Am gefürchtetsten sind bei Cyberangriffen die sogenannten Spillover-Effekte: Solche treten ein, wenn ein Angriff auf einen ganzen Wirtschaftssektor – etwa die Energieversorgung eines Staates – Auswirkungen  auch andere Sektoren entwickelt. (Foto: Shutterstock)

Die Zahl der Attacken von Cyberkriminellen auf Unternehmen, staatliche Institutionenwächst: 2020 stiegen die Schäden weltweit in diesem Kontext auf rund 1000 Milliarden US-Dollar. Das entspricht einem Wachstum von 40 Prozent gegenüber 2018. Martin Eling, Professor und Direktor am Institut für Versicherungswirtschaft der HSG, sagt dazu: «In den letzten Jahren hat sich die Cyberkriminalität industrialisiert. Man kann mittlerweile solche Attacken bei Anbietern buchen, auch wenn man keine weitreichenden IT-Kenntnisse hat.»

Versicherungsökonom Eling möchte mit seiner Forschung in erster Linie quantifizieren, welche finanziellen Verluste bei Cyberattacken zu erwarten sind. Er sagt: «Wenn Entscheidungsträger in Politik und Wirtschaft die potenziellen Schäden kennen, erlaubt ihnen das ein präziseres Risikomanagement.» Versicherer könnten aufgrund dieser Zahlen zudem abschätzen, welche digitalen Risiken überhaupt versicherbar sind, so Eling.

Gesundheitssektor besonders exponiert 
Gemeinsam mit HSG-Kollege Mauro Elvedi und Greg Falco von der John Hopkins University in Baltimore hat Eling ein Modell entwickelt, um die Bandbreite der möglichen Kosten von sechs extremen Cyber-Schadenszenarien in den USA abzuschätzen. Das Modell betrachtet auch sogenannte Spillover-Effekte: Solche treten ein, wenn ein Angriff auf einen ganzen Wirtschaftssektor – etwa die Energieversorgung eines Staates – Auswirkungen auf andere Sektoren hat. Dies lässt die möglichen Schadenssummen bei fast allen Angriffsszenarien schon fast explodieren. Aufgrund der globalisierten und vernetzten Weltwirtschaft ist dies auch wenig überraschend.

Das Team um Eling hatte in diesem Frühling im renommierten North American Actuarial Journal die entsprechende Studie erstmals veröffentlicht. Danach machte man sich daran, die Arbeit mit Zahlen für die Schweiz, Europa und China zu erweitern. Elings Leistung: Erstmals stehen damit Daten für extreme Cyberrisiken für verschiedene Weltregionen zur Verfügung, die mit dem gleichen Analyserahmen berechnet sind. Eling: «Die Zahlen zeigen unter anderem, dass in der Schweiz wie in den USA in erster Linie der Gesundheitssektor, öffentliche Dienstleistungen sowie Steuerungssysteme in der Industrie sehr exponiert sind, was mögliche Folgekosten betrifft.» Der HSG-Spezialist folgert darum, dass in diesen Bereichen Cyberrisiken verstärkt in Planung einbezogen werden müssten. «Gerade auch, weil es sich dabei teils um kritische Infrastrukturen für die Öffentlichkeit handelt», sagte Eling in einem Blog der HSG. Auffällig sei, dass sich die Zahlen für die USA und die Schweiz relativ betrachtet kaum unterscheiden. Laut Eling liegt das an den ähnlich dienstleistungsgeprägten Volkswirtschaften beider Länder.

Welche Strategie hilft gegen digitale Erpressung? 
Anfang September erhielt Eling, als einer der führenden Forscher auf dem Gebiet der Messung von Schäden durch Cyberattacken, eine Einladung zur interdisziplinären Konferenz, die das Massachusetts Institute of Technology (MIT) gemeinsam mit der US-Notenbank Federal Reserve organisiert hatte. Forschende verschiedener Fachrichtungen diskutierten dort zusammen mit Vertretern der Finanzindustrie und der US-Regierung aktuelle Fragen zur Cybersicherheit und deren Messung.

Doch etwas treibt Eling besonders an: In einer Kooperation mit dem New Yorker Versicherungsbroker und Risikomanagementanbieter Marsh will er untersuchen, ob es sinnvoll ist, bei einer Erpressung nach Cyberattacken Lösegeld zu zahlen. Den HSG-Forschenden steht dafür ein umfangreicher, anonymisierter Datensatz von Marsh zur Verfügung. Das ist für die Forschenden ein Glücksfall, denn sonst gibt es zu Cyberattacken und deren Folgen kaum Daten. Eling weiss wieso: «Die meisten Unternehmen und Institutionen haben kein Interesse daran, Daten zu einer Attacke offenzulegen.»

Dabei häufen sich laut Eling solche Attacken – «auch in der Schweiz werden gerade KMUs täglich im digitalen Raum angegriffen, nur ist das in der öffentlichen Wahrnehmung kaum präsent.».

«Unser Gesetz ist schlank und hat nur vier Paragrafen»

Weshalb der Kanton Zug boomt und auf Bitcoin setzt: Antworten von Regierungsrat Matthias Michel.

Wie irreführend die Medien über Schwedens Lockdown berichteten

Warum eine Kampagne nur über Social Media immer noch Wunschtraum bleibt

Politische Vielfalt garantiert

Laut neuer Studie berichten Medien in der Schweiz politisch ausgewogen.

«Wir haben nun mal keine militärische politische Struktur»

Michael Jordi, Generalsekretär der Gesundheitsdirektoren, erklärt, was die Schweiz in der Pandemie gut und was sie weniger gut gemacht hat – und warum er jetzt noch mehr zu tun hat als auf dem Höhepunkt der Krise.

«Langweilig wird es mir nie»

Arbeitgeberverbands-Direktor Roland A. Müller erklärt, warum ihm lange Arbeitstage nichts ausmachen, und warum eine Vier-Tage-Woche kein Allheilmittel gegen den Fachkräftemangel ist.

Die Schweiz erobert den Mars

Was die Weltraumforschung den Unternehmen und der Wissenschaft bringt.

Alter und Geschlecht entscheiden über Präferenzen

Warum wer auf Facebook, Instagram, Netflix, Discord oder Twitch setzt - und welche Plattformen darum obenaus schwingen.

Schweiz als Vorreiterin in der KI: Warum hier die Zukunft entsteht

Zusammenarbeit von Wissenschaft und Wirtschaft soll Vertrauen in die Technologie und ihre Regulierung stärken.

Mythos digitaler Wahlkampf

Warum eine Kampagne nur über Social Media immer noch Wunschtraum bleibt