Fo­rum Assu­ran­ces 2024: Cy­ber­ri­si­ken be­wäl­ti­gen – aber wie?

Zur Eröffnung der Diskussion erinnerte Lennig Pedron, Direktorin der Trust Valley, an das Ausmass der Cyberkriminalität, die astronomische Gewinnsummen generiert: Schätzungen zufolge belaufen sich diese im Jahr 2024 auf 9,5 Milliarden Franken, 2025 könnten es bereits 12 Milliarden Franken sein. Cyberkriminalität ist nicht nur ein technologisches Problem, sondern hat sich zu einer gut organisierten Industrie entwickelt, die manchmal sogar von ihren eigenen Ausführenden verkannt wird.

Grosskonzerne, die oft gut für die digitale Sicherheit gerüstet sind, berichten, dass 60 Prozent der Angriffe via externe Dienstleister, oft KMU, erfolgen. Die Expertin stellt fest, dass KMU, die sich auf ihr Kerngeschäft konzentrieren, oft weder über die Mittel noch über das Wissen verfügen, um wirksame Schutzmassnahmen zu ergreifen. So sind KMU, die für die lokale Wirtschaft von entscheidender Bedeutung sind, häufig Einfallstore für Cyberkriminelle. Dies verstärkt die Notwendigkeit eines kollektiven und solidarischen Ansatzes, um das gesamte wirtschaftliche Ökosystem der Schweiz zu schützen.

«In der Schweiz sind wir nicht Weltmeister in Cybersicherheit, aber seit 13 Jahren Spitzenreiter in Sachen Innovation», sagte Lennig Pedron und hob damit eine helvetische Besonderheit hervor. Das Ranking beruht auf Kriterien wie der Anzahl angemeldeter Patente, der Qualität der Universitäten und der Fähigkeit, Ideen in konkrete Lösungen umzusetzen, und spiegelt eine einzigartige Innovationskraft wider. Diese Innovationskraft stützt sich auf ein robustes Ökosystem mit renommierten Institutionen wie der EPFL und den Hochschulen sowie auf eine Tradition der Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor.

Gleichzeitig verfügt die Schweiz mit ihrer direkten Demokratie über die Fähigkeit, verschiedene Akteure rasch zu mobilisieren, um auf gemeinsame Herausforderungen zu reagieren.

«In der Schweiz sind wir nicht Weltmeister in Cybersicherheit, aber seit 13 Jahren Spitzenreiter in Sachen Innovation»

Um diese Stärken zu nutzen und Schutzlücken zu schliessen, fungiert die Trust Valley als Katalysator und bietet 12-monatige, immersive Programme an, die alle Ebenen einer Organisation einbeziehen - vom Verwaltungsrat bis hin zu den Mitarbeitenden an der Front. Dieser Transformationsprozess beschränkt sich nicht nur auf die Sensibilisierung, sondern umfasst auch Tests unter realen Bedingungen, abteilungsspezifische Schulungen und Krisenmanagementübungen. Ziel ist es, eine nachhaltige Organisationskultur der Cybersicherheit zu schaffen, in der jedes Mitglied der Organisation seine Rolle im Umgang mit digitalen Risiken versteht.

Die Direktorin der Trust Valley rief zudem zu einem Umdenken auf: «Opfer eines Cybervorfalls zu werden, ist kein Tabu mehr, sondern eine Realität, die wir in unsere Aktionspläne einbeziehen müssen.» Diese Botschaft soll Unternehmen dazu ermutigen, Cybersicherheit als eine strategische Priorität zu behandeln, ähnlich wie Finanzmanagement oder Geschäftsplanung. Indem sie ihre einzigartigen Stärken - Innovation, Zusammenarbeit und akademische Expertise - nutzt, kann die Schweiz ihre Position angesichts einer globalen und komplexen Bedrohung stärken.

Cristina Gaggini, Westschweizer Direktorin von Economiesuisse, betonte die entscheidende Rolle der Eigenverantwortung der Unternehmen im Umgang mit Cyberrisiken. Sie betonte die Bedeutung eines minimalen, gut durchdachten und vor allem pragmatischen gesetzlichen Rahmens, der sich an konkreten Lösungen orientiert. Ihrer Meinung nach sollte die Rolle des Staates darin bestehen, die Wirtschaftsakteure mit klaren Hinweisen, regelmässigen Aktualisierungen, praktischen Empfehlungen und nützlichen Leitlinien zu begleiten - nach dem Vorbild des Bundesamts für Cybersicherheit. 

«Es ist nicht Aufgabe des Staates, alles zu regeln. Die Unternehmen müssen ihre Verantwortung wahrnehmen und Cyberrisiken in ihre Governance integrieren.»

Die Vertreterin der Wirtschaft warnte vor einer Überregulierung, die sie auch in anderen Bereichen beobachten konnte und die zu unnötigen Verboten und Einschränkungen führen könnte. Zu viel Staat könnte die Innovation gefährden und die notwendigen Initiativen zur wirksamen Bekämpfung von Cyberrisiken bremsen.

Die Westschweizer Direktorin von Economiesuisse begrüsste die Bemühungen von Initiativen wie der Trust Valley und anderen ähnlichen rein privaten Projekten, die flexible, auf KMU zugeschnittene Lösungen anbieten. «Es ist nicht Aufgabe des Staates, alles zu regeln. Die Unternehmen müssen ihre Verantwortung wahrnehmen und Cyberrisiken in ihre Governance integrieren.» Dies erfordert eine stärkere Sensibilisierung der Führungskräfte, aber auch eine regelmässige Aktualisierung der Verhaltenskodizes, um den Umgang mit digitalen Risiken auf allen Ebenen der Unternehmen zu fördern.

Nationalrätin Isabelle Chappuis beleuchtete einen weiteren kritischen Aspekt: die Rolle der künstlichen Intelligenz (KI) in der Cybersicherheit. KI ist ein mächtiges Werkzeug, um Schwachstellen zu identifizieren und Angriffe zu verhindern, kann aber auch von Cyberkriminellen ausgenutzt werden, um ihre Angriffe zu intensivieren. Das Aufkommen der generativen KI verstärkt diese doppelte Bedrohung und erhöht die Risiken für Unternehmen, die nicht ausreichend vorbereitet sind.

Die Abgeordnete, die Mitglied der Sicherheitspolitischen Kommission des Nationalrats ist, ging auch auf die Komplexität des Schweizer Föderalismus im Hinblick auf digitale Problematiken ein. «Der Föderalismus, ein Grundpfeiler unserer Demokratie, erschwert oft den Umgang mit immateriallen Themen wie der Cybersicherheit, die nicht an den Kantonsgrenzen Halt machen.» Sie plädierte deshalb für eine bessere Koordination zwischen den kantonalen Polizeien, der Cyberabwehr des Bundes und lokalen Initiativen, um Kompetenzen und Ressourcen zu bündeln.

Für die Digitalexpertin ist Bildung nach wie vor der Schlüssel: Ob in der Schule, an der Universität oder im Beruf, eine gute Ausbildung ist der Grundstein für eine wirksame erste Verteidigungslinie gegen Cyberkriminalität. Sie betonte, wie wichtig es sei, das Wissen über Cybersicherheit bei KMUs, Bürgern und Institutionen zu demokratisieren und gleichzeitig regulatorische Leitplanken für den Einsatz von Technologien wie der KI zu setzen.

Zwei wesentliche Hebel zur Bewältigung von Cyberrisiken - technologische Innovation und Bildung - standen im Mittelpunkt der Diskussionen.

Immersive Programme von Organisationen wie Trust Valley weisen den Weg, indem sie wirtschaftliche und politische Akteure aktiv in einen nachhaltigen Transformationsprozess einbinden. Ziel ist es, von einem defensiven zu einem proaktiven Ansatz überzugehen, bei dem jeder Einzelne und jedes Unternehmen zu einem starken Glied in der kollektiven Sicherheitskette wird.

Das Forum Assurances hat eine grundlegende Wahrheit hervorgehoben: Cybersicherheit ist eine kollektive Angelegenheit, bei der jeder Akteur - Unternehmen, Bürger, Behörden - eine Rolle zu spielen hat. Das Bewusstsein dafür ist in der Schweiz deutlich gewachsen, nun gilt es, das Potenzial auszuschöpfen und dabei das richtige Gleichgewicht zwischen staatlicher Intervention und Eigenverantwortung zu finden. Wenn die Schweiz ihre Stärken in Innovation und Zusammenarbeit nutzt, verfügt sie über alle Voraussetzungen für eine cyberresiliente Wirtschaft.