DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Die Liste der Ransomware-Opfer wird täglich länger. Zu den Betroffenen gehören KMU, aber auch multinationale Konzerne und staatliche Institutionen. So verschieden die Fälle auch sein mögen, es gibt ein aus Sicht der Öffentlichkeit beunruhigendes Muster zu beobachten.
Die Liste der Ransomware-Opfer wird täglich länger. Zu den Betroffenen gehören KMU, aber auch multinationale Konzerne und staatliche Institutionen. So verschieden die Fälle auch sein mögen, es gibt ein aus Sicht der Öffentlichkeit beunruhigendes Muster zu beobachten.
Bild: KEYSTONE
Analyse

Was nicht nur IT-Verantwortliche aus den neusten Ransomware-Attacken lernen sollten

Gegen Ransomware-Attacken scheint kein Kraut gewachsen. Doch gibt es durchaus Handlungsspielraum, wie unsere Analyse zeigt.
05.09.2021, 17:5108.09.2021, 08:41

In den letzten Wochen hat watson intensiv recherchiert zu sogenannten Ransomware-Attacken und ihren Folgen. Dabei zeigte sich ein beunruhigendes Muster.

  • Kriminelle Angreifer konnten mit relativ wenig Aufwand in vermeintlich gut geschützte Computersysteme eindringen. Es brauchte keine ausgebufften Profihacker, um wertvolle Daten zu stehlen. In der Regel kamen Angriffswerkzeuge quasi «ab Stange» zum Einsatz.
  • Auch auf Datendiebstähle von potenziell katastrophalem Ausmass folgte eine fragwürdige Kommunikations-Strategie seitens der Betroffenen.
  • Das Darknet ist noch immer «Neuland», selbst für IT-Verantwortliche.

Dieser Beitrag dreht sich um mögliche Lehren, die man aus den zum Teil haarsträubenden Fällen ziehen kann. Denn treffen kann es fast jede Organisation. Und aus einem vermeintlich kleinen Leak könnte ein Super-GAU werden.

watson hat mit dem erfahrenen Schweizer IT-Sicherheitsexperten und Darknet-Kenner Marc Ruef gesprochen und lässt seine kritischen Einschätzungen einfliessen.

Kenne deinen Gegner

Das Darknet ist noch immer «Neuland»: Zu diesem Schluss kommt man nach Gesprächen mit diversen Akteuren, darunter IT-Verantwortliche grosser Organisationen.

Wie kann es sein, dass ein Unternehmen von einer bekannten Ransomware-Gruppe infiltriert wird und sich Wochen später von einem Daten-Leak «überrascht» zeigt?

Hier müssen wir etwas ausholen und die Vorgehensweise der Internet-Erpresser erklären. Viele haben weder das nötige IT-Fachwissen, noch die Zeit und das Geld, um auf eigene Faust komplexe Hackerangriffe durchzuführen. Es sind normale Kriminelle, die auf die Dienste anderer Krimineller setzen und deren Schadsoftware mieten. Dieses Geschäftsmodell wird «Ransomware as a Service» genannt. Es ist erstaunlich erfolgreich, was mit zu wenig schnell geschlossenen Sicherheitslücken und unvorsichtigen Angestellten zu tun hat.

«Mit Ransomware ist es den Cyberkriminellen gelungen, ein universelles Geschäftsmodell zu entwickeln. Denn erpressen lässt sich fast jeder, der auf eine funktionierende IT-Infrastruktur und digitale Daten angewiesen ist.»
quelle: nzz.ch

Egal um was für ein Angriffswerkzeug es sich handelt, um in einen fremden Server einzudringen: In praktisch allen Fällen versuchen die Angreifer nicht nur, wichtige Dateien vor Ort zu verschlüsseln, um Lösegeld zu kassieren. Sie kundschaften das Opfer-Netzwerk aus und stehlen wertvolle Dateien, indem sie diese heimlich übers Internet «exfiltrieren».

  • Bei der «Double Extortion» genannten doppelten Erpressung verschlüsseln die Angreifer die Daten ihrer Opfer und drohen zusätzlich damit, brisante Informationen zu veröffentlichen, wenn kein Lösegeld bezahlt wird.
  • Relativ neu ist die Problematik der «Triple Extortion». Hier versuchen die Angreifer nicht nur die Opfer zu erpressen, sondern auch deren Kunden und Partner. Die Angreifer kontaktieren also auch (vermutlich) ahnungslose Kontakte ihrer Opfer, um zusätzlichen Druck auszuüben.

In der Regel ist der Ablauf nach einem «Datenabfluss» – sprich Datenklau übers Internet – gemäss Marc Ruf so:

  1. Die Täter versuchen, die erbeuteten wertvollen Daten «exklusiv im engen Kreis» zu verkaufen.
  2. Wenn sich kein Abnehmer findet, wird versucht, die Daten exklusiv «öffentlich» zu verkaufen. Also zum Beispiel durch ein Angebot in einem Darknet-Forum oder Blog.
  3. Die anonym bleibenden Täter stehen nicht unter Zeitdruck: Wenn es nicht gleich klappt, versuchen sie mehrfach, die erbeuteten Daten «öffentlich» zu verkaufen.
  4. Wenn all die oben geschilderten Verkaufsbemühungen nicht klappen, werden die Daten getauscht. Im Darknet herrscht ein entsprechend reger Tauschhandel.
  5. Schliesslich werden die erbeuteten Daten im Internet veröffentlicht, zum Beispiel auf der anonymen Plattform Pastebin oder in Form von Torrent-Dateien.

Halten wir fest: Wenn ein Computersystem von einer Ransomware-Attacke betroffen war, müssen die Verantwortlichen – ausgehend von einem möglichen Worst-Case-Szenario – mit einem Leak rechnen – ganz egal, ob zuvor auf die Forderungen der Erpresser eingegangen wurde oder nicht.

Damit sind wir bei der Krisenkommunikation ...

Schweigen kann tödlich sein

Niemand gibt gern zu, bestohlen worden zu sein. Und kein Unternehmen will Hiobsbotschaften verkünden.

Und doch sollte in der Krisenkommunikation nach einem erfolgten Hackerangriff und «Datenabfluss» der Grundsatz gelten, mit offenen Karten zu spielen. Dies empfehlen auch die Fachleute vom Nationalen Zentrum für Cybersicherheit (NCSC), die täglich mit Fällen konfrontiert sind.

«Was die Kommunikation angeht, empfiehlt das NCSC, offen, transparent und ehrlich zu sein und die Fakten zu kommunizieren. Dadurch können weitere Unternehmen vor diesen Angriffen gewarnt werden. Das NCSC rät vor allem aber dazu, betroffene Kunden, Partner und Mitarbeitende proaktiv zu informieren, damit diese die Möglichkeit haben, geeignete Massnahmen zu treffen.

Die Entscheidung, ob ein Opfer eines Cyberangriffs an die breite Öffentlichkeit treten will, liegt in dessen Kompetenz. Das geplante Vorgehen muss jedoch vorgängig im Krisenkommunikationskonzept festgehalten werden, damit dieses im Krisenfall verfügbar ist und danach gehandelt werden kann.»
Gisela Kipfer, NCSC-Medienverantwortliche

Eine transparente Kommunikation gegenüber den Medien und damit der Öffentlichkeit legt nur schon der gesunde Menschenverstand nahe. Früher oder später droht die Wahrheit ans Licht zu kommen. Etwa durch ein Leak.

Und doch harzt es bei der Krisenkommunikation. In mehreren von watson recherchierten Fällen versuchten die Verantwortlichen, Informationen unter dem Deckel zu halten.

Erst geraume Zeit später und auf hartnäckiges Nachfragen von Journalisten wurden Vorfälle bestätigt. Dies geschah in der Regel erst, nachdem Daten im Darknet aufgetaucht waren. Und was das Schweigen betraf, hiess es öfters, man habe sich auf Anraten der Polizei so verhalten.

Das Problem: Wie wir oben gesehen haben, kann bis zur Veröffentlichung der Daten im Internet relativ viel Zeit verstreichen. In dieser Zeit drohen ahnungslosen Dritten massgeschneiderte Phishing-Mails und andere personalisierte Attacken, die viel gefährlicher sind als herkömmliche.

Im schlimmsten Fall führt eine verschwiegene Ransomware-Attacke zum nächsten Fall. Und zum nächsten Datenklau.

Sicher ist auch: Ein bisschen Transparenz genügt nicht. Wenn eine betroffene Organisation nur häppchenweise über das Ausmass einer Ransomware-Attacke informiert, dann schürt das in der betroffenen Bevölkerung die Unsicherheit und trägt nicht dazu bei, das Vertrauen wieder aufzubauen.

Wie sich Betroffene verhalten und was sie kommunizieren sollten, darum geht es beim nächsten Punkt ...

Vorbereitung ist die beste Versicherung

Ob Privatfirma, NGO oder Gemeinde: Wer ein mit dem Internet verbundenes IT-System betreibt und schützenswerte Daten speichert, braucht ein Notfallkonzept. Dieses sollte nicht nur das Vorgehen bezüglich Krisenkommunikation umfassen, sondern auch technische Massnahmen nach einem Daten-GAU und wie betroffene Systeme schnellstmöglich wiederhergestellt werden (Stichwort: Backups).

Marc Ruef und seine Kollegen von der IT-Sicherheitsfirma Scip AG vertreten die Meinung, dass von einer Ransomware-Attacke Betroffene folgendes NICHT machen sollen:

  • Auf Forderungen von Angreifern irgendwie reagieren.
  • Mit Erpressen verhandeln.
  • Zugeben, dass man gezahlt hat.

Was man machen KANN, sei:

  • Mit den Erpressern verhandeln und/oder zahlen, um Zeit zu gewinnen – dies aber nur in Ausnahmefällen, falls nicht anders möglich. Zudem müsse dieses Vorgehen Teil eines Gesamtplans sein.

Was man als Betroffener dringend machen MUSS:

  • Sich mit den Behörden in Verbindung setzen.
  • Strafanzeige erstatten.
  • Betroffene Kunden informieren.
  • Bei Leaks ein öffentliches Statement abgeben, dabei professionell kommunizieren, kein «PR-Spinning» machen.

Wer schützenswerte Informationen verarbeitet – ob privat oder staatlich – sollte zudem technische Sicherheitsvorkehrungen gegen Ransomware-Attacken treffen. Dazu gehört auch eine automatische Überwachung (Monitoring), um einen allfälligen «Datenabfluss» einschätzen zu können.

Weiter betont Marc Ruef, dass die Umsetzung bekannter Vorsichtsmassnahmen schon viel bringe. Bei den Ransomware-Attacken komme keine ausgeklügelte Spezialsoftware zum Einsatz. Darum seien Angriffe relativ einfach zu erkennen und übliche Sicherheits-Standards könnten eine gefährliche Ausbreitung verhindern. Die betroffenen Unternehmen hätten in erster Linie das Thema Cybersecurity nicht oder nur mangelhaft wahrgenommen, meint er kritisch.

PS: Speziell für kleine und mittlere Unternehmen (KMU) und Gemeinden wurde das Label cyber-safe.ch geschaffen. Da können sich Organisationen beraten lassen, ihr IT-System auf Schwachstellen prüfen und zertifizieren lassen.

Bundesbern muss handeln

Datensicherheit kostet. Doch Leaks sind teurer. Nicht nur für die Betroffenen, sondern für die Gesellschaft.

Die Schweiz kennt im Gegensatz zu anderen Ländern keine Meldepflicht für Cyberangriffe – entsprechend gross ist die Dunkelziffer. Dies können die eidgenössischen Parlamentarierinnen und Parlamentarier in Bern ändern.

Betroffene Organisationen – ob privat oder staatlich – sollten auf rechtliche Ebene in die Pflicht genommen werden. Vor allem, wenn sie nachweislich von einer Benachrichtigung der (potenziell) betroffenen Kundinnen und Kunden, respektive Bürgerinnen und Bürger, abgesehen haben.

Ob es die Androhung drakonischer Strafen braucht, wie in der europäischen Datenschutz-Verordnung (DSGVO) vorgesehen, sei dahingestellt. Das Prinzip Eigenverantwortung scheint jedenfalls wie in anderen Lebensbereichen nicht zu gewährleisten, dass Betroffene zum Wohle aller handeln und dazu beitragen, die Ransomware-Plage einzudämmen.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Ransomware – Angriff der Verschlüsselungstrojaner

1 / 22
Ransomware – Angriff der Verschlüsselungstrojaner
quelle: screenshot: youtube
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Das ist das Drohnen-Video des Jahres!

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Die Comparis-Hacker schlagen schon wieder zu – und erneut trifft es eine Schweizer Firma

Matisa, Westschweizer Hersteller von Gleisbaumaschinen, steht im Fadenkreuz von Internet-Erpressern. Offenbar wurden Daten gestohlen und verschlüsselt. Die Firma wird wie zuvor Comparis von der Hackergruppe «Grief» erpresst.

Die Schweizer Firma Matisa Matérial Industriel S.A. aus Crissier VD ist das neuste Opfer der Ransomware-Hackergruppe «Grief» (auf Deutsch: Leid, Trauer). Unter Ransomware-Angriff versteht man eine Cyber-Attacke, bei der die Angreifer mittels Schadprogramm die Daten ihrer Opfer verschlüsseln und ein Lösegeld verlangen. Andernfalls, so die Drohung, werden die internen Daten veröffentlicht.Auf der Firmenwebseite warnt das Unternehmen:

Auf Anfrage sagte das Nationale Zentrum für Cybersicherheit …

Artikel lesen
Link zum Artikel