Von Otto Hostettler

Niemand wünscht sich eine Cyberattacke auf das eigene Unternehmen. Doch Erpresserbanden führen weltweit einen Raubzug gegen die Wirtschaft und Behörden – ein Ende ist nicht abzusehen. Wer sich schützen will, bereitet sich vor.

Cyber-Erpressungen laufen immer gleich ab: Der erste, der am Morgen im Unternehmen den Computer hochfährt, bemerkt Unregelmässigkeiten. Die Funktionsweisen von Programmen scheinen eingeschränkt, die Abläufe der Infrastruktur stocken, plötzlich steht alles still. Auf dem Bildschirm prangt eine Meldung:

«All your files have been encrypted»

Dazu ein paar spärliche Angaben zum weiteren Vorgehen, im Wesentlichen eine E-Mail-Adresse der Erpresserbande.

Kampf gegen den unsichtbaren Feind

Wie soeben ausgeführt war es im Fall eines bernischen Familienunternehmens mit 180 Mitarbeitenden, das im Bereich Präzisionsmechanik tätig ist. Der Geschäftsführer hielt später fest: «Wir kämpften gegen einen unsichtbaren Feind.» Genauso geht es aber auch anderen Klein- und Mittelunternehmen, aber auch Behörden und Institutionen. Für Aufsehen sorgte Ende letzten Jahres ein Cyberangriff auf den Aargauer Gesundheitsdienstleister «Publicare», der schweizweit zu den wichtigsten Lieferanten von medizinischen Hilfsmitteln für Inkontinenz und Wundbehandlung gehört. Mit der Cyberattacke legte die Erpresserbande «Vice Society» das Geschäft dieses wichtigen Wirtschaftsteilnehmers im Gesundheitswesen kurzerhand lahm. Die gleiche Ransomware-Bande steckte bereits hinter dem Hack auf die Gemeinde Rolle am Genfersee.

Im Fall von «Publicare» veröffentlichte «Vice Society» zudem die beim Angriff gestohlenen, vertrauliche Daten. Auf der Leak-Seite der Bande tauchten Personaldossiers, Arztzeugnisse, Bewerbungsschreiben und weitere sensible Informationen auf. Die abgeflossenen Informationen sind nur das eine. Weil die Geschäftsabläufe betroffen sind, kann es ausserdem zu massiven Umsatzeinbussen kommen. Im Fall des erwähnten bernischen Präzisionstech-Unternehmens war die Produktion während Wochen beeinträchtigt. Beim Aargauer Medizinalanbieter mussten die Kunden ihre Bestellungen per Fax übermitteln.

Eine Cyberattacke betrifft aber nicht nur Kunden, indem Produkte nicht oder verzögert geliefert werden. Massive Auswirkungen haben Hackerangriffe insbesondere, wenn sie auch Arbeitsprozesse der Kunden tangieren. Wie etwa im Fall des Berner Informatik-Dienstleisters «Infopro». Weil dieses Unternehmen verschiedene Gemeindeverwaltungen mit IT-Lösungen bedient, ging Ende letzten Jahres gleich bei mehreren Behörden im Emmental gar nichts mehr.

Phishing als wichtigstes Einfallstor für Betrüger

Wie schnell ein Unternehmen eine Schadsoftware einfängt, zeigen Warnmeldungen vom Nationalen Zentrum für Cybersicherheit (NCSC), dem Schweizer Kompetenzzentrum für Cybercrime. Nach wie vor ist das sogenannte «Phishing» das wichtigste Einfallstor für Betrüger. Mit immer raffinierteren Methoden versuchen sie, Zugangsdaten von Firmen und Privaten zu sammeln. Weil Betrüger diese Phishing-Kampagnen in einem derart grossen Stil betreiben, gehen ihnen auch immer wieder Ahnungslose ins Netz.

Inzwischen kursieren solche Phishingmails getarnt als angebliche SBB-Gewinnspiele, gefälschte Steuerrückerstattungen, gefälschte Behördeninformationen und sogar gefälschte QR-Codes. Das Ziel ist immer das Gleiche: Ahnungslose sollen auf angebliche Login-Seiten umgelenkt werden, wo ihre Zugangsdaten abgegriffen werden. Einmal in den Händen von Kriminellen, werden diese Zugangsdaten von so genannten «Access-Brokern» anderen Kriminellen weiterverkauft – und gelangen schliesslich in die Hände von Erpresserbanden.

Eindrücklich liess sich dies Anfang Februar rekonstruieren, als Unbekannte die Universität Zürich angriffen. Die Zugangsdaten, also Nutzername und Passwort, für rund 20 Server wurden zuvor während Tagen auf einem Untergrundforum zum Kauf angeboten – für gerade mal 10 Dollar.

Wie können sich Klein- und Mittelunternehmen schützen?

1.         Software auf dem neusten Stand halten

Die Software sollte auf allen Geräten immer auf dem neusten Stand sein. Führen Sie die aktuellsten Sicherheits-Patches zeitnah aus. Auch die Software auf mobilen Geräten müssen auf dem neuesten Stand sein. Prüfen Sie die Einführung eines zentralen Patch-Management-Systems. Betrüger haben es darauf abgesehen, dass nach Bekanntwerden einer Schwachstelle, dem sogenannten «Zero-Day», viele Nutzer mit dem Update zuwarten.

2.         Verteidigungsstrategie definieren

Ein Vulnerability und Compliance Management Prozess soll implementiert werden. Eine Verteidigungsstrategie sollte ausgerichtet sein auf eine mögliche Datenexfiltration. Um schädliche Verbindungen zu erkennen, sollte der ausgehende Datenverkehr überwacht werden. Regeln für Negativ-/Positiv-Listen sollten auf der Grundlage von in Echtzeit übertragenen Threat Intelligence-Feeds implementiert werden. Dadurch können Mitarbeitende daran gehindert werden, auf schädliche Webseiten, schädliche IP-Adressen, Phishing-ULRs, anonyme Proxys oder andere Anonymisierungsdienste zuzugreifen.

3.         Identitäts- und Zugriffsverwaltung

Die Möglichkeiten der Mitarbeitenden, Applikationen auf Geräten zu nutzen sowie Software auf das Firmennetzwerk herunterzuladen und zu installieren, sollten eingeschränkt werden. Verantwortliche für die Infrastruktur sollten bezeichnet und Zuständigkeiten festgelegt werden. Zugriffsrechte sind nach dem Grundsatz «Kenntnis nur wenn nötig» sowie nach dem Prinzip der Aufgabentrennung zu regeln. Auch in Kleinfirmen muss nicht jeder Nutzer über Administratorenrechte verfügen.

4.         Vornahme einer Risikoanalyse

Unternehmen sollten regelmässig und systematisch auf Risiken für Cybervorfälle überprüft und bewertet werden. Scans sind regelmässig durchzuführen, um bekannte Verwundbarkeiten zu entdecken. Gegebenenfalls ist ein externer Dienstleister beizuziehen, der bei dieser Einschätzung unterstützen kann.

5.         Sicherheits-Audit/Penetrationstest

Sicherheitsaudits sind regelmässig durchzuführen, allenfalls unter Einbezug eines externen Dienstleisters. Entdeckte Schwachstellen im eigenen Netzwerk sind zeitnah zu beheben. Netzwerksicherheitssystem sind regelmässigen Penetrationstests zu unterziehen. Auch der Wiederherstellungsprozess für kritische Informationen ist zu testen.

6.         Backup

Die Daten, online und offline, sind auch bei kleinen Unternehmen regelmässig zu sichern. Mit einem aktuellen Backup können nach einem Ransomware-Angriff die Daten am einfachsten wiederhergestellt werden.

7.         Sensible Daten

Nur diejenigen Daten, die wirklich benötigt werden, sind zu speichern. Die Datenschutzgesetzgebung ist ebenfalls zu überprüfen. Sensible Daten sind an abgegrenzten Orten zu speichern. Eine effektive Teilung, also eine sogenannte Segregation des Netzwerks ist sicherzustellen, um Angreifer in ihren Möglichkeiten einzuschränken, von einem Segment im Netzwerk zu einem anderen zu gelangen.

8.         Remote-Zugriff

Der Ressourcenzugriff über Netzwerke ist zu begrenzen, indem dieser auf Remotedesktop-Protokolle (RDP) beschränkt wird. Bei Remote-Access ist eine Multi-Faktor-Authentifizierung zu verwenden.

9.         Zwei-Faktor-Authentifizierung

Für die Angestellten ist eine Zwei-Faktor-Authentifizierung zu benutzen, insbesondere, wenn sich diese von extern ins Firmennetzwerk einloggen.

10.       Windows PowerShell

Windows PowerShell ist auszuschalten, wenn das Programm nicht verwendet wird. Etliche Ransomware-Varianten werden über diese Funktion ausgeführt.