Cyberangriffe nehmen in alarmierendem Tempo zu – weltweit wird alle 14 Sekunden ein Unternehmen Opfer eines Ransomware-Angriffs. In der Schweiz ist dieser Anstieg besonders stark spürbar. Besonders betroffen sind kritische Sektoren wie das Gesundheitswesen, der Banken- und Finanzsektor sowie der öffentliche Bereich (Verwaltung und Verteidigung), die zu bevorzugten Zielen dieser Angriffe geworden sind.

Typisch für diese Angriffe ist ihre Einstufung als Ransomware. In den meisten Fällen handelt es sich um opportunistische Attacken, die gezielt Schwächen bei der digitalen Sicherheitsreife der betroffenen Organisationen ausnutzen.

Was ist Ransomware?

Ransomware ist ein schädliches Programm, das darauf abzielt, von einem Opfer Lösegeld zu erpressen. Bei einem Ransomware-Angriff wird der Computer oder das Informationssystem des Opfers gezielt ausser Betrieb gesetzt. In der Praxis nutzen die meisten Ransomware-Varianten kryptografische Verfahren, um Daten so zu verschlüsseln, dass sie nicht mehr zugänglich oder nutzbar sind. Der Angreifer sendet anschliessend eine unverschlüsselte Nachricht an das Opfer, in der er anbietet, den Schlüssel zur Entschlüsselung gegen Zahlung eines Lösegelds bereitzustellen.

Was ist das Ziel?

Das Ziel besteht darin, vom Opfer Geld zu erpressen, im Austausch für das Versprechen (das nicht immer eingehalten wird), wieder Zugang zu den verschlüsselten Daten zu erhalten. Manche Angriffe zielen jedoch ausschliesslich darauf ab, Systeme zu beschädigen, um betriebliche Ausfälle zu verursachen und das Image der betroffenen Organisation zu schädigen.

Es ist jedoch möglich, sich vor dieser Art von Angriffen zu schützen. Dafür haben verschiedene auf Cybersicherheit spezialisierte Organisationen Massnahmenkataloge entwickelt, die Unternehmen und Privatpersonen dabei unterstützen, ihre Systeme zu sichern. Im Folgenden finden Sie eine nicht abschliessende Liste an Empfehlungen, um sich bestmöglich gegen Ransomware-Angriffe zu schützen:

Regelmässige Datensicherung

Alle Daten sollten regelmässig gesichert werden, einschliesslich der Daten auf Dateiservern, in der Infrastruktur und in geschäftskritischen Anwendungen wie etwa Online-Banking-Systemen oder cloudbasierten Datenspeichern. Dabei ist zu beachten, dass auch Backups von Ransomware betroffen sein können. Immer mehr Cyberkriminelle versuchen gezielt, Sicherungskopien zu verschlüsseln, um die Wiederherstellung durch das Opfer zu verhindern und so die Wahrscheinlichkeit einer Lösegeldzahlung zu erhöhen. Backups, insbesondere die geschäftskritischen, sollten deshalb physisch oder logisch vom restlichen System getrennt aufbewahrt werden, um zu verhindern, dass sie wie andere Dateien verschlüsselt werden. Empfehlenswert ist die Nutzung von sogenannten Cold-Storage-Lösungen wie externen Festplatten oder Bandspeichern. So bleiben die Sicherungskopien vor Systeminfektionen geschützt und kritische Daten stehen bei der Wiederaufnahme des Geschäftsbetriebs zur Verfügung.

Software- und Systemaktualisierungen

Nicht geschlossene Sicherheitslücken in Betriebssystemen oder Anwendungssoftware innerhalb von Informationssystemen können dazu genutzt werden, Systeme zu infizieren oder die Verbreitung von Schadsoftware zu erleichtern. Die Anbieter dieser Lösungen veröffentlichen regelmässig Updates mit sicherheitsrelevanten Korrekturen. Es ist entscheidend, diese Aktualisierungen zeitnah und nach einem klar definierten Prozess zu installieren. Ist dies nicht möglich, zum Beispiel aus kommerziellen Gründen, sollten Schutzmassnahmen zur Isolation der betroffenen Systeme umgesetzt werden. Besondere Aufmerksamkeit gilt der Software auf den Arbeitsplätzen der Benutzerinnen und Benutzer, etwa Webbrowsern, Office-Programmen, PDF-Readern oder Mediaplayern. Daher ist es wichtig, die Lebensdauer der eingesetzten Hard- und Software im Informationssystem sorgfältig zu planen, um deren Aktualität und Sicherheit dauerhaft sicherzustellen.

Verwendung und Pflege von Antivirensoftware

Auch heute ist der Einsatz von Antivirensoftware unerlässlich, um Ressourcen mit erhöhtem Risiko wie Arbeitsstationen oder Dateiserver vor Ransomware zu schützen. Diese Programme bieten zwar keinen vollständigen Schutz vor unbekannter Ransomware, können jedoch in vielen Fällen eine Kompromittierung verhindern und die Verschlüsselung von Dateien vermeiden. Damit diese Schutzmechanismen wirksam bleiben, ist es wichtig, die Signaturen und die Erkennungsengine der Antivirensoftware regelmässig zu aktualisieren. Zusätzlich sollte der Speicherbereich der Software in festgelegten Intervallen überprüft werden, um bekannte Schadsoftware frühzeitig zu erkennen und zu blockieren.

Segmentierung von Informationssystemen

Ohne geeignete Schutzmassnahmen kann sich Ransomware von einem einzigen infizierten Gerät aus im gesamten Informationssystem verbreiten und einen grossen Teil der erreichbaren Rechner infizieren. In einem nicht segmentierten Computernetzwerk kann ein Angreifer auf zahlreiche Ressourcen zugreifen und so die Auswirkungen des Angriffs erheblich verstärken. So kann er beispielsweise auf Verwaltungsfunktionen oder Systeme zugreifen, die eigentlich Administratorinnen und Administratoren vorbehalten sind. Um das Risiko einer solchen Ausbreitung zu begrenzen, wird empfohlen ein oder mehrere Filtermechanismen einzurichten, die eine Segmentierung zwischen unterschiedlich kritischen Netzbereichen des Informationssystems ermöglichen. Dazu gehören beispielsweise interne Serverzonen oder serverseitige Internetzugänge sowie Benutzerarbeitsplatzbereiche und Verwaltungsbereiche.

Begrenzte Benutzerrechte und kontrollierte Zugriffsberechtigungen auf Anwendungen

Eine zentrale Sicherheitsmassnahme besteht darin zu überprüfen, ob Benutzerinnen und Benutzer keine Administratorrechte auf ihrem Arbeitsplatzrechner haben. Dadurch wird verhindert, dass Software installiert oder Schadcode unbeabsichtigt ausgeführt werden kann. Ebenso wichtig ist es, Administrationskonten auf die notwendigen Ressourcen des Informationssystems zu beschränken und für administrative Tätigkeiten eigene Arbeitsstationen ohne Internetzugang bereitzustellen. Denn bei einem Sicherheitsvorfall versuchen Angreifer häufig, auf privilegierte Konten zuzugreifen, um sich im System weiter auszubreiten.

Kontrollierter Internetzugang

Ransomware nutzt häufig die Internetverbindung von Organisationen, um mit einer von Cyberkriminellen betriebenen Online-Infrastruktur zu kommunizieren. Zudem kann beim Besuch einer kompromittierten Website unbemerkt Schadsoftware heruntergeladen und automatisch auf dem Arbeitsplatzrechner der betroffenen Person installiert werden. Daher ist es wichtig, den Internetzugang gezielt zu kontrollieren und Sicherheitsmassnahmen wie Filter, Zugriffsbeschränkungen und sichere Browserkonfigurationen umzusetzen.

Sensibilisierung der Mitarbeitenden

In den meisten Fällen beginnt ein Ransomware-Angriff mit dem Öffnen eines Phishing-Anhangs oder dem Aufrufen einer schädlichen Webseite. Die Schulung der Nutzerinnen und Nutzer in grundlegenden Regeln der IT-Sicherheit ist ein wesentlicher Bestandteil im Schutz vor dieser Bedrohung, auch wenn sie keinen absoluten Schutz bietet. Ziel ist es, bestimmte Verhaltensmuster zu fördern oder zu stärken, zum Beispiel die Gewohnheit, verdächtige Vorkommnisse unverzüglich an die IT-Abteilung zu melden. Dazu zählen verdächtige E-Mail-Anhänge, unbekannte USB-Sticks oder ungewöhnliche Anfragen.

Cyber-Versicherung

Cyber-Versicherungsverträge bieten heute die Möglichkeit, Opfer von Cyberangriffen zu unterstützen, indem sie rechtliche Beratung sowie finanzielle Deckung für entstandene Schäden bereitstellen, sowohl für materielle als auch für immaterielle Verluste. Der Markt befindet sich jedoch noch in der Entwicklungsphase und muss weiter ausreifen. Besonders im Hinblick auf die Rechtsprechung zur Anwendung oder Nichtanwendung von Ausschlussklauseln besteht noch Klärungsbedarf.

Erstellung eines Reaktionsplans bei Cyberangriffen

Eine Besonderheit von Ransomware-Angriffen ist ihre stark destabilisierende Wirkung auf Organisationen. Unterstützende Funktionen wie Telefonie, E-Mail oder auch geschäftskritische Anwendungen können ausser Betrieb gesetzt werden. In solchen Fällen muss der Betrieb in einem eingeschränkten Modus weitergeführt werden, was in einigen Situationen bedeutet, auf Papier und Stift zurückzugreifen. Ein solcher Angriff führt in der Regel zu einer teilweisen Unterbrechung der Geschäftstätigkeit, in besonders schweren Fällen sogar zu einem vollständigen Ausfall.

Strategie für die Kommunikation bei einer Cyberkrise

Im Falle eines Ransomware-Angriffs ist es wichtig, frühzeitig eine umfassende Kommunikationsstrategie für das Unternehmen festzulegen. Diese sollte bereits in den ersten Stunden nach dem Vorfall umgesetzt werden, um die Auswirkungen der Krise auf das öffentliche Bild und die Reputation der Organisation so gering wie möglich zu halten. Dabei ist sowohl die interne als auch die externe Kommunikation zu berücksichtigen.

Was ist im Falle eines Angriffs zu tun?

Diese Schritte empfiehlt das NCSC (National Cyber Security Centre) im Falle eines Angriffs.

  • Schaden begrenzen: Infizierte Systeme sofort vom Netzwerk trennen.
  • IT-Abteilung oder IT-Dienstleister informieren.
  • Infizierte Systeme identifizieren: Protokolldateien (Logs) können helfen, betroffene Systeme zu erkennen.
  • Analyse durchführen: Logs von E-Mail-Servern, Proxy-Servern, Firewalls oder anderer Sicherheitssoftware können genutzt werden, um das Ausmass der Infektion festzustellen und die URLs oder IP-Adressen der Angreifer zu identifizieren.
  • Meldung erstatten: Das NCSC empfiehlt, eine Strafanzeige bei den zuständigen Behörden zu erstatten.
  • Forensische Analyse prüfen: Frühzeitig entscheiden, ob eine forensische Analyse durchgeführt werden soll – insbesondere, wenn eine Anzeige geplant ist.
  • Verschlüsselte Daten sichern: Falls auch Backups verschlüsselt wurden, sollten diese dennoch gesichert und aufbewahrt werden. Eine spätere Entschlüsselung könnte möglich sein.
  • Systeme neu aufsetzen: Infizierte Systeme müssen neu installiert werden, bevor mit der Datenwiederherstellung begonnen wird. Das Betriebssystem sollte von einem vertrauenswürdigen Datenträger stammen.

Sollte das Lösegeld bezahlt werden?

Die zuständigen Behörden raten ausdrücklich davon ab, das Lösegeld zu bezahlen. Es gibt keine Garantie, dass die Kriminellen die verschlüsselten Daten tatsächlich wieder freigeben. Zudem trägt eine Zahlung dazu bei, kriminelle Strukturen weiter zu finanzieren.

Bei weiteren Fragen steht Ihnen unser Experte Pierre Messus (Linkedin account), Head of IT Risk Advisory, gerne zur Verfügung. Er begleitet Sie gerne bei allen Schritten zur Stärkung Ihrer IT-Sicherheit.

Autor

Pierre Messus
Chief Information Officer - Head of IT & Risk

Weitere Inhalte zum Thema IT Advisory