Aon-Cyberchef: «Banken müssen sich in völlig neuem Tempo anpassen»


Herr Pachlatko, Cyber-Risiken gelten als eine der grössten Gefahren für Unternehmen. Für Versicherer ist das ein wachsendes Geschäft. Unternehmen die Firmen denn selbst genügend Anstrengungen?

Die Zahlen machen aus meiner Sicht Mut. Das Prämienvolumen in der Cyber-Versicherung liegt in der Schweiz mittlerweile bei rund 172 Millionen Franken. Es hat sich in den vergangenen Jahren stark erhöht – obwohl die Prämien zuletzt teilweise gesunken sind. Das zeigt: Das Thema ist auf Stufe Verwaltungsrat und Geschäftsleitung angekommen.

Auch bei den Investitionen sehen wir einen positiven Trend. Viele Unternehmen investieren heute 8 bis 15 Prozent ihres IT-Budgets in Cyber-Sicherheit. Bei stark datengetriebenen Firmen oder regulierten Finanzinstituten liegt der Anteil teilweise noch höher.

Wird noch immer vor allem in Prävention investiert?

Nicht mehr ausschliesslich. Früher floss praktisch alles in die Prävention. Heute sehen wir häufiger ein Verhältnis von etwa 80 zu 20: 80 Prozent für Prävention, 20 Prozent für Reaktion. Das ist wichtig, weil Unternehmen damit anerkennen, dass sie trotz aller Schutzmassnahmen einmal betroffen sein können.

«Cyber-Versicherung wirkt als Treiber für bessere Cyber-Sicherheit.»

Cyber-Versicherung wirkt dabei auch als Treiber für bessere Cyber-Sicherheit. Studien zeigen, dass Unternehmen, die eine Cyber-Versicherung abschliessen wollen, ihre Sicherheitsbudgets häufig zusätzlich erhöhen.

Wie schneiden Schweizer Unternehmen im internationalen Vergleich ab?

Die Schweiz steht sehr gut da, insbesondere im europäischen Vergleich. Bei der Qualität der Cyber-Sicherheit liegt sie in internationalen Rankings weit vorne. Das hängt auch damit zusammen, dass viele Branchen stark reguliert sind – etwa Finanzinstitute, Pharmaunternehmen oder kritische Infrastrukturen.

Bei KMU ist das Bild differenzierter. Dort sind die Ressourcen oft knapper. Grossunternehmen und regulierte Firmen sind in der Regel deutlich weiter.

Gleichzeitig nehmen Cyber-Vorfälle zu. Wird falsch investiert?

Nicht unbedingt. Die Zahl der Vorfälle steigt vor allem, weil Unternehmen stärker digitalisiert sind, mehr Cloud-Dienstleistungen nutzen und IT-Systeme zunehmend mit operativen Systemen verbunden werden. Dadurch wachsen die Abhängigkeiten.

Entscheidend ist aber nicht nur die Häufigkeit, sondern die Schwere der Schäden. Und dort sehen wir eine positive Entwicklung: Die Schadenschwere nimmt tendenziell ab. Unternehmen entdecken Angriffe schneller und können früher reagieren.

Heisst das, die Qualität der Angriffe nimmt ab?

Nein. Die Angriffe entwickeln sich weiter. Künstliche Intelligenz erhöht Geschwindigkeit und Skalierbarkeit. Phishing-Mails lassen sich automatisiert erstellen, Schwachstellen schneller ausnutzen, Angriffe besser skalieren.

«Angriffe, die früher viel Expertise erforderten, sind heute für viele Akteure zugänglich. Daraus ergibt sich eine neue Dynamik.»

Der entscheidende Fortschritt liegt auf der Verteidigungsseite. Die sogenannte Dwell Time – also die Zeit zwischen Eindringen und Entdeckung – lag früher teilweise bei über 100 Tagen. Heute sprechen wir zunehmend von Stunden. Das verändert die Schadenwirkung massiv.

Hilft künstliche Intelligenz eher den Angreifern oder den Verteidigern?

Beiden Seiten. Angreifer nutzen KI, aber die Defensive ebenfalls. Anomalien können schneller erkannt werden, Threat Hunting wird effizienter, Schwachstellen lassen sich rascher identifizieren und schliessen. Viele Unternehmen nutzen KI bereits indirekt, weil grosse Sicherheitsanbieter sie in ihre Lösungen integrieren.

Mit Mythos von Anthropic rüttelt nun aber ausgerechnet eine KI-Lösung die Finanzbranche auf. Mythos soll unentdeckte Schwächen im Cyber-Schutz schliessen. Ein solches Tool kann aber auch leicht missbraucht werden. War nicht zu erwarten, dass wir früher oder später mit dem Problem konfrontiert werden?

Damit haben wir gerechnet. Überraschend ist aber die Reife dieser KI-Lösungen. Angriffe, die früher viel Expertise erforderten, sind heute für viele Akteure zugänglich und daraus ergibt sich eine neue Dynamik. Der Zeitaspekt verschiebt sich fundamental: Schwachstellen werden nicht nur schneller identifiziert, sondern müssen auch in erheblich verkürzten Zyklen geschlossen werden. Dieser Beschleunigungseffekt verändert die Spielregeln grundlegend, sowohl auf Angreifer als auch auf Verteidigerseite.

«Finanzinstitute müssen regulatorische Vorgaben einhalten, Angreifer nicht. Das verschafft ihnen einen klaren Vorteil.»

Darauf war die Finanzbranche nicht vorbereitet?

Im Nachhinein ist man immer klüger. Finanzinstitute müssen regulatorische Vorgaben einhalten, Angreifer nicht. Das verschafft ihnen einen klaren Vorteil. Grosse Banken und Versicherungen sind hochkomplexe Organisationen. Sich in diesem Tempo anpassen zu müssen ist eine enorme Herausforderung.​​​​​​​​​​​​​​​​

Welche Angriffsmethoden sehen Sie derzeit besonders häufig?

Business Email Compromise ist sehr prominent. Dabei werden gefälschte Zahlungsanweisungen verschickt. Die Qualität solcher Angriffe hat massiv zugenommen. Schreibstile werden imitiert, Sprachbarrieren verschwinden, sogar Schweizerdeutsch funktioniert immer besser.

Dazu kommen Voice Phishing, Ransomware-as-a-Service und automatisierte Angriffe auf ungepatchte Schwachstellen. Früher dauerte es länger, bis Angreifer sich lateral in einem System bewegten. Heute kann das in wenigen Minuten geschehen.

Wie gross ist die Gefahr durch Deepfakes im Finanzsektor?

Sie ist real. Das ist keine Zukunftsprognose mehr. Aon hat zuletzt bereits mehrere Millionenschäden im Finanzsektor abgewickelt, die mit Deepfakes zusammenhingen.

Wichtig ist dabei: Solche Fälle sind nicht immer sauber über Cyberversicherungen gedeckt. Wenn jemand im guten Glauben eine Zahlung auslöst, weil Stimme oder E-Mail glaubwürdig erscheinen, fällt das oft eher in den Bereich Crime-Versicherung.