"200 Millionen Angriffe auf ihre Computer-Infrastruktur" registriere Swisscom pro Monat, behauptete der CEO der Holding Christoph Aeschlimann in einem Interview mit der 'NZZ am Sonntag'.

Die Aussage wurde von der 'NZZ' als Headline verwendet, 'Keystone SDA' machte eine Agenturmeldung draus und so ziemlich jedes Schweizer Medium beteiligte sich daran, die quicklebendige Sau durch das Dorf zu jagen.

Bei so viel Rückenwind lohnt es sich als Kunde und steuerzahlender Mitbesitzer etwas genauer hinschauen. Zählen wir also mal nach.

Die Zahl von 200 Millionen Angriffen ist extrem gross. Bei 300 Personen, welche bei der Swisscom die Cybersecurity betreiben bedeutet das über 600'000 Angriffe pro Person pro Monat. Die Mitarbeitenden im Bereich Cybersecurity haben also übermässig viel zu tun.

Zur Zeit leben auf der Erde circa 9 Milliarden Menschen. Wenn Swisscom 200 Millionen Angriffe pro Monat registriert, dann müsste knapp jeder fünfzigste Erdbewohner im Schnitt einmal im Monat Swisscom angreifen. In meinem Dorf wären das 20 kriminelle Swisscom-Angreifer und in Tinizong und in Timbuktu noch ein paar mehr. Klingt ziemlich absurd.

Wenn ein Mitarbeiter oder eine Mitarbeiterin von Swisscom tätsächlich angegriffen wird, gehe ich davon aus, dass dies eine Strafanzeige zur Folge hätte. Man mag bei Cyberangriffen zurückhaltender sein, aber auch wenn nur jeder tausendste Angriff zur Anzeige gegen Unbekannt führt, dann wären es bei 200 Millionen Angriffen immer noch 200'000 Anzeigen pro Monat und die Kriminalstatistik der Schweiz würde von Swisscom dominiert und das Bundesamt für Cybersicherheit (Bacs) würde zum überwiegenden Teil nur über Swisscom sprechen. Auch davon ist nichts bekannt.

Viel wahrscheinlicher ist, dass hier im übertragenen Sinn nicht die bewaffneten Raubüberfälle, sondern die verschossenen Gewerkugeln gezählt wurden. Da Computer sich sehr gut automatisieren lassen, schiessen die meisten Angreifer nicht mit Karabinern sondern Maschinengewehren und so kommen rasch 200 Millionen Kugeln zusammen.

In den Kategorien der Cybersecurity ist deshalb zu vermuten, dass hier individuelle Probes innerhalb eines Portscans mit tausenden von IP-Paketen gezählt werden. So kommt bei den tausenden im Internet exponierten Infrastruktur-Komponenten von Swisscom sehr viel zusammen. Es kann auch sein, dass die Zahl die Security Scans der verschiedenen Webseiten des Konzerns aufschlüsselt. Ein solcher Scan kann Zehntausende oder auch Millionen von einzelnen Aufrufen beinhalten.

Dann DDoS: Im Rahmen eines DDoS-Angriffs wird man typischerweise von tausenden von Bots mit jeweils Unmengen von Anfragen konfrontiert. Das würde auch zu sehr grossen Zahlen führen, die sofort in die Millionen oder Milliarden gehen. Und dann kann es natürlich auch sein, dass individuelle Phishing Mails oder Nachrichten mit Malware gezählt werden. Auch diese Zahl dürfte in Anbetracht der unzähligen vorhandenen Bluewin-E-Mail-Adressen in die Millionen gehen. Und schliesslich erwähnt das Social Media Team der Swisscom auf Linkedin des weiteren noch die IPS Systeme, welche verschiedene Angriffe registrieren. Das könnte also mit 200 Millionen auch gemeint sein.

Alle diese Kategorien bringen Zahlen, die für sich genommen pro Monat in die Millionen oder sogar in die Milliarden gehen. Die Zahl von 200 Millionen ist also als Summe der Angriffe entweder absurd gross, oder als Kennzahl zur verschossenen Munition überraschend klein. Ganz sicher ist aber, dass sie so nicht stimmen kann.

Den in der Aufzählung genannten Kategorien ist es darüber hinaus gemeinsam, dass es sich um automatisierte Anfragen handelt, die allesamt von automatisierten Verteidigungssystemen blockiert wurden.

Aufgrund dieser Automatisierung ist es all diesen Erbsenzählereien gemeinsam, dass die Zahlen weitgehend irrelevant sind. Es interessiert mich nicht, wie viele Regentropfen die Ziegel meines Daches pro Monat automatisch aufhalten und ich vermute Christoph Aeschlimann hätte die Zahl für die Swisscom auch nicht aus dem Ärmel schütteln können.

Zudem wurde er im Interview ja an sich nicht nach der Zahl der Angriffe gefragt, sondern danach, ob Cyberattacken eine reale Gefahr darstellen. Und darauf antwortet er mit einer sehr grossen, aber nichtssagenden Zahl, welche den gezogenen Schluss justement nicht zulässt: Die solchermassen "registrierten" und abgewehrten Angriffe sind eben genau keine reale Gefahr!

Indem die rapportierte Zahl einen falschen Eindruck vermittelt, trägt sie zu einem fehlgeleiteten Cybersecurity-Hype bei.

Wir könnten nun schliessen, der CEO von Swisscom verstehe wenig von Cybersicherheit, oder aber er vermute der interviewende Chefredaktor der 'NZZ am Sonntag' verstehe wenig von Sicherheit und lasse ihm das durchgehen. Oder aber Aeschlimann nimmt an, dass die Leserschaft wenig von Sicherheit versteht und sich von so einer grossen Zahl beeindrucken lässt. Das wäre bereits ein unangenehmer Schluss.

Das Problem geht aber tiefer. Anfang April tritt in der Schweiz die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in Kraft. Nicht das ganze Geschäft der Swisscom fällt unter diese Kategorie, aber ein paar Millionen Angriffe müssten es in der Argumentation des CEOs schon sein. Die neue Cybersicherheitsverordnung hat aber eine sehr klare und enge Definition, was ein meldungswürdiger Angriff ist: Er muss die Funktionsfähigkeit der Infrastruktur so stark gefährden, dass es zu Systemunterbrüchen kommt, Daten manipuliert werden oder dass sie abfliessen.

Wir werden also eine grosse Diskrepanz zwischen den von der Swisscom rapportierten 200 Millionen und bei den beim Bacs eingehenden Meldungen sehen, die sich in der Öffentlichkeit nur schwer erklären lässt.

Noch problematischer ist die Situation, wenn wir auf Swisscom selbst fokussieren. Die 200 Millionen Angriffe waren die Zahl, welche der CEO auf eine Frage zur Sicherheit nannte. Er nannte diese Zahl, weil er sie zur Hand hatte und weil sie ihm geläufig war. Wir müssen annehmen, dass auch intern mit dieser Zahl gearbeitet wird. Dies liegt auch deshalb nahe, weil die Swisscom auf Linkedin auch auf mehrmaliges Nachfragen keine Definition eines Cyberangriffes geben konnte, wiederholt ausweichend antwortete und den Unterschied zwischen einer Zählung von verschossenen Gewehrkugeln und bewaffneten Überfällen auf der peripheren Infrastruktur nicht zu erkennen schien.

Und damit wird es ungemütlich, denn wenn Swisscom intern mit weitgehend irrelevanten Zahlen arbeitet, dann trifft sie Entscheidungen auf Basis dieser künstlich aufgeblähten Zahlen. Das setzt falsche Anreize und führt zu einer Kultur in welcher die Geschäftsbereiche sich gegenseitig mit immer grösseren Zahlen überbieten. Sie müssen das tun, denn das Budget ist beschränkt und wer kriegt wohl den grössten Anteil davon? Derjenige der 25 Millionen Angriffe meldet oder diejenige, die präzise 250 bei einer geschätzten Dunkelziffer von 30% rapportiert?

Auf dieser Basis investiert Swisscom dann ihr Geld (unser Geld!) im übertragenen Sinne in jene Gebäude, deren Dächer am meisten Regentropfen gezählt haben, aber nicht dort, wo die Ziegel kaputt sind, das Dach rinnt und man ganz andere Kennzahlen bräuchte, um das tatsächliche Sicherheitsrisiko abzuschätzen.

Und zu meinem grossen Bedauern hat Christoph Aeschlimann in seinem Interview der Schweiz und seiner Belegschaft signalisiert, dass er selbst bei diesem Spiel mitmacht und die daraus folgende Kultur der aufgeblähten Zahlen gutheisst.