren hat. Dies lässt die möglichen Schadenssummen bei fast allen Angriffsszenarien schon fast explodieren. Aufgrund der globalisierten und vernetzten Weltwirtschaft ist dies auch wenig überraschend.

Das Team um Eling hatte in diesem Frühling im renommierten North American Actuarial Journal die entsprechende Studie erstmals veröffentlicht. Danach machte man sich daran, die Arbeit mit Zahlen für die Schweiz, Europa und China zu erweitern. Elings Leistung: Erstmals stehen damit Daten für extreme Cyberrisiken für verschiedene Weltregionen zur Verfügung, die mit dem gleichen Analyserahmen berechnet sind. Eling: «Die Zahlen zeigen unter anderem, dass in der Schweiz wie in den USA in erster Linie der Gesundheitssektor, öffentliche Dienstleistungen sowie Steuerungssysteme in der Industrie sehr exponiert sind, was mögliche Folgekosten betrifft.» Der HSG-Spezialist folgert darum, dass in diesen Bereichen Cyberrisiken verstärkt in Planung einbezogen werden müssten. «Gerade auch, weil es sich dabei teils um kritische Infrastrukturen für die Öffentlichkeit handelt», sagte Eling in einem Blog der HSG. Auffällig sei, dass sich die Zahlen für die USA und die Schweiz relativ betrachtet kaum unterscheiden. Laut Eling liegt das an den ähnlich dienstleistungsgeprägten Volkswirtschaften beider Länder.

Welche Strategie hilft gegen digitale Erpressung? 
Anfang September erhielt Eling, als einer der führenden Forscher auf dem Gebiet der Messung von Schäden durch Cyberattacken, eine Einladung zur interdisziplinären Konferenz, die das Massachusetts Institute of Technology (MIT) gemeinsam mit der US-Notenbank Federal Reserve organisiert hatte. Forschende verschiedener Fachrichtungen diskutierten dort zusammen mit Vertretern der Finanzindustrie und der US-Regierung aktuelle Fragen zur Cybersicherheit und deren Messung.

Doch etwas treibt Eling besonders an: In einer Kooperation mit dem New Yorker Versicherungsbroker und Risikomanagementanbieter Marsh will er untersuchen, ob es sinnvoll ist, bei einer Erpressung nach Cyberattacken Lösegeld zu zahlen. Den HSG-Forschenden steht dafür ein umfangreicher, anonymisierter Datensatz von Marsh zur Verfügung. Das ist für die Forschenden ein Glücksfall, denn sonst gibt es zu Cyberattacken und deren Folgen kaum Daten. Eling weiss wieso: «Die meisten Unternehmen und Institutionen haben kein Interesse daran, Daten zu einer Attacke offenzulegen.»

Dabei häufen sich laut Eling solche Attacken – «auch in der Schweiz werden gerade KMUs täglich im digitalen Raum angegriffen, nur ist das in der öffentlichen Wahrnehmung kaum präsent.».

Daten landen im Darknet

Welche Erfahrungen die Stadt Baden nach einem Cyberangriff machte und wie sie reagierte.

«Wir wollen aufzeigen, dass Europa auf dem falschen Weg ist»

Im zweiten Teil des Gesprächs analysieren Konrad Hummler und Franz Jaeger das Verhältnis der Schweiz zu Europa. Dabei plädieren sie für eine andere EU.

Die Preise für Immobilien im Metaverse boomen – das sind die Gründe

Warum Leute bereit sind, für virtuelle Grundstücke viel Geld zu bezahlen

Die Schweiz im Ausnahmezustand

Rückblick auf die zehn grössten Krisen, die unser Land zu bestehen hatte.

Die Schönheit der Karten

Ein neuer historischer Atlas der Schweiz.

«Die AHV braucht ohnehin eine strukturelle Reform»

Eric Breval, Direktor des AHV-Ausgleichsfonds compensuisse, über die Auswirkungen von Corona auf das AHV-Vermögen und warum er auf einen Schritt der Politik hofft, damit der Fonds langfristig anlegen kann.

Von der Mühe mit einer Weltsprache

In einem globalen Ranking der englischen Sprachkompetenzen belegt die Schweiz gerade mal den 19. Rang.

«Das ist ein Angriff auf die Schweizer Demokratie»

Die Luzerner Politologin und Netzaktivistin Adrienne Fichter über politische Werbung im Netz, digitale Demokratie powered by Facebook und Trends.

13 Szenarien für die Schweiz

Wie der Think Tank Avenir Suisse die Öffentlichkeit aufrüttelt und zum kritischen Nachdenken über die Zukunft anregen will.