Werden Erpressungsversuche im Netz jetzt meldepflichtig?

Von Dirk Jacquemien

3.1.2022

Ransomware wird ein immer grösseres Problem.
Erpressung im Internet ist ein wachsendes Problem – auch in der Schweiz.
Getty Images

Hackerangriffe mit Ransomware nehmen rasant zu – auch in der Schweiz. Nun werden Forderungen nach einer Meldepflicht laut, um das ganze Ausmass der Cyberplage besser abschätzen zu können.

Von Dirk Jacquemien

3.1.2022

156 Ransomware-Angriffe gegen Schweizer Firmen und Institutionen wurden 2021 bis zum 14. Dezember dem Nationalen Zentrum für Cybersicherheit (NCSC) gemeldet. Im Vergleich zu insgesamt 67 Attacken mit erpresserischer Software im Vorjahr haben sich die Fälle damit mehr als verdoppelt.

Und doch spiegeln auch diese rasant gestiegenen Zahlen wohl nicht das ganze Ausmass der Krise wieder. Denn in der Schweiz gibt es keine Pflicht zum Melden eines Cyberangriffes. Das soll sich nach Meinung der Thurgauer Nationalrätin Edith Graf-Litscher (SP) ändern.

In einem Postulat an den Bundesrat fordert sie, die Einführung einer solchen Meldepflicht zu prüfen. Die Ransomware-Angriffe dürften nicht «in einer Dunkelkammer stattfinden», so Graf-Litscher zu den Zeitungen von CH Media.

Jeder ist im Visier

Der Forderung nach einer Meldepflicht schliesst sich auch Pascal Lamia, der beim NCSC die Abteilung Operative Cybersicherheit leitet, an. «Die Meldepflicht könnte einen wesentlichen Beitrag zur Erhöhung der Cybersicherheit in der Schweiz leisten», sagte Lamia ebenfalls «CH Media».

Ransomware-Attacken können alle treffen. In 2021 wurden beispielsweise mehrere Gemeinden zum Opfer und teils Daten von Bürger*innen veröffentlicht. Und keinesfalls sind nur multinationale Grosskonzerne im Visier. Gerade KMUs sind ein attraktives Ziel für Hacker*innen, da sie oft nur eine kleine IT-Abteilung haben mit begrenzten Kapazitäten, die Cyberabwehr auf dem neusten Stand zu halten.



Versicherungen zahlen oft

Dementsprechend besteht das Gros der Cyber-Erpressungen nicht aus aufsehenerregenden Millionenforderungen, sondern bewegt sich eher im Tausender- bis Zehntausender-Frankenbereich. Da inzwischen sogar manche Versicherungen die Kosten für eine Lösegeldzahlung übernehmen, besteht für einige Unternehmen kein Anreiz mehr, einen potenziell blamablen Cyberangriff den Behörden zu melden.

In ihrem Postulat fordert Graf-Litscher daher auch, eine Verpflichtung zur Einbindung der Ermittlungsbehörden bei allfälligen Verhandlungen mit Cyberkriminellen zu prüfen. Ausserdem solle es einen verstärkten Austausch mit Versicherungen geben, um ein «verlässliches Lagebild zu Ransomware» zu erhalten.