Der öffentliche Aufschrei auf die Erpressersoftware Wanna-Cry habe wohl damit zu tun, dass erstmals Menschenleben betroffen waren, sagte Matthias Bossardt, Leiter Cybersecurity von KPMG vor den Medien in Zürich. Dabei habe es schon viele grössere Cyberangriffe gegeben.

Aus seiner Sicht war Wanna-Cry keine kritische Attacke, wenn man übliche Massnahmen wie Updates getroffen hat. Bei solchen einfachen Vorsichtsmassnahmen stünden hiesige Firmen relativ gut da.

Doch das reicht nicht: Die vergangenen 12 Monate registrierten 88 Prozent (Vorjahr: 54 Prozent) der Schweizer Unternehmen Cyberattacken, wie eine Umfrage von KPMG ergab. Die Umfrage bei 60 Gross- und Kleinunternehmen ist zwar nicht umfangreich. Dafür zeigt sie die Schäden auf, über die Unternehmen sonst schweigen - und sehr selten Anzeige erstatten.

Betriebsunterbrüche bis Datenlecks

Bei einer Mehrheit von 56 Prozent (Vorjahr: 44) der befragten Unternehmen führten die Cyberangriffe zu einem Betriebsunterbruch. Von einem Reputationsschaden berichteten 37 Prozent (Vorjahr: 24 Prozent). Finanzielle Verluste gaben wie im Vorjahr 36 Prozent an, wie aus der Umfrage hervorgeht.

Für knapp ein Drittel der Unternehmen führte der Angriff zur Offenlegung von vertraulichen, internen Informationen. Bei ebenso vielen Unternehmen wurden vertrauliche Daten von Kunden und Geschäftspartnern publik. Die meisten Cyber-Vergehen gehen laut KPMG auf das sogenannte Pishing zurück. Dabei versucht der Angreifer an Nutzerdaten zu kommen.

Über die finanziellen Folgen von Cybercrime gibt es nur Mutmassungen. Vor zwei Jahren schätzte KPMG den volkswirtschaftlichen Schaden auf 200 Millionen Franken für 2014. Aufgrund der schlechten Datenlage will man keine Zahlen mehr nennen. Mit ein Grund: Die Schweiz kennt bis auf die Finanz- und Telekommunikationsbranche keine Meldepflicht für Cybercrime-Angriffe.

Nicht bereit Angriffe abzuwehren

Prominente Fälle wie der Cyberraub in Bangladesch und die Datenlecks der US-Wahlen hätten dazu geführt, dass die Unternehmen untereinander mehr über Cybercrime redeten, beobachtet Bossardt. Doch sie setzten sich immer noch zu wenig mit Cyberrisiken auseinander, dabei seien weitere grosse Angriffe nur eine Frage der Zeit.

So sind 58 Prozent der Unternehmen nicht sicher, ob die internen Cyberexperten dieselbe Sprache sprechen wie die Manager, wie die Umfrage ergab. Nicht einmal die Hälfte der Verantwortlichen bemüht sich darum, die Cybersicherheits-Konzepte allgemein verständlich zu machen.

Schlecht sei auch die Vorbereitung auf mögliche Angriffe, sagte Bossardt. Zwar geben 87 Prozent der Finanzfirmen an, sie hätten einen Plan wie auf einen Angriff zu reagieren. Von den Firmen, die nicht von der Finanzmarktaufsicht reguliert sind, wissen aber nur 42 Prozent wie sie reagieren würden.

Wenige Firmen sind sich laut Bossardt ihrer Cyber-Risiken bewusst. Attacken geschehen über die Einzelgeräte innerhalb des Netzes, sie seien aber oft nicht Teil der Cyber-Sicherheitsstrategie. Sicherheitsabteilungen kümmerten sich stattdessen um die Büroinformatik.

(AWP)