Lösegeld als Worst-Case-Szenario

von Joël Ch. Wuethrich und Daniele Ciociola

Ein Horrorszenario für alle Unternehmen: Die Hacker und Cyberkriminellen haben sich ins System eingespeist … .

Die KMU der Region sind gewarnt und einige bereits von Cyberkriminalität betroffen. Effiziente Hackergruppen treiben speziell diesen Herbst ihr Unwesen und sind immer erfolgreicher beim Eindringen in die Systeme und bei ihren Erpressungsversuchen. Wir haben bei Expertinnen und Experten in der Region nachgefragt.

Eine Meldung produzierte diesen Monat grosse Schlagzeilen: Der Online-Vergleichsdienst Comparis war eines der bekannteren Unternehmen, das einer Forderung nach Lösegeld einer Hacker-Organisation zähneknirschend nachkommen musste. Oft wird der Eintritt in die Systeme über eine Ransomware ermöglicht. Das scheint der Trend 2021 bei Cyberkriminellen zu sein. Ransomware-Angriffe verursachen Ausfallzeiten, Datenverluste, möglichen Diebstahl geistigen Eigentums und in bestimmten Branchen wird ein Ransomware-Angriff als Datenschutzverletzung betrachtet. Die Cybererpresser werden zudem professioneller und suchen sich ihre Opfer gezielt aus, auch in der Grossregion Zürich. Die «Einschüsse» von Cyberattacken kommen zudem immer näher. In jeder Gemeinde gibt es bereits betroffene Firmen und die Zahl steigt stetig an. «Auch wenn viele glauben, dass sie nicht zum Ziel von Kriminellen gehören, täuschen sich diese gewaltig», sagen die Expertinnen und Experten. Jede Firma mit etwas «Substanz» sei für Erpressung geeignet.

TECHNISCHE UND ORGANISATORISCHOPERATIVE VORKEHRUNGEN
Die Spezialisten bei der Polizei sagen: Wichtig sei, dass sich die KMU im Vorfeld schon gewisse Überlegungen machen und Vorkehrungen treffen. Dies minimiere das Risiko für einen Cybervorfall beträchtlich. Technische Schutzmassnahmen wie Sicherheitsupdates, eine korrekt konfigurierte Firewall, eine Unterteilung des Unternehmensnetzes in einzelne Bereiche, regelmässige Datensicherung, ein vorsichtiger Umgang mit Clouddiensten – sensible Daten und Firmengeheimnisse sollten nie unverschlüsselt in der Cloud abgelegt werden – und «Logdateien» sowie das Einschalten der Protokollierung helfen da schon viel. Dann sei das Sensibilisieren der Mitarbeitenden wichtig, zum Beispiel beim Erstellen der Prozesse für das Business Continuity Management (BCM) und das Incident Response. Denn kritische Geschäftsprozesse und Geschäftsfunktionen sollen auch bei einem Cybervorfall verfügbar sein. Man müsse auch den Zugriffsschutz auf Daten regeln. Mitarbeitende sollten standardmässig über keine Administratorenrechte verfügen.

Sollte man dennoch von einem Cyberangriff betroffen sein, wird allen Unternehmen folgende Empfehlung nahegelegt: «Kontaktieren Sie umgehend die Polizei. Spezialisierte Mitarbeitende beraten und unterstützen Sie im Vorgehen, sichern Spuren und ermitteln. Und melden Sie auch Angriffsversuche. Trennen Sie falls nötig alle Systeme umgehend vom Netzwerk. Vergessen Sie nicht, das WLAN auszuschalten.» Man sollte zudem mit dem Wiederaufsetzen der Systeme warten, bis die Polizei die Spuren gesichert hat. Ansprechperson sollte der zuständige Incident-Manager sein.

«BLOSS KEIN LÖSEGELD ZAHLEN!»
Auch Gisela Kipfer, Medienverantwortliche des Nationalen Zentrums für Cybersicherheit (NCSC) beim Eidgenössisches Finanzdepartement (EFD) pflichtet bei: «Die technischen und operativen Vorkehrungen sind nötig. Kommt es dennoch zu einem erfolgreichen Angriff, zum Beispiel mit Erpressungssoftware, empfiehlt das NCSC, keine Lösegelder zu bezahlen. Es gibt keine Garantie, dass die Daten nach der Zahlung wiederhergestellt werden können. Zudem motiviert jede erfolgreiche Erpressung die Angreifer zum Weitermachen, finanziert die Weiterentwicklung der Angriffe und fördert deren Verbreitung.»

Ausserdem sollte, so Gisela Kipfer, das betroffene Unternehmen bei der zuständigen Kantonspolizei Strafanzeige einreichen, insbesondere wenn finanzielle Schäden durch einen Cyberangriff entstanden sind. Auch sei eine Meldung an das NCSC wichtig, damit die betroffenen Unternehmen vom NCSC, wenn nötig, unterstützt und andere Unternehmen vor dieser Cyberbedrohung gewarnt werden können. Das NCSC hat auf seiner Website Informationen publiziert, auf was Firmen bei einem Angriff wie Ransomware, DDoS oder Datenabfluss usw. achten sollten (siehe am Ende des Artikels).

FRÜHERKENNUNG, OB DAS SYSTEM INFIZIERT WURDE
Spezialisten wie Fabio Poloni, IT-Security-Analyst von der Compass Security Schweiz AG (Jona), und Sven Vetsch, Partner & Head of Security Research der Redguard AG in Zürich, setzen auf Früherkennung: «In der IT-Security spricht man von Prävention, Detektion, Reaktion. Im Falle eines bereits detektierten oder vermuteten Cyberangriffs ist man bereits in der dritten Phase. Je nach Art des Angriffs müssen unterschiedliche Reaktionen in Erwägung gezogen werden. Eine der grössten Gefahren stellen momentan Verschlüsselungstrojaner, also Ransomwares, dar. Diese können ganze Betriebe lahmlegen, indem sie sich in einer Firma verbreiten und dann Computer sowie Server verschlüsseln», so Fabio Poloni. Beide haben bemerkt, dass oft in einer Kurzschlussreaktion einzelne Geräte ausgeschaltet und dabei wichtige Beweismittel und Hinweise vernichtet werden. Die Gefahr sei in diesem Falle nur teilweise gebannt – besonders, wenn sich der Angreifer vielleicht bereits an anderen Orten im System eingenistet hat. Im Notfall die Ruhe zu bewahren sei zwar schwierig, aber ermögliche, die Gefahr zielführend und organisiert zu bannen, sagen beide Experten. Auf jeden Fall sollten die externen Zugriffe und der Netzwerkverkehr zwischen Geräten unterbunden werden, sodass sich die Schadsoftware nicht ausbreiten könne. Bei der Planung und Analyse müssen, so der Experte, alle Möglichkeiten in Betracht gezogen werden. Fabio Poloni: «Haben die Geräte WiFi? Wenn ja, muss man es deaktivieren oder den Flugmodus aktivieren. Haben die Geräte eine SIM-Karte? Wenn ja, dann muss das mobile Internet deaktiviert werden und man sollte in den Flugmodus übergehen oder die SIM-Karte entfernen. Oder: Haben die Geräte eine physische Kabelverbindung zum Netzwerk? Dann unbedingt das Netzwerkkabel ziehen.»

Mit diesen Aktivitäten seien bereits die ersten Massnahmen zur Schadensbegrenzung getroffen. In einem nächsten Schritt kann die Malware identifiziert, analysiert und das Ausmass des Schadens bestimmt werden. Spätestens jetzt sollte der Informatikdienstleister oder eine auf Incident Response spezialisierte Firma hinzugezogen werden, um die betroffenen Systeme wiederherzustellen und den Betrieb wieder aufnehmen zu können. Poloni: «Ein solcher Vorfall ereignet sich normalerweise nicht ohne Grund. Irgendwo muss beim Thema Cybersicherheit nachgebessert werden.»

WICHTIG: DIE INCIDENT-RESPONSE-SPEZIALISTEN
Auch Bertram Dunskus, CEO der Arco IT Services in Zürich, bringt es auf den Punkt: «Eine KMU sollte bei einem Cyberangriff erstens die Schadensbegrenzung erzielen und zweitens die Wiederherstellung planen. Für beides ist ein kompetenter Partner essenziell, denn ein unbedachtes Vorgehen kann zu schwerwiegenden Problemen führen. Bitte also zuerst Kontakt mit einem Incident-Response-Partner aufnehmen. Dabei werden typischerweise alle angegriffenen Geräte und Systeme vom Netzwerk isoliert. Dazu werden Netzkabel getrennt, WLAN-Verbindungen gestoppt oder auf Firewalls Anpassungen gemacht. Sehr wichtig ist es, die Geräte keinesfalls herunterzufahren oder abzuschalten, da zur Analyse der Malware der Speicherinhalt im RAM erhalten bleiben muss. Die Analyse der Schadsoftware wird meist durch die Incident-Response-Firma, die kantonale Polizei oder das NSCS durchgeführt.»

Ebenso baut – so Dunskus weiter – das Incident-Response-Team eine verbesserte Detektion auf, also die Überwachung der Aktivitäten im Netz. Dazu werden auf den Firewalls und Proxy-Servern die URL und IP-Adressen laufend auf unerwünschte Verbindung zur Infrastruktur der Angreifer (C2C – Command and Control Server) überwacht. So könne geprüft werden, ob der Angriff erfolgreich eingegrenzt werden konnte.

Die Spezialisten des Incident-Response-Teams können nach einer Situationsanalyse entscheiden, mit welchen Mitteln eine Wiederherstellung möglich ist. Nicht immer geht das mit Back-ups, teilweise müssen alle Systeme neu aufgesetzt werden. Dieser Prozess kann Wochen dauern. «Moderne Angreifer machen in den meisten Fällen auch Kopien der Daten und erpressen mit deren Veröffentlichung die Opfer zusätzlich. Daher ist auch bei einer erfolgreichen Wiederherstellung ein proaktiver Umgang mit den Betroffenen nötig. Mein Appell hierzu: Es wird davon abgeraten, ein Lösegeld zu bezahlen. Zwar sind die geschäftstüchtigen Angreifer im Allgemeinen zuverlässig und geben nach Bezahlung des Lösegeldes die Schlüssel für die Daten frei. Aber die Bezahlung verstärkt das Geschäftsmodell der Angreifer und ermutigt sie dazu weiterzumachen.»

www.ncsc.admin.ch

Drei Experten, eine Meinung.