Die Anzahl von Cyber-Angriffen hat sich zwischen 2023 und 2024 mehr als verdoppelt. Von was für Dimensionen reden wir hier?
Das Bundesamt für Cybersicherheit nennt für das Jahr 2023 ca. 50'000 Cyberangriffe, also ca. 140 pro Tag, was etwa einer Verdoppelung gegenüber dem Vorjahreszeitraum entspricht. Dies sind in den letzten Jahren vor allem Cyber-Betrugsfälle, die von privaten Personen gemeldet werden. Es gibt dabei jedoch eine grosse Dunkelziffer von nicht gemeldeten Fällen. Gemäss FBI und US Department of Justice werden weltweit nur 15 Prozent der Cyber-Angriffe gemeldet. Im gleichen Jahr 2023 stiegen Fälle von Phishing, also das «Fischen von Passwörtern», in der Schweiz stark an, von ca. 4'000 auf fast 10'000. Das sind ca. 30 Meldungen von Phishing pro Tag.
Angaben zu Anzahl, Kosten und bezahlten Lösegeldern von Cyber-Angriffen auf Firmen sind kaum vorhanden, auch um den Angreifern nicht Anreize zu geben. Gemäss einer aktuellen Untersuchung von IBM und des Ponemon Institute, basierend auf ca. 600 Firmen, die von einem Cyber-Angriff betroffen waren, belaufen sich aktuell durchschnittliche Kosten auf fast fünf Millionen Franken pro Fall. Speziell wird darin erwähnt, dass Angriffe durch böswillige Insider die grössten Kosten verursachen. Gemäss offiziellen Zahlen des Bundeskriminalamtes in Deutschland wurden im Jahr 2023 weltweit etwa 148 Milliarden Euro an Schäden durch Cyber-Angriffe verursacht.
Können Sie kurz erläutern, welche grundsätzlichen Arten und Zwecke von Cyberkriminalität es gibt?
Grundsätzlich kann man unterscheiden zwischen Schadsoftware (Malware), digitalem Einbruch (Hacking und Sabotage), physischem Einbruch mit Diebstahl und Sabotage von IT-Systemen und Daten und Identitätsdiebstahl. Bei Schadsoftware wurden seit Mitte der 2010er-Jahre vermehrt Programme eingesetzt, die Daten verschlüsseln, um Lösegeld für die Entschlüsselung oder die Veröffentlichung zu verlangen (Ransomware).
Der Identitätsdiebstahl oder digitale Einbruch geschieht aktuell meist mittels Phishing und führt bei KMUs unter anderem auch zu ca. 350 CEO-Betrugsfällen pro Jahr.
Sabotage wird seit einigen Jahren vor allem durch die gezielte Überlastung von Systemen erreicht, indem zusammengehängte PCs, WebCams, etc. massenhafte Anfragen gleichzeitig an eine Adresse senden (DDoS-Angriffe).
Welche dieser Cybercrime-Arten sind im wirtschaftlichen Kontext besonders hervorzuheben?
Die Datensicherheit wird aktuell durch Phishing gefährdet, bei welcher Personen ausgetrickst werden und dadurch ihre Zugangsdaten zur Firma und damit zum Unternehmensnetzwerk offenlegen.
Besonders gefährlich für Unternehmen sind seit einigen Jahren die Ransomangriffe, da sie den Betrieb lahmlegen und hohe Lösegeldforderungen nach sich ziehen können. Wenn kein (geprüftes) sicheres BackUp vorhanden ist, welches getrennt vom System gelagert wird, kann die wirtschaftliche Grundlage bereits durch einen einzigen Angriff gefährdet sein. Dabei werden in letzter Zeit neben dem Austricksen von Mitarbeitern vor allem auch Schwachstellen in der Lieferkette ausgenutzt, um Ransomware einzuschleusen. Das heisst, dass digitale Hintertüren in den Programmen eingebracht werden, bevor diese Software an die KMUs verteilt werden.
Nicht weniger geworden ist auch die Industriespionage, also der Diebstahl von Geschäftsgeheimnissen und geistigem Eigentum. Der Verlust oder die Offenlegung solcher Daten kann häufig wirtschaftlich zum Konkurs führen.
Straftaten der digitalen Kriminalität
Kanton Luzern
| 2022 | 2023 | Differenz |
Straftaten | Straftaten | ||
Total Digitale Kriminalität | 1 656 | 2 141 | 29% |
Unbefugte Datenbeschaffung | 125 | 107 | -14% |
Unbefugtes Eindringen in ein Datenverarbeitungssystem | 35 | 23 | -34% |
Datenbeschädigung | 24 | 20 | -17% |
Betrug | 637 | 880 | 38% |
Betrügerischer Missbrauch einer Datenverarbeitungsanlage | 470 | 658 | 40% |
Erpressung | 78 | 85 | 9% |
Quelle: BFS – Polizeiliche Kriminalstatistik (PK) 2023
Steigt die Zahl von Cyber-Delikten derart stark an, weil es für Kriminelle zu einem einträglichen, vermeintlich risikoarmen Geschäft geworden ist? Oder welche weiteren Gründe gibt es?
Es gibt wohl zwei Hauptgründe für die starke Zunahme an Cyber-Delikten neben der Anonymität des Internets. Zum einen lassen sich die benötigten Ressourcen immer einfacher besorgen, da Schadsoftware im Internet einfach heruntergeladen und gestartet werden kann und dabei auch schon ein Standard-PC ausreicht und keine Programmierkenntnisse nötig sind. Zum anderen gibt es sehr viele Informationen über Personen im Internet, sei es durch eigenes Publizieren der eigenen Daten in Facebook, LinkedIn und Co, oder aber durch die vielen Data Breaches in den letzten Jahren, bei denen Milliarden Datensätze bewusst oder unbewusst offengelegt wurden. Darin waren häufig E-Mail-Adressen und Passwörter, aber auch Kreditkarten und andere Daten enthalten, welche nun direkt oder über Phishing ausgenutzt werden können.
Welche Rolle spielt dabei der Einsatz von generativer KI? «Erleichtert» diese Kriminellen ihr Handwerk?
Generative KI («GenAI») erleichtert Hackern aktuell vor allem die Erstellung von Phishing-E-Mails, die dann ein perfektes Deutsch aufweisen und damit weniger rasch als Fake entlarvt werden. Ausserdem erzeugen Cyberkriminelle auch Bilder mit GenAI, die Personen in einer delikaten Situation zeigen, um Geld oder Informationen zu erpressen. Experten gehen davon aus, dass GenAI auch benutzt wird, um Cyber-Angriffsziele zu bestimmen und die bestmögliche Strategie für jedes Ziel zu wählen, so dass der Schaden oder das Lösegeld am höchsten ist. Auch DeepFakes können mit GenAI erstellt werden und dadurch zum Beispiel Anrufe mit der Stimme des CEOs durchgeführt werden.
Gleichzeitig hilft GenAI auch den Cyber-Security-Experten, die Systeme zu sichern, mögliche Schwachstellen zu erkennen und Anomalitäten im Netzwerkverkehr zu detektieren, bevor ein Schaden entsteht.
Straftaten der digitalen Kriminalität nach Bereich
Kanton Luzern
Quelle: BFS – Polizeiliche Kriminalstatistik (PK) 2023
Können Sie die jährliche Schadenssumme für die KMU-Wirtschaft schweizweit beziffern?
Laut einer Analyse vom Comparitech erlitten Personen und Firmen in der Schweiz im Jahr 2022 hochgerechnet eine Gesamt-Schadenssumme von ca. 1,8 Milliarden Franken durch Cyber-Angriffe. Hierbei machen Cyber-Betrugsfälle bei Privatpersonen den grössten Anteil aus. Gemäss der US Behörde IC3 (Internet Crime Complaint Center) beziffern sich die Verluste durch E-Mail-Betrug auf ca. 125’000 Dollar pro Fall, was wohl auch für Schweizer Firmen stimmt.
Im Bericht von IBM und des Ponemon Institute wird berechnet, dass ein destruktiver Angriff, eine Datenexfiltration oder ein Schaden durch Ransomware, pro Fall ca. fünf Millionen Dollar kosten. Und falls Strafverfolgungsbehörden bei Ransomware eingeschaltet wurden, musste bei ca. einem Drittel der Fälle kein Lösegeld bezahlt werden.
Früher waren es einzelne Hacker, die Schaden anrichten konnten. Heute sind vermehrt top-professionelle Banden am Werk. Wie muss man sich solche Cybercrime-Netzwerke vorstellen? Wie agieren sie?
Experten gehen davon aus, dass sich Hacker heute in Organisationen koordinieren, die aufgebaut sind wie Firmen, mit Hierarchien und mit Abteilungen für Recruiting, für Payments, für Engineering, Marketing, etc. Diese Organisationen finanzieren sich durch Lösegeldzahlungen oder Geldgeber.Oft sind solche Organisationen mit anderen Organisationen vernetzt und im ständigen Konkurrenzkampf, um die besten Mitarbeiter zu binden und den grössten Schaden zu erreichen.
Wie schätzen Sie es generell ein: Werden sich KMU zunehmend der Gefahr von Cyber-Angriffen bewusst oder stellen Sie immer noch eine ziemliche Sorglosigkeit fest?
Das Bewusstsein für die Gefahr steigt, jedoch führen kleine Firmen häufig die nötigen Vorbereitungsmassnahmen nur minimal aus, aufgrund fehlenden Budgets oder fehlendem Know-How oder aufgrund von zeitlichem Druck. Beispielsweise erstellen viele Firmen BackUps, aber lassen die BackUp-Medien am Netz, wo sie bei einem Verschlüsselungsangriff gleich mitverschlüsselt und damit wertlos werden. Auch Wiederherstellungspläne werden noch nicht in allen KMUs erstellt, obwohl solche innerhalb weniger Stunden initial erstellt und danach mit wenig Aufwand laufend aktualisiert werden können.
Das Bundesamt für Cyber-Sicherheit (BACS), die Polizei und andere Institutionen wie beispielsweise die HSLU haben deswegen ihre Sensibilisierungs-Tätigkeiten in den letzten Jahren verstärkt und führen regelmässig Events und Kampagnen lokal und schweizweit durch.
Wie hoch ist die Summe, die Cyber-Angreifer in aller Regel von einem KMU verlangen, damit sie gestohlene und blockierte Daten zurückgeben? Können Sie uns eine Grössenordnung nennen?
Strafverfolgungseinheiten berichten an Konferenzen, dass aktuell durchschnittlich ca. vier Prozent des Jahresumsatzes der angegriffenen Firma als Lösegeld gefordert wird. Hierzu recherchieren die Angreifer beispielsweise in öffentlich zugänglichen Jahresberichten. Es kann also schnell um viele Millionen Franken gehen.
Ist es wahr, dass «Deals» zwischen Angreifern und Angegriffenen in den meisten Fällen zustande kommen? Dass Angreifer nach einer erfolgten Zahlung tatsächlich ihren Part erfüllen und Daten wieder zurückgeben?
Ja, Strafverfolgungseinheiten bestätigen, dass die Angreifer häufig die Verschlüsselungen rückgängig machen und entwendete Daten nicht veröffentlichen, sobald Lösegeld bezahlt wird. Jedoch ist dies im Einzelfall nie sicher und ob Daten danach oder vorher nicht bereits weitergegeben oder weiterverkauft werden, kann nie ausgeschlossen werden.
Als Laie hat man den Eindruck, dass immer mehr in die Datensicherheit investiert wird – privat wie gewerblich – und dass es immer mehr Tools und Technik gibt, die Sicherheit versprechen. Gleichzeitig aber steigt die Zahl der Fälle und der Opfer von Cyberkriminalität. Haben Kriminelle einfach die Nase vorn?
Es gibt effektiv mehr Tools und Techniken und mehr Cyberkriminalität. Leider ist es ein ständiges Katz-und-Mausspiel. Die Gründe dafür sind vielfältig, so zum Beispiel die zusätzlichen Angriffsmöglichkeiten durch die Zunahme der vernetzten Geräte bei Privathaushalten, im Gesundheitswesen, im Alltag, und die einfachere Möglichkeit, an Schadsoftware zu gelangen sowie die vielen Apps, die täglich benutzt werden. (aci/pi)
HSLU-Kurse zur digitalen Sicherheit
Fachkurs Cyber Security Lab: Praktische Übungen zu Cyber Security (Start jederzeit möglich)
Fachkurs Cybercrime Hacking, Cracking und Malware im Cybercrime-Umfeld (Start am 25. Juni 2025)
