Cyberrisiken darf man nicht unterschätzen

Herr Günal Rütsche, stimmt der Eindruck, dass Cyberkriminalität stark auf dem Vormarsch ist? 

Die Bedrohungslage hat sich tatsächlich massiv verschärft. Es gibt deutlich mehr Angriffe – vor allem von organisierten Gruppen, die Leuten das Geld aus der Tasche ziehen wollen. Gleichzeitig wächst das Bewusstsein für die Gefahr nicht in demselben Tempo, wie die Digitalisierung voranschreitet. Viele Menschen sind sich der Risiken zu wenig bewusst. Es fehlt an Wachsamkeit und Sensibilität, was mit den eigenen Daten passieren kann. So kann man leicht zum Opfer von Phishing werden und viel Geld verlieren.  

Was sind zurzeit die grössten Bedrohungen? 

Für Unternehmen sind es Erpressung und Angriffe mit Ransomware – also die Verschlüsselung wichtiger Daten. Bei Privaten beschäftigen uns vor allem Online-Anlagebetrügereien und Phishing-Angriffe. Diese Angriffe werden immer professioneller und damit noch schwieriger zu erkennen. 

Wie schätzen Sie den Einfluss der Künstlichen Intelligenz ein?  

Künstliche Intelligenz ist ein Gamechanger. Damit generieren Betrüger blitzschnell Inhalte für massgeschneiderte Angriffe oder bauen perfekte Fake-Webseiten für einen Online-Anlagebetrug. Und sie können ihre Angriffe besser skalieren: Wenn man eine grosse Zahl anschreibt, fällt bestimmt jemand herein. Ich staune jede Woche über neue Ideen der Angreifer oder ein besonders raffiniertes Vorgehen – aber auch über die Qualität. 

Sind wir den Cyberkriminellen ausgeliefert? 

Nicht, wenn wir sorgfältig wählen, wem wir vertrauen. Vertrauen ist die Basis jeder digitalen Interaktion. Ohne Vertrauen kann zum Beispiel kein E-Banking funktionieren. Vielen ist aber nicht bewusst, dass Vertrauen im Internet fragil ist: Sie scannen bedenkenlos jeden QR-Code, klicken auf verlockende Angebote oder teilen leichtgläubig Persönliches in den sozialen Medien. Das nutzen die Täter aus. Man sollte stets daran denken: Im Internet entsteht Vertrauen nicht durch ein Versprechen, sondern durch Sicherheitsstandards.

Heute laden viele ihre Daten in Cloud-Lösungen hoch. Das vereinfacht vieles. Sehen Sie das kritisch?

Auch hier geht es um Vertrauen. Wir müssen uns bewusst machen, was es bedeutet, wenn wir unsere Daten einem Tech-Giganten anvertrauen. Ein Beispiel: Muss ich die Stromproduktion meiner Solaranlage über das Internet wirklich abrufen können? Falls ja, muss ich der Cloud meines Anbieters vertrauen und mein Smartphone mit dem Dienst verbinden. Dieses Risiko nehme ich bewusst in Kauf. Ein anderes Beispiel ist die günstige Überwachungskamera, die keine lokale Speicherung bietet, sondern alle Bilder direkt in der Cloud ablegt. Damit überwacht sie nicht nur unser Zuhause – sondern auch uns selbst. Die Beispiele zeigen, dass wir noch achtsamer mit unseren Daten umgehen sollten und lernen müssen, Risiken bewusst abzuwägen. Dafür brauchen wir digitale Erfahrung, die wir gezielt aufbauen müssen.

Wie können wir uns schützen?

Es gibt ein paar Grundregeln. Wenn man diese konsequent befolgt, kann man sich gegen viele Risiken gut absichern. Dazu gehört, zu überlegen, was ich mit wem teile, wo meine Daten liegen, wer darauf Zugriff hat und wie ich Missbrauch verhindern kann. Alle meine Daten sollten nur über eine Zwei-Faktor-Authentifizierung zugänglich sein. Das gilt auch für Apps. Man sollte jedes Online-Angebot gegenprüfen und überlegen, ob es transparent und nachvollziehbar ist.

Das ist aber alles mit Aufwand verbunden.

Wir sind bezüglich Cybersicherheit vielleicht noch etwas gemütlich unterwegs. Die grosse Frage lautet: Wie erkenne ich Betrugsversuche? Ein Faktencheck benötigt zwar Zeit – lohnt sich aber definitiv. Viele denken, dass ihnen schon nichts passieren wird – oder dass ein Vorfall keine gravierenden Folgen hätte. Das ist eine Illusion. Künftig wird es daher noch wichtiger, dass wir unser Bewusstsein schärfen. Gleichzeitig dürfen wir auch nicht paranoid werden.

Was raten Sie Unternehmen?

Firmen sollten ihre Notfallkonzepte unbedingt regelmässig testen und den Ernstfall üben. Sonst könnten sie bei einem Angriff deutlich im Nachteil sein. Und die Mitarbeitenden müssen begreifen, warum und wie sich das Unternehmen schützen muss. Dieser Schutz ist für Unternehmen mit Kosten verbunden: Sicherheit kostet Geld.

Wie können die Behörden unterstützen?

Der Schlüssel liegt in der Prävention – vor allem auch bei den Strafverfolgungsbehörden. Denn ist der Schaden erst eingetreten, sind die Folgen meist gravierend und kaum rückgängig zu machen. Auf cybercrimepolice.ch warnen wir beispielsweise vor aktuellen Gefahren im Internet und geben Verhaltenstipps. Es geht darum, die Bevölkerung aufzuklären, zu schulen und zu sensibilisieren. Denn wir müssen uns bewusst sein, dass es immer Stresssituationen geben wird. Daher benötigen wir eine resiliente Gesellschaft. Bei einem Verkehrsunfall wissen wir, wie wir uns verhalten müssen. Auf dem Spielplatz sorgt soziale Kontrolle für Sicherheit. Diese Prinzipien müssen wir auf den digitalen Raum übertragen.

Welche Herausforderungen sehen Sie in Zukunft?

Die Menge an Daten, die wir teilen und speichern, wird langfristig zu weiteren Herausforderungen führen. Schon heute fällt es teilweise schwer, die Herkunft von Daten eindeutig zu bestimmen. Diese grosse Datenflut wird künftig kaum mehr erfassbar sein. Die Tech-Giganten, die viele unserer Daten haben, werden zu geopolitischen Machtzentren – und wir schaffen Abhängigkeiten. Cloud-Dienste unterstehen in der Regel den Gesetzen des jeweiligen Herkunftslandes des Anbieters. Diese Gesetze können der Regierung den Zugriff auf die Daten erlauben – unabhängig vom Standort des Speichers. Darum wäre es sinnvoll, wenn die Schweiz und die EU Eigenentwicklungen gezielt vorantreiben könnten – etwa durch den Aufbau eigener Cloud-Infrastrukturen, die Entwicklung unabhängiger Sicherheits- und Verschlüsselungstechnologien sowie die Förderung europäischer Software- und Plattformlösungen. So könnten langfristig technologische Abhängigkeiten reduziert und die Kontrolle über sensible Daten gestärkt werden.