Die Cyberattacke bleibt ein grosses Geschäftsrisiko

Die Zahl der Attacken von Cyberkriminellen auf Unternehmen, staatliche Institutionenwächst: 2020 stiegen die Schäden weltweit in diesem Kontext auf rund 1000 Milliarden US-Dollar. Das entspricht einem Wachstum von 40 Prozent gegenüber 2018. Martin Eling, Professor und Direktor am Institut für Versicherungswirtschaft der HSG, sagt dazu: «In den letzten Jahren hat sich die Cyberkriminalität industrialisiert. Man kann mittlerweile solche Attacken bei Anbietern buchen, auch wenn man keine weitreichenden IT-Kenntnisse hat.»

Versicherungsökonom Eling möchte mit seiner Forschung in erster Linie quantifizieren, welche finanziellen Verluste bei Cyberattacken zu erwarten sind. Er sagt: «Wenn Entscheidungsträger in Politik und Wirtschaft die potenziellen Schäden kennen, erlaubt ihnen das ein präziseres Risikomanagement.» Versicherer könnten aufgrund dieser Zahlen zudem abschätzen, welche digitalen Risiken überhaupt versicherbar sind, so Eling.

Gesundheitssektor besonders exponiert 
Gemeinsam mit HSG-Kollege Mauro Elvedi und Greg Falco von der John Hopkins University in Baltimore hat Eling ein Modell entwickelt, um die Bandbreite der möglichen Kosten von sechs extremen Cyber-Schadenszenarien in den USA abzuschätzen. Das Modell betrachtet auch sogenannte Spillover-Effekte: Solche treten ein, wenn ein Angriff auf einen ganzen Wirtschaftssektor – etwa die Energieversorgung eines Staates – Auswirkungen auf andere Sektoren hat. Dies lässt die möglichen Schadenssummen bei fast allen Angriffsszenarien schon fast explodieren. Aufgrund der globalisierten und vernetzten Weltwirtschaft ist dies auch wenig überraschend.

Das Team um Eling hatte in diesem Frühling im renommierten North American Actuarial Journal die entsprechende Studie erstmals veröffentlicht. Danach machte man sich daran, die Arbeit mit Zahlen für die Schweiz, Europa und China zu erweitern. Elings Leistung: Erstmals stehen damit Daten für extreme Cyberrisiken für verschiedene Weltregionen zur Verfügung, die mit dem gleichen Analyserahmen berechnet sind. Eling: «Die Zahlen zeigen unter anderem, dass in der Schweiz wie in den USA in erster Linie der Gesundheitssektor, öffentliche Dienstleistungen sowie Steuerungssysteme in der Industrie sehr exponiert sind, was mögliche Folgekosten betrifft.» Der HSG-Spezialist folgert darum, dass in diesen Bereichen Cyberrisiken verstärkt in Planung einbezogen werden müssten. «Gerade auch, weil es sich dabei teils um kritische Infrastrukturen für die Öffentlichkeit handelt», sagte Eling in einem Blog der HSG. Auffällig sei, dass sich die Zahlen für die USA und die Schweiz relativ betrachtet kaum unterscheiden. Laut Eling liegt das an den ähnlich dienstleistungsgeprägten Volkswirtschaften beider Länder.

Welche Strategie hilft gegen digitale Erpressung? 
Anfang September erhielt Eling, als einer der führenden Forscher auf dem Gebiet der Messung von Schäden durch Cyberattacken, eine Einladung zur interdisziplinären Konferenz, die das Massachusetts Institute of Technology (MIT) gemeinsam mit der US-Notenbank Federal Reserve organisiert hatte. Forschende verschiedener Fachrichtungen diskutierten dort zusammen mit Vertretern der Finanzindustrie und der US-Regierung aktuelle Fragen zur Cybersicherheit und deren Messung.

Doch etwas treibt Eling besonders an: In einer Kooperation mit dem New Yorker Versicherungsbroker und Risikomanagementanbieter Marsh will er untersuchen, ob es sinnvoll ist, bei einer Erpressung nach Cyberattacken Lösegeld zu zahlen. Den HSG-Forschenden steht dafür ein umfangreicher, anonymisierter Datensatz von Marsh zur Verfügung. Das ist für die Forschenden ein Glücksfall, denn sonst gibt es zu Cyberattacken und deren Folgen kaum Daten. Eling weiss wieso: «Die meisten Unternehmen und Institutionen haben kein Interesse daran, Daten zu einer Attacke offenzulegen.»

Dabei häufen sich laut Eling solche Attacken – «auch in der Schweiz werden gerade KMUs täglich im digitalen Raum angegriffen, nur ist das in der öffentlichen Wahrnehmung kaum präsent.».