Stärken Sie Ihre Abwehrkräfte!

Vor Cyberattacken durch Ransomware wurde in den vergangenen Jahren immer wieder eindringlich gewarnt. Angesichts der steigenden Zahl von Angriffen müssen Schweizer Unternehmen stetig ihre Sicherheitsmassnahmen anpassen und verbessern. Der Blick hinter die Kulissen von Ransomware-Attacken liefert dazu wichtige Anhaltspunkte. Aktuell sind viele davon auf schlecht gesicherte externe Zugangsdienste wie RDP, Citrix oder VPN zurückzuführen, die oftmals nicht mit einer Multi-Faktor-Authentisierung geschützt sind. Meist erfolgt dieser initiale Hack nicht einmal durch die Angreifer selbst, sondern durch sogenannte Access Broker. Diese haben sich darauf spe­zialisiert, den unauffälligeren und damit weniger riskanten Teil der Angriffskette durchzuführen und Zugänge beispielsweise an Ransomware-Angreifer zu verkaufen.

Im nächsten Schritt bauen die Angreifer ihre Präsenz im Netzwerk aus und versuchen, weitere Informationen über das Zielnetzwerk zu sammeln, bevor sie den eigentlichen Angriff starten. Oft entdeckt unser CSIRT (Computer Security Incident Response Team) bei Untersuchungen, dass sich gewisse Angreifer-Gruppen auf Daten mit Schlüsselwörtern wie beispielsweise «Finance», «HR» oder «Projects» fokussieren. Ab und zu übersehen Angreifer deshalb Daten, die wesentlich wertvoller wären – zum Glück für die betroffenen Unternehmen. Sobald die passenden Zieldaten identifiziert wurden, werden diese auf verschie­denen Cloud-Storage-Diensten gespeichert. Auch daran lassen sich Angreifer unterscheiden, denn die Gruppen verwenden oftmals unterschiedliche Portale.

Solche Indizien rasch zu identifizieren, ist unerlässlich – jede Minute ist wertvoll. Der eigentliche Angriff, sprich die Entwendung sensitiver Unternehmensdaten sowie die Verschlüsselung des Netzwerks, geschieht dann sehr schnell und ist in nur wenigen Stunden vollzogen. Aber auch hier gibt es Chancen, den Prozess zu unterbrechen, da die meisten Verschlüsselungsprogramme vom Angreifer manuell respektive durch Scripts ausgelöst werden müssen. Was danach folgt, kennt man aus entsprechenden Medienberichten: Erpressungen in Millionenhöhe. Bei Nichtbezahlung drohen die Erpresser oft mit der Veröffentlichung der entwendeten Daten. Bei der Bewältigung einer solchen Situation ist das betroffene Unternehmen auf die sofortige Unterstützung durch Spezialisten angewiesen. Denn oftmals fehlt es an internem Know-how und Ressourcen, um so eine Situation entsprechend managen zu können. So gilt es, nebst dem Meistern technischer Hürden auch, die Kunden, Geschäftspartner und nicht zuletzt die Mitarbeitenden sowie eventuell die Öffentlichkeit zu informieren.

Bei der Verhandlung mit Cyberkriminellen ist Erfahrung notwendig. Dies lässt sich wie folgt erklären: Gehen wir davon aus, der Ransomware-Angriff war erfolgreich. Nun ist das betroffene Unternehmen mit einem Zeitlimit konfrontiert, sich für oder gegen die Zahlung der Lösegeldforderung zu entscheiden. Mit den Angreifern in Kontakt zu treten, ist in beiden Fällen ratsam. Dabei erfährt man nicht nur explizit einiges, sondern implizit noch wesentlich mehr.

Erstens werden die Angreifer die Höhe der Lösegeld­forderung bekannt geben. Zweitens sind sie in der Regel bereit zu beweisen, dass sie die Entschlüsselung tatsächlich durchführen können und im Besitz der Daten sind. Hierzu kann beispielsweise eine kritische Datei für einen Entschlüsselungstest verlangt werden. Drittens kann durch den Kontakt mit den Angreifern Zeit gewonnen und über die Lösegeldforderung verhandelt werden. Diese bewegt sich in der Regel zwischen 3 und 5 Prozent des erkenn­baren Jahresumsatzes. Der Spielraum dabei ist sehr unterschiedlich, kann aber durchaus lohnend sein.

Cyberattacken lassen sich leider nicht verhindern. Daher empfiehlt es sich, frühzeitig einen geeigneten Partner zu evaluieren und die vertraglichen Details für die Unterstützung bei der Bewältigung eines Angriffs vorab zu klären. Im Falle eines Sicherheitsvorfalls kann dieser dann dabei helfen, den verursachten Schaden zu minimieren, das Unternehmen rasch wieder handlungsfähig zu machen und die Abwehrkräfte der Cybersecurity nachhaltig zu stärken, um weiteren Angriffen vorzubeugen.