Was ist passiert?
Anfang November 2023 wurde die Concevis AG – ein Basler Softwareunternehmen, das spezialisierte Anwendungen für Schweizer Behörden entwickelt – Opfer der Ransomware-Variante Phobos. Die Angreifer verschlüsselten die Server des Unternehmens und exfiltrierten grosse Mengen an Daten, die anschliessend im Darknet veröffentlicht wurden.
Der Vorfall wurde am 10. November 2023 öffentlich bekannt, als der Bund bestätigte, dass auch Daten der Bundesverwaltung betroffen waren. Die Concevis AG hatte Zugang zu sensiblen Datenbeständen mehrerer Bundesämter, darunter die Eidgenössische Steuerverwaltung (ESTV) und das Bundesamt für Statistik (BFS).
Der Angriff war ein Paradebeispiel für einen Supply-Chain-Angriff: Nicht der Bund selbst wurde gehackt, sondern ein externer Dienstleister, über den die Angreifer indirekt Zugriff auf Bundesdaten erlangten.
Wer war betroffen?
Die Auswirkungen des Concevis-Angriffs waren aussergewöhnlich breit gestreut:
- Eidgenössische Steuerverwaltung (ESTV): Steuerdaten von Privatpersonen und Unternehmen potenziell kompromittiert
- Bundesamt für Statistik (BFS): Volkszählungsdaten und statistische Erhebungen betroffen
- Bundesamt für Zivilluftfahrt (BAZL): Daten zu Flugbetrieb und Sicherheit
- Armasuisse: Beschaffungsdaten der Schweizer Armee
- Mehrere Kantone und Gemeinden, die Concevis-Software einsetzten
- Tausende Privatpersonen, deren Steuer- und Personendaten im Darknet landeten
- Die Concevis AG selbst, die nach dem Vorfall ihre Geschäftstätigkeit massiv einschränken musste
Das Nationale Zentrum für Cybersicherheit (NCSC) übernahm die Koordination und stufte den Vorfall als einen der gravierendsten Cybervorfälle in der Geschichte der Schweizer Bundesverwaltung ein.
Wie gross war der Schaden?
Der finanzielle Gesamtschaden ist schwer zu beziffern, da er sich über viele Organisationen verteilt:
- Concevis AG: Existenzbedrohender Schaden – IT-Wiederherstellung, Kundenverlust, massive Reputationsschäden
- Bund und Kantone: Millionenkosten für forensische Analysen, Datenschutz-Abklärungen und präventive Massnahmen
- Betroffene Bürger: Risiko von Identitätsdiebstahl durch veröffentlichte Steuerdaten
- Politischer Schaden: Parlamentarische Vorstösse, Vertrauensverlust in die digitale Verwaltung
Konservative Schätzungen gehen von einem Gesamtschaden von CHF 10–30 Mio. aus, verteilt auf alle betroffenen Parteien. Der langfristige Reputationsschaden für die Schweizer E-Government-Strategie ist dabei nicht eingerechnet.
Hätte eine Cyberversicherung geholfen?
Für die Concevis AG als direkt betroffenes Unternehmen hätte eine Cyberversicherung einen Grossteil der unmittelbaren Kosten abdecken können. Die Besonderheit dieses Falls liegt jedoch in der Drittpartei-Haftung: Concevis haftet gegenüber seinen Kunden (Bund, Kantone) für den Datenverlust.
Kostenanalyse und Versicherungsdeckung
| Kostenposition | Geschätzte Kosten | Von Cyberversicherung gedeckt? |
|---|---|---|
| Incident Response & Forensik | CHF 500’000–1 Mio. | ✅ Ja – Soforthilfe durch Spezialisten |
| Systemwiederherstellung | CHF 1–2 Mio. | ✅ Ja – IT-Wiederaufbau gedeckt |
| Benachrichtigung betroffener Personen | CHF 200’000–500’000 | ✅ Ja – regulatorische Pflicht |
| Datenschutz-Rechtsberatung | CHF 500’000–1 Mio. | ✅ Ja – Rechtsschutz inkludiert |
| Haftpflicht gegenüber Bund/Kantonen | CHF 3–10 Mio. | ✅ Ja – Cyber-Haftpflichtkomponente |
| Schadenersatzforderungen Dritter | CHF 1–5 Mio. | ✅ Ja – Drittschaden-Deckung |
| Betriebsunterbrechung | CHF 500’000–1 Mio. | ✅ Ja – Ertragsausfalldeckung |
| Krisenkommunikation & PR | CHF 200’000–500’000 | ✅ Ja – häufig in Police enthalten |
| Bussgeld EDÖB | CHF 0–500’000 | ⚠️ Teilweise – je nach Police und Rechtsordnung |
| Reputationsschaden & Kundenverlust | CHF 5–10 Mio. | ❌ Nein – langfristiger, nicht quantifizierbarer Schaden |
| Geschätzter Gesamtschaden (Concevis) | CHF 12–32 Mio. | ~50–70 % potenziell gedeckt |
Fazit: Eine Cyberversicherung mit angemessener Deckungssumme (CHF 10–20 Mio.) hätte für Concevis existenzsichernd sein können. Besonders die Haftpflichtkomponente gegenüber den Behördenkunden wäre entscheidend gewesen.
Lehren für Schweizer KMU
Der Concevis-Fall offenbart ein oft unterschätztes Risiko: die Supply-Chain-Verwundbarkeit. Für Schweizer KMU ergeben sich daraus zentrale Erkenntnisse:
-
IT-Dienstleister als Risikofaktor: Wenn Ihr Softwareanbieter gehackt wird, sind Ihre Daten betroffen. Prüfen Sie, ob Ihre IT-Partner über ausreichende Sicherheitsmassnahmen und Cyberversicherungen verfügen.
-
Haftungsrisiken als Dienstleister: Wenn Sie als KMU Software oder IT-Dienstleistungen für andere Unternehmen erbringen, haften Sie für Datenverluste. Eine Cyberversicherung mit Haftpflichtkomponente ist Pflicht.
-
Phobos – auch für KMU gefährlich: Die Ransomware Phobos zielt gezielt auf kleinere und mittlere Unternehmen ab. Im Gegensatz zu den «Big Game Hunters» wie LockBit ist Phobos als Ransomware-as-a-Service (RaaS) für weniger versierte Angreifer zugänglich.
-
Datensensibilität beachten: Unternehmen, die mit besonders sensiblen Daten arbeiten (Steuerdaten, Gesundheitsdaten, Personendaten), tragen ein erhöhtes Risiko und sollten ihre Versicherungsdeckung entsprechend anpassen.
-
Vertragliche Absicherung: Klären Sie in Ihren Verträgen mit IT-Dienstleistern, wer im Falle eines Cyberangriffs haftet. Eine eigene Cyberversicherung schützt Sie unabhängig von der Zahlungsfähigkeit Ihres Dienstleisters.
-
Regelmässige Audits: Überprüfen Sie die Sicherheitsstandards Ihrer IT-Partner regelmässig. Zertifizierungen wie ISO 27001 sind ein guter Anhaltspunkt, aber keine Garantie.
Schützen Sie Ihr Unternehmen
Der Concevis-Fall zeigt: In der vernetzten Wirtschaft ist Ihr Unternehmen nur so sicher wie das schwächste Glied in der Lieferkette. Eine Cyberversicherung schützt Sie nicht nur vor direkten Angriffen, sondern auch vor den Folgen von Supply-Chain-Vorfällen.
Lassen Sie sich unverbindlich beraten. Die Spezialisten der BTAG Versicherungsbroker AG in Bern kennen die besonderen Risiken von IT-Dienstleistern und Unternehmen mit sensiblen Kundendaten. Gemeinsam finden wir die passende Cyberversicherung für Ihr Risikoprofil.