In den letzten Wochen hat watson intensiv recherchiert zu sogenannten Ransomware-Attacken und ihren Folgen. Dabei zeigte sich ein beunruhigendes Muster.
Dieser Beitrag dreht sich um mögliche Lehren, die man aus den zum Teil haarsträubenden Fällen ziehen kann. Denn treffen kann es fast jede Organisation. Und aus einem vermeintlich kleinen Leak könnte ein Super-GAU werden.
watson hat mit dem erfahrenen Schweizer IT-Sicherheitsexperten und Darknet-Kenner Marc Ruef gesprochen und lässt seine kritischen Einschätzungen einfliessen.
Das Darknet ist noch immer «Neuland»: Zu diesem Schluss kommt man nach Gesprächen mit diversen Akteuren, darunter IT-Verantwortliche grosser Organisationen.
Wie kann es sein, dass ein Unternehmen von einer bekannten Ransomware-Gruppe infiltriert wird und sich Wochen später von einem Daten-Leak «überrascht» zeigt?
Hier müssen wir etwas ausholen und die Vorgehensweise der Internet-Erpresser erklären. Viele haben weder das nötige IT-Fachwissen, noch die Zeit und das Geld, um auf eigene Faust komplexe Hackerangriffe durchzuführen. Es sind normale Kriminelle, die auf die Dienste anderer Krimineller setzen und deren Schadsoftware mieten. Dieses Geschäftsmodell wird «Ransomware as a Service» genannt. Es ist erstaunlich erfolgreich, was mit zu wenig schnell geschlossenen Sicherheitslücken und unvorsichtigen Angestellten zu tun hat.
Egal um was für ein Angriffswerkzeug es sich handelt, um in einen fremden Server einzudringen: In praktisch allen Fällen versuchen die Angreifer nicht nur, wichtige Dateien vor Ort zu verschlüsseln, um Lösegeld zu kassieren. Sie kundschaften das Opfer-Netzwerk aus und stehlen wertvolle Dateien, indem sie diese heimlich übers Internet «exfiltrieren».
In der Regel ist der Ablauf nach einem «Datenabfluss» – sprich Datenklau übers Internet – gemäss Marc Ruf so:
Halten wir fest: Wenn ein Computersystem von einer Ransomware-Attacke betroffen war, müssen die Verantwortlichen – ausgehend von einem möglichen Worst-Case-Szenario – mit einem Leak rechnen – ganz egal, ob zuvor auf die Forderungen der Erpresser eingegangen wurde oder nicht.
Damit sind wir bei der Krisenkommunikation ...
Niemand gibt gern zu, bestohlen worden zu sein. Und kein Unternehmen will Hiobsbotschaften verkünden.
Und doch sollte in der Krisenkommunikation nach einem erfolgten Hackerangriff und «Datenabfluss» der Grundsatz gelten, mit offenen Karten zu spielen. Dies empfehlen auch die Fachleute vom Nationalen Zentrum für Cybersicherheit (NCSC), die täglich mit Fällen konfrontiert sind.
Eine transparente Kommunikation gegenüber den Medien und damit der Öffentlichkeit legt nur schon der gesunde Menschenverstand nahe. Früher oder später droht die Wahrheit ans Licht zu kommen. Etwa durch ein Leak.
Und doch harzt es bei der Krisenkommunikation. In mehreren von watson recherchierten Fällen versuchten die Verantwortlichen, Informationen unter dem Deckel zu halten.
Erst geraume Zeit später und auf hartnäckiges Nachfragen von Journalisten wurden Vorfälle bestätigt. Dies geschah in der Regel erst, nachdem Daten im Darknet aufgetaucht waren. Und was das Schweigen betraf, hiess es öfters, man habe sich auf Anraten der Polizei so verhalten.
Das Problem: Wie wir oben gesehen haben, kann bis zur Veröffentlichung der Daten im Internet relativ viel Zeit verstreichen. In dieser Zeit drohen ahnungslosen Dritten massgeschneiderte Phishing-Mails und andere personalisierte Attacken, die viel gefährlicher sind als herkömmliche.
Sicher ist auch: Ein bisschen Transparenz genügt nicht. Wenn eine betroffene Organisation nur häppchenweise über das Ausmass einer Ransomware-Attacke informiert, dann schürt das in der betroffenen Bevölkerung die Unsicherheit und trägt nicht dazu bei, das Vertrauen wieder aufzubauen.
Wie sich Betroffene verhalten und was sie kommunizieren sollten, darum geht es beim nächsten Punkt ...
Ob Privatfirma, NGO oder Gemeinde: Wer ein mit dem Internet verbundenes IT-System betreibt und schützenswerte Daten speichert, braucht ein Notfallkonzept. Dieses sollte nicht nur das Vorgehen bezüglich Krisenkommunikation umfassen, sondern auch technische Massnahmen nach einem Daten-GAU und wie betroffene Systeme schnellstmöglich wiederhergestellt werden (Stichwort: Backups).
Marc Ruef und seine Kollegen von der IT-Sicherheitsfirma Scip AG vertreten die Meinung, dass von einer Ransomware-Attacke Betroffene folgendes NICHT machen sollen:
Was man machen KANN, sei:
Was man als Betroffener dringend machen MUSS:
Wer schützenswerte Informationen verarbeitet – ob privat oder staatlich – sollte zudem technische Sicherheitsvorkehrungen gegen Ransomware-Attacken treffen. Dazu gehört auch eine automatische Überwachung (Monitoring), um einen allfälligen «Datenabfluss» einschätzen zu können.
Weiter betont Marc Ruef, dass die Umsetzung bekannter Vorsichtsmassnahmen schon viel bringe. Bei den Ransomware-Attacken komme keine ausgeklügelte Spezialsoftware zum Einsatz. Darum seien Angriffe relativ einfach zu erkennen und übliche Sicherheits-Standards könnten eine gefährliche Ausbreitung verhindern. Die betroffenen Unternehmen hätten in erster Linie das Thema Cybersecurity nicht oder nur mangelhaft wahrgenommen, meint er kritisch.
PS: Speziell für kleine und mittlere Unternehmen (KMU) und Gemeinden wurde das Label cyber-safe.ch geschaffen. Da können sich Organisationen beraten lassen, ihr IT-System auf Schwachstellen prüfen und zertifizieren lassen.
Datensicherheit kostet. Doch Leaks sind teurer. Nicht nur für die Betroffenen, sondern für die Gesellschaft.
Die Schweiz kennt im Gegensatz zu anderen Ländern keine Meldepflicht für Cyberangriffe – entsprechend gross ist die Dunkelziffer. Dies können die eidgenössischen Parlamentarierinnen und Parlamentarier in Bern ändern.
Betroffene Organisationen – ob privat oder staatlich – sollten auf rechtliche Ebene in die Pflicht genommen werden. Vor allem, wenn sie nachweislich von einer Benachrichtigung der (potenziell) betroffenen Kundinnen und Kunden, respektive Bürgerinnen und Bürger, abgesehen haben.
Ob es die Androhung drakonischer Strafen braucht, wie in der europäischen Datenschutz-Verordnung (DSGVO) vorgesehen, sei dahingestellt. Das Prinzip Eigenverantwortung scheint jedenfalls wie in anderen Lebensbereichen nicht zu gewährleisten, dass Betroffene zum Wohle aller handeln und dazu beitragen, die Ransomware-Plage einzudämmen.
IT Sicherheit ist ein permanentes Thema, welches nicht nur technisch angegangen werden muss. So ist jeder Mitarbeiter ein potentielle Sicherheitslücke.