Swisscom spricht in einem Interview von monatlich 200 Millionen Cyberangriffen. Viele Medien übernehmen die Zahl ungeprüft – dabei wäre kritisches Hinsehen nötig. Denn die Zahl suggeriert eine Bedrohung, die so gar nicht existiert, schreibt Kolumnist Reto Vogt.
200 Millionen Cyberangriffe pro Monat – diese Zahl nannte Swisscom-CEO Christoph Aeschlimann kürzlich in einem Interview mit der NZZ (Paywall). Die Nachrichtenagentur sda griff diese Aussage auf und so landete diese gigantische Zahl in den Schlagzeilen zahlreicher Schweizer Medien.
Doch keine Zeitung stellte die naheliegende Frage: Was bedeutet diese Zahl eigentlich? 200 Millionen Cyberangriffe im Monat – das sind 4630 Angriffe pro Minute oder 77 pro Sekunde. Ist das realistisch? Wie definiert Swisscom einen Cyberangriff? Diese Fragen blieben im Interview leider unbeantwortet.
Definition von Cyberangriff
Doch die fehlende Nachfrage ist nur eine Seite der Medaille. Die andere ist die Art und Weise, wie Swisscom diese Zahl selbst präsentiert – und was sie damit bezweckt. Deshalb habe ich dem Konzern einen grossen Fragenkatalog geschickt und gebeten, mir eine Definition von «Cyberangriff» und einen Grund für die Nennung dieser überdimensionierten Zahl zu liefern.
Swisscom antwortete auf keine der Fragen, sondern schickte ein allgemeines Statement. «In unserem Security-Reporting wird der gesamte Netztraffic berücksichtigt, der unser Intrusion Prevention System als bösartig einstuft und entsprechend blockiert. Dabei handelt es sich in den allermeisten Fällen um automatisierte Angriffsversuche, wie beispielsweise Netzwerkscans», so der Konzern. Weiter zählt Swisscom auf: Angriffsversuche auf verwundbare Applikationen, Netzwerkverkehr von verdächtigen Quellen und im Zusammenhang mit Malware oder Botnetzen und Denial of Service Angriffe.
Portscans sind keine Angriffe – ausser für Swisscom
Es stimmt also: Swisscom zählt Portscans als Cyberangriff. Und genau hier liegt das Problem. Ein Portscan ist keine Attacke, sondern ein Routinecheck – durchgeführt von Hackern, aber auch von seriösen Akteuren wie IT-Sicherheitsfirmen oder Forschenden. Das ist, als würde die Polizei in die Kriminalitätsstatistik jeden Einbruch reinrechnen, bei dem jemand versucht hat, ins Haus zu kommen, es aber nicht geschafft hat. Ein Portscan ist nicht mehr als ein vorbeigehender Dieb, der kurz prüft, ob die Tür offen ist – und dann weiterzieht.
Entsprechend schreibt Swisscom, dass «nur ein Bruchteil dieser Angriffe als sicherheitskritisch eingestuft wird und durch unsere IT-Sicherheitsexperten genauer abgeklärt werden muss». Wie gross dieser «Bruchteil» ist, verrät das Unternehmen nicht. Real bleibt von den 200 Millionen Angriffen also fast nichts mehr übrig – ein Bruchteil eben, der wahrscheinlich im tiefen einstelligen Prozentbereich liegt. Unter dem Strich sind also um die 2 Millionen Angriffe gefährlich. Bleibt die Frage: Weshalb baut Swisscom dieses Luftschloss mit der riesigen Zahl – aus Sorge um die Sicherheit oder aus Eigeninteresse?
Eine pure Marketingzahl
Das habe ich Swisscom natürlich auch gefragt: Gibt es eine Absicht, durch diese Kommunikation politische oder wirtschaftliche Interessen (z. B. mehr Sicherheitsbudgets) zu beeinflussen? Und: Ist sich Swisscom bewusst, dass solche Zahlen für Panikmache genutzt werden können? Bei der Antwort weicht der Telco aus: «Swisscom spricht über die Anzahl von Cyberangriffen, um auf das Thema Cybersicherheit und die damit verbundenen Herausforderungen aufmerksam zu machen. Wir möchten das Bewusstsein für virtuelle Bedrohungen schärfen».
Mit dieser Erklärung bin ich nicht einverstanden und behaupte, dass es sehr wohl eine reine Marketingzahl ist – auch wenn Swisscom das dementiert. Doch genau solche Zahlen machen nicht auf reale Bedrohungen aufmerksam, sondern verzerren die Wahrnehmung – und spielen jenen in die Hände, die davon profitieren. Zum Beispiel Swisscom selbst, als einem der grössten Anbieter von Cybersecurity-Lösungen in der Schweiz. Bloss ein Nebenschauplatz ist da noch die Meldepflicht für Cyberangriffe, die kommenden Monat in Kraft tritt. Zwar falle nicht ganz ganze Geschäft von Swisscom unter kritische Infrastruktur, schreibt Securityexperte Christian Folini in einem Gastbeitrag bei inside-it.ch, aber ein paar Millionen Angriffe müsste es schon sein. «Wir werden also eine grosse Diskrepanz zwischen den von der Swisscom rapportierten 200 Millionen und bei den beim Bundesamt für Cybersicherheit (Bacs) eingehenden Meldungen sehen, die sich in der Öffentlichkeit nur schwer erklären lässt.»
