Cyberattacken sind eine reale Gefahr für Schweizer Firmen. Alleine 2021 registrierte das nationale Cybersicherheitszentrum NCSC über 21’000 Cybervorfälle, etwa doppelt so viele wie im Vorjahr. KMU sind besonders gefährdet. 15 Prozent aller kleinen und mittleren Schweizer Firmen wurden schon einmal Opfer von Hackern, so eine diesjährige Studie des Versicherungskonzerns AXA. 

Trotzdem zeigen sich Schweizer Unternehmen im internationalen Vergleich zurückhaltender, wenn es um die Offenlegung von Cyberangriffen geht. Zu diesem Schluss kommt die Unternehmensberatung Pricewaterhouse Coopers (PWC) in ihrer Studie «Global Digital Trust Insights».  

Weltweit würden knapp 80 Prozent der befragten Firmen eine gesetzliche Offenlegungspflicht bei Cyberangriffen befürworten. Derselben Ansicht waren nur 66 Prozent der Schweizer Unternehmen, die an der Umfrage teilgenommen haben. Sinn einer solchen Meldepflicht: Sie würde den zuständigen Bundesbehörden helfen, die Bedrohungslage einzuschätzen und aktuelle Angriffsmuster frühzeitig zu erkennen.

Der auf Recht im digitalen Raum spezialisierte Rechtsanwalt Martin Steiger hat Verständnis für die helvetische Zurückhaltung: «Eine gesetzliche Meldepflicht ist für Unternehmen unangenehm: Das Risiko steigt, dass Datenpannen und andere Zwischenfälle öffentlich werden. Das verursacht Aufwand und kann der Reputation schaden.» Unternehmen in der Schweiz hätten vermutlich einfach ehrlicher geantwortet als in anderen Ländern, vermutet er.

Trotzdem fürchten sich Schweizer Firmen häufiger vor mehr Cyberattacken im kommenden Jahr als Unternehmen weltweit, zeigt die PWC-Studie. Tatsächlich hing 2020 weltweit fast jede zweite Cyberattacke mit Ransomware zusammen, also mit Erpressungsversuchen von Hackern. Dabei wird meistens gedroht, erbeutete Daten zu veröffentlichen oder zu verkaufen, sollte die Firma das geforderte «Lösegeld» nicht bezahlen. Betroffen waren bisher etwa verschiedene Gemeinden, das Rote Kreuz, die SBB und der Rüstungskonzern Ruag. 

Unternehmen sollten aber nicht bezahlen, sondern sich an die Kantonspolizei wenden, sagt das Nationale Zentrum für Cybersicherheit (NCSC). Denn selbst wenn das Lösegeld bezahlt wird, ist das keine Garantie dafür, dass die Daten sicher sind.  Und der Erfolg motiviert die Täter, weiterzumachen. Cyberattacken auf Unternehmen können nicht nur für die jeweilige Firma gravierende wirtschaftliche Auswirkungen haben, sondern die Allgemeinheit gefährden. Etwa, wenn Stromkonzerne oder andere systemrelevante Unternehmen betroffen sind. Anfang Jahr hat der Bundesrat deshalb eine Gesetzesvorlage für die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen in die Vernehmlassung geschickt. Das NCSC überarbeitet diese Vorlage derzeit und will sie bis Ende Jahr fertiggestellt haben. Danach wird der Bundesrat entscheiden, ob und falls ja wann er den Gesetzesentwurf dem Parlament zur Diskussion unterbreiten wird.