«Angriffe mit Verschlüsselungssoftware stehen an erster Stelle»

«Angriffe mit Verschlüsselungssoftware stehen an erster Stelle»

Mit der Digitalisierung nehmen auch Cyberangriffe erheblich zu. Gemäss Schätzungen von Experten gibt es alle 39 Sekunden einen solchen Angriff.

Die Corona-Pandemie hat dieses Problem noch verstärkt. Im east#digital-Interview erklärt Aikaterini Mitrokotsa (Bild), Professorin für Cyber Security an der Universität St.Gallen, wie Cyberkriminelle vorgehen und wie sich Unternehmen schützen können.

Aikaterini Mitrokotsa, wie oft werden Unternehmen weltweit und in der Schweiz Opfer von Cyberangriffen?
Genaue Zahlen sind schwierig zu erhalten, da Firmen aufgrund der Auswirkungen, die diese Angriffe auf ihr Image haben könnten, oft zögern, sie zu melden. Einige repräsentative Statistiken belegen, dass 2019 über 43 Prozent der Opfer von Datenschutzverletzungen kleine Unternehmen waren. Gemäss dem Nationalen Zentrum für Computer- und Netzsicherheit (NCSC) in der Schweiz wurden in der ersten Hälfte des Jahres 2020 bei der Schweizer Kontaktstelle für Computer- und Netzsicherheit 5 152 Berichte über Cyberattacken registriert. Die meisten dieser Berichte bezogen sich jedoch auf simple Betrugsversuche (z. B. E-Mails mit Vorauszahlungs- oder Paketabonnementsbetrug), die häufig zum Abfangen von Kreditkartendaten verwendet werden, und seltener auf komplexere Ansinnen.

Immer häufiger kommt auch Schadsoftware zum Einsatz, oder?
Ja, es gab eine beträchtliche Anzahl von Schadensprogramm- Vorfällen (232), wobei einige davon Verschlüsselungssoftware (Ransomware) betrafen. Obwohl die Zahl der Verschlüsselungssoftware-Angriffe im Vergleich zur Zahl der Betrugsversuche gering ist, ist der potenzielle Schaden weitaus grösser. In der Liste der häufigsten Vorfälle im Bereich Cybersicherheit steht Verschlüsselungssoftware inzwischen an erster Stelle, im Vergleich zum Vorjahr haben sie sich weltweit vervierfacht. Mit ein Grund dafür ist, dass Cyber-Angreifer dies zunehmend als die einfachste Möglichkeit betrachten, Geld zu verdienen. Sobald eine Verschlüsselungssoftware erstellt wurde, kann sie zur Infizierung sehr vieler Ziele verwendet werden.

Welchen Schaden kann eine solche Verschlüsselungssoftware anrichten?
Sie können eingesetzt werden, um das gesamte Netzwerk einer Organisation zu sperren und eine Zahlung im Austausch für den Entschlüsselungspass zu verlangen. Diese Verschlüsselungsangriffe fordern in der Regel sechsstellige Summen, und da die Überweisung in Bitcoin erfolgt, ist es für die Angreifer recht einfach, sie ohne Offenlegung zu waschen. Verschlüsselungsangriffe sind oft erfolgreich, weil Organisationen das geforderte Lösegeld zahlen, da sie der Ansicht sind, dass dies der einfachste Weg sei, die Funktionsfähigkeit ihres Netzwerks wiederherzustellen – obwohl die Behörden davor warnen, den Forderungen der Erpresser nachzugeben. In der Schweiz wurden dem NCSC für den Zeitraum Januar bis Juni 2020 42 Fälle von Verschlüsselungsangriffen gemeldet.

Das bekannteste Opfer in der Ostschweiz ist der Rollmaterialhersteller Stadler Rail …
… der Anfang Mai mit Verschlüsselungssoftware (Ransomware) angegriffen und mit der Drohung erpresst wurde, die während des Angriffs gestohlenen Daten zu veröffentlichen, wenn er nicht 5,8 Millionen Franken Lösegeld zahle, ja. Die bei solchen Lösegeld-Angriffen verlangten Beträge schwanken stark – zwischen Millionen von Franken und kleineren Beträgen, z. B. Tausende oder Hunderte von Franken.

In Zeiten von Corona sind mehr Menschen online unterwegs. Haben sich in dieser Zeit auch die Cyberattacken erhöht?
Auf jeden Fall; die Pandemie hat die Digitalisierung unseres Alltags stark vorangetrieben. Viele Unternehmen haben das Homeoffice-Modell eingeführt, ohne jedoch angemessene Sicherheitsmassnahmen zu implementieren. So haben sie ihre Netzwerke anfällig für Cyber-Angriffe gemacht. Angreifer waren in der Lage, anfällige Fernzugriffslösungen zu identifizieren und vorhandene Schwachstellen oder unzureichend geschützte Implementierungen von RDP-Lösungen (Remote Desktop Protocol) und VPN-Servern zu finden, um in Unternehmensnetzwerke einzudringen.

Viele Anwender benutzten zum ersten Mal Telekonferenz und Kollaborationssoftware und waren mit den von solchen Plattformen gesendeten Nachrichten nicht vertraut.
Absolut. Darüber hinaus wurden fast alle gängigen Schadensprogramme unter dem Vorwand von Covid-19 verbreitet. So haben Angreifer beispielsweise versucht, heimlich Schadenssoftware auf Computern von Nutzern zu installieren indem sie versprachen, Informationen über das Virus zur Verfügung zu stellen. Oder sie haben versucht, so Nutzer zur Preisgabe persönlicher Informationen zu verleiten. Die häufigste Art sind E-Mails mit einem bösartigen Anhang oder einem Link zu einer infizierten Website.

Und bei solchen Angriffen werden auch immer wieder «prominente» Absende-Adressen verwendet, oder?
Das ist richtig. So gab es beispielsweise im März 2020 viele Schadsoftware-E-Mails, die speziell auf die Schweiz abzielten, wobei die Abkürzung BAG als Absender verwendet wurde. Die E-Mails wurden über die kenianische Botschaft in Paris verschickt, die gehackt worden war, während die angehängte Excel-Datei einen Trojaner enthielt, der Tastatureingaben aufzeichnen und Screenshots erstellen kann. Ein weiteres Beispiel für Covid-19-Opportunismus ist die anfänglich begrenzte Verfügbarkeit von persönlicher Schutzausrüstung wie Gesichtsmasken und Desinfektionsmittel, was den Angreifern die Möglichkeit gab, mit entsprechenden Angeboten auf sich aufmerksam zu machen. Angesichts der zunehmenden Paketzustellung in diesen Zeiten wurden zudem E-Mails, die unter dem Namen von Zustellunternehmen wie DHL, Fed Ex und UPS verschickt wurden, als Mittel für Cyber-Angriffe genutzt. Es wurden sogar Kopien von offiziellen Tracing-Apps entdeckt, die mit Malware infiziert waren. In den meisten Fällen wurden diese Covid-19-Köder zur Verbreitung von Spionage- Software verwendet, die Informationen stehlen konnte.

Gibt es Unternehmen und Branchen, die öfters angegriffen werden als andere?
Angreifer bevorzugen in der Regel finanziell lohnenswerte Ziele. Es ist zudem bekannt, dass Spitäler bereits auf den Ziellisten von Cyberkriminellen standen und besonders von Verschlüsselungssoftware (Ransomware) betroffen waren. Die Pandemie hat zu einer erheblichen Zunahme von Cyberangriffen auf Einrichtungen des Gesundheitswesens und der medizinischen Forschung sowie auf medizinisches Personal und internationale öffentliche Gesundheitsorganisationen geführt.

Was muss ein Unternehmen alles machen, um seine Daten zu schützen?
Heimarbeit erhöht das Risiko von Cyberattacken, da häufig private IT-Infrastrukturen, z. B. private Computer, genutzt werden, die oft weniger gut geschützt sind als die Unternehmensinfrastrukturen. Eine der wichtigsten Aufgaben eines Unternehmens ist die Durchführung von Sicherheitskampagnen zur Information der Mitarbeiter sowie die Einrichtung von Berichtskanälen zu den IT-Sicherheitsbeauftragten des Unternehmens. Darüber hinaus müssen alle Fernzugriffe (z. B. RDP, VPN) durch Zwei-Faktor-Authentifizierung geschützt werden, während es die Verwendung von Nicht-Standard-Ports für die Verbindung den Angreifern erschwert, diese zu finden. Zudem ist es wichtig, eine Passwortpolitik einzuführen, welche die Auswahl einfacher Passwörter verhindert und nur bestimmte IP-Adressen zulässt. Darüber hinaus sollten Software-Updates installiert werden, sobald sie veröffentlicht werden, und die Sicherheitsrichtlinien sollten auf dem neuesten Stand sein. Ebenfalls ist es wichtig, die Log-Dateien auf fehlgeschlagene und erfolgreiche Anmeldungen zu überwachen.

Gibt es einen hundertprozentigen Schutz?
Fast kein Unternehmen ist in der Lage, jede Cyberattacke abzuwehren. Daher ist es wichtig, Reaktions- und Wiederherstellungsmechanismen aufzubauen, um die Auswirkungen eines Angriffs zu mildern. Unternehmen sollten über vollständige Datensicherungspraktiken verfügen und den Datenwiederherstellungsprozess testen. Es müssen konkrete Verfahren für das Risikomanagement, die Kommunikation und die Aufrechterhaltung des Geschäftsbetriebs sowie die Bestimmung der Wirksamkeit dieser Konzepte durch regelmässige Tests eingeführt werden.

Es gibt Schweizer Unternehmen, die ihre Daten im Ausland sichern, weil es oft etwas günstiger ist als in der Schweiz. Ist das eine gute Idee?
Im kürzlich veröffentlichten Bericht «Data Danger Zones» wurden über 170 Nationen nach ihren Fähigkeiten bewertet, digitale Informationen sicher, privat und geschützt aufzubewahren. Dieser internationale Benchmark untersucht ein breites Spektrum wichtiger Sicherheitsfaktoren, die von der Qualität der digitalen Infrastruktur über politische Instabilität bis hin zum potenziellen Risiko von Naturkatastrophen reichen. Sie hat die Schweiz als die am wenigsten risikobehaftete Nation für die Datenspeicherung mit einem potenziellen Risikowert von 1,6 % identifiziert, gefolgt von Singapur (mit einem Risikowert von 1,9 %) und Island (2,3 %). Die risikoreichste Nation für die Datenspeicherung ist Somalia mit einem Risikowert von 92,9 %. In jedem Fall müssen wir uns der Datenschutzbestimmungen bewusst sein, wenn sich jemand entscheidet, Daten in einem anderen Land zu speichern.

Dieser Text ist aus der LEADER Ausgabe Nov/Dez 2020. Die LEADER-Herausgeberin MetroComm AG aus St.Gallen betreibt auch east#digital.ch.

 

Newsletter