Cyberangriffe erregten im vergangenen Jahr viel Aufsehen: Da war die Firma Xplain, die IT-Dienstleistungen für den Bund bereitstellt und von einem massiven Datenleck betroffen war; da waren politisch motivierte Angriffe auf die Websites der Bundesverwaltung, etwa anlässlich einer Rede des ukrainischen Präsidenten Selenski vor dem Parlament. Doch wie schlimm waren die einzelnen Vorfälle wirklich? Wie steht es um die aktuelle Bedrohungslage? Am Montag gab es dazu Antworten vom Bundesamt für Cybersicherheit (Bacs).
Die Bedrohung aus dem digitalen Raum nimmt zu. Das spiegelt sich in den aktuellen Zahlen des Bacs wider. Demnach gingen im zweiten Halbjahr 2023 über 30'000 Meldungen zu Cybervorfällen ein - das sind fast doppelt so viele wie im gleichen Zeitraum 2022.
Der Anstieg ist laut dem Bacs hauptsächlich auf betrügerische Stellenangebote und gefälschte Anrufe der Polizei zurückzuführen. Die meisten der gemeldeten Vorfälle seien Betrugsversuche.
Eine beliebte Angriffsform auf Firmen ist der CEO-Betrug. Dabei verschicken Kriminelle ein Mail im Namen des Chefs oder Vereinspräsidenten mit einer dringlichen Zahlungsaufforderung. Häufig ist auch der sogenannte Rechnungsmanipulationsbetrug. Bereits verschickte Rechnungen werden dabei nochmals versendet - diesmal mit geänderter IBAN-Nummer.
Generell stellt Bacs-Direktor Florian Schütz fest: «Cyberangriffe sind zu oft erfolgreich.» Vielen Leuten, die sich im digitalen Raum bewegten, fehle es am Verständnis für die Gefahren. «Nicht, weil sie es nicht verstehen können, sondern weil sie es nicht erklärt bekommen.»
Weitere Risikofaktoren sind laut Schütz die hohe Verwundbarkeit von IT-Systemen, die noch schwach ausgeprägte Reaktionsfähigkeit bei systemrelevanten Vorfällen sowie die oft mangelnde Transparenz.
Zugleich relativiert der Bacs-Direktor: Zwar klinge die Situation dramatisch. Doch im Kontext der immer stärkeren Nutzung des Internets seien die Zahlen durchaus nachvollziehbar. Zudem sei das Meldeverfahren einfacher geworden, was ebenfalls zum Anstieg beigetragen habe.
Angriffe wie jener, der gewisse Websites der Bundesverwaltung anlässlich von Selenskis Besuch lahmlegte, ist laut Schütz zwar ein «Tolggen im Reinheft» und «schlecht fürs Image». Doch es sei kein finanzieller Schaden entstanden, die Hacker hätten vor allem Aufmerksamkeit gewollt. «Das ist zwar ernst zu nehmen, aber insgesamt haben wir dringendere Probleme.»
Zu 95 Prozent wollten die Personen, die hinter einem Cyberangriff stehen, einfach Geld verdienen. «Das sind eigentlich gute Nachrichten», sagt Schütz und erklärt auch gleich, wieso: Da es letztlich um Geld geht, könnten Firmen und Privatpersonen mit mehr Schutz die Investitionskosten für Hacker in die Höhe treiben, sodass sich ein Angriff letztlich nicht mehr lohne. Diese Schwelle liege noch immer relativ tief.
In der Schweiz gibt es viele kleine Unternehmen, die kein Budget für grosse Cyberabwehrinstallationen haben. «Das betrifft so viele Firmen, dass wir diese Thematik genauer anschauen müssen», sagt der Bacs-Direktor.
Es sei eine der zentralen Fragen, die auch das Bacs immer wieder beschäftigt: Wo investieren wir wie viel Geld? «Je mehr wir in die Abwehr investieren, desto besser sind wir aufgestellt - aber dann haben wir weniger Mittel für die Prävention und die Bedrohung insgesamt nimmt zu», sagt Schütz. Diese Gesamtsicht fehle heute noch.
Der Umgang mit teilweise sensiblen Daten war beim Bund äusserst lasch. Zu diesem vernichtenden Urteil kam vergangene Woche ein Untersuchungsbericht zum Fall Xplain. Er wirft die Frage auf, wie es bei den Bundesangestellten um Wissen und Bewusstsein im Umgang mit digitalen Bedrohungen bestellt ist.
Auf die Frage, ob man den Fall Xplain hätte verhindern können, antwortet Bacs-Direktor Florian Schütz: «Im Nachhinein hätte man es immer verhindern können.» Wie es aus der damaligen Perspektive aussah, wolle er nicht beurteilen - das müsse die Firma Xplain selbst tun.
Dagegen ist für den Bacs-Direktor klar, dass es Verbesserungen im Umgang mit Daten brauche. Man müsse besser prüfen, welche Daten wirklich gelöscht würden und was an externe Firmen rausgehe.
Dass die Schweiz bei der Cybersicherheit generell ganz schlecht aufgestellt ist, will Schütz nicht so stehen lassen: «Wir bewegen uns international im Mittelfeld.» In einzelnen Nischenbereichen sei die Schweiz sogar ganz vorne dabei. Aber: «Wir sind noch nicht so gut, wie wir es sein könnten.»
Künstliche Intelligenz (KI) findet laut Schütz sehr schnell Eingang in die Angriffsmethoden. «Zur Abwehr wird sie dagegen erst sehr zögerlich genutzt», sagt Schütz. Der Grund: Eine KI finde zwar oft gute Lösungen. Doch es sei nicht ersichtlich, wie sie darauf gekommen ist. Das mache einen systematischen Einsatz in der Cyberabwehr schwierig. Die KI werde auch hier ankommen, aber es dauere einfach länger, so der Bacs-Direktor.
Das Bundesamt verzeichnet vermehrt Betrugsversuche unter Einsatz von künstlicher Intelligenz. So hätten Cyberkriminelle etwa mit KI generierte Sex-Bilder für Erpressungsversuche benutzt. Die Zahl der Meldungen sei aber noch vergleichsweise gering. Es dürfte sich deshalb «um erste Versuche handeln, mit denen die Kriminellen ausloten wollen, wie sich KI künftig gewinnbringend für Cyberangriffe einsetzen lässt».