Der Begriff Ransomware bezeichnet Informatikprogramme, mit denen Daten sozusagen als Geisel genommen werden, um für deren Rückgabe Lösegeld zu fordern. Inwiefern sind KMU davon bedroht und wie kann man sich schützen? Ein Interview mit Mathieu Simonin, der für die Meldestelle des Bundes MELANI als Analyst arbeitet.
In der Melde- und Analysestelle Informationssicherung MELANI arbeiten Partner zusammen, die im Umfeld der Sicherheit von Computersystemen und des Internets sowie des Schutzes der kritischen Infrastruktur tätig sind.
Sie hat eine Website, die sich an private Computer- und Internetnutzer sowie an die kleinen und mittleren Unternehmen in der Schweiz richtet. Wenn man Opfer eines Angriffs wurde, kann man dies auf der Website über ein Online-Formular melden. Damit haben die Teams des Bundes ein wichtiges Tool, um die Intensität eines neuen Angriffs messen zu können.
Was ist Ransomware?
Mathieu Simonin: Diese auch als Verschlüsselungstrojaner bekannten Programme sind ein bestimmter Typ von Schadsoftware (Malware), der die Daten eines Unternehmens oder von Privatpersonen mittels Verschlüsselung unzugänglich macht. Das Ziel ist, als Gegenleistung für die Entschlüsselung dieser Daten Geld zu erpressen. 2013 wurde in der Schweiz erstmals ein erheblicher Schaden durch ein solches Programm verursacht, das den Namen Cryptolocker trug. Seit einigen Jahren verbreitet sich das Phänomen immer schneller.
Kann man ungefähr sagen, wie viele Unternehmen davon betroffen sind?
MS: Es gibt keine aussagekräftigen Statistiken zu diesem Thema. Wir werden darüber informiert, wenn die Unternehmen es uns melden. Das tun aber nicht alle und sie erstatten auch nicht immer Strafanzeige: In der Schweiz ist es nicht obligatorisch, einen solchen Vorfall zu melden. Wir nehmen an, dass die Dunkelziffer sehr hoch ist. Für die Cyberkriminellen, die sich über die Jahre zu sehr dynamischen Gruppen mit effizienten Methoden entwickelt haben, ist das ein breiter und sehr einträglicher Markt.
Wie kann es passieren, dass bestimmte KMU angegriffen werden?
MS: Potenziell kann jedes Gerät infiziert werden und die Zahl der Opfer ist unbegrenzt. Wenn man ein Unternehmen ins Visier nimmt, geht es aber meist um viel mehr Geld als bei dem Angriff auf eine Privatperson.
Darüber hinaus sind nicht alle KMU ausreichend sensibilisiert und nicht alle haben etablierte Verfahren im Bereich Risikomanagement. Innerhalb des Unternehmens sind einige Stellen besonders gefährdet, zum Beispiel die Personalabteilung, wo häufig Mails mit Anhängen von unbekannten Absendern eingehen. Ransomware funktioniert häufig über E-Mails mit einem Anhang, der eine Malware auf dem Gerät installiert, beispielsweise Makros in Office-Dokumenten.
Wie läuft denn die Infektion eines Computers konkret ab?
MS: Es gibt mehrere Möglichkeiten. Die Infektion per E-Mail, die ich gerade erklärt habe, ist die meistverbreitete Methode. Eine andere Möglichkeit besteht darin, eine Website zu hacken und so zu manipulieren, dass man sich bei einem einfachen Besuch der Seite infiziert. Meistens nutzt es die Malware bei ihrer Installation auf dem Rechner aus, wenn eine Software nicht auf dem aktuellsten Stand ist. Und es gibt auch Ransomware, die auf Remote-Access-Protokolle abzielt, welche nicht ausreichend geschützt sind.
Was macht man bei einem Befall? Sollte man das Lösegeld zahlen oder nicht?
MS: Wir raten von einer Lösegeldzahlung ab, denn die Zahlungen der Opfer werden benötigt, um das Business der Cyberkriminellen zu entwickeln und zu verbessern.
Die geforderte Lösegeldsumme ist je nach Zielgruppe unterschiedlich hoch, einige Hacker verlangen sehr viel und geben Spielraum für Verhandlungen. Ausserdem ist die Wiederherstellung der Daten mit der Zahlung nicht garantiert. Manchmal geht die Erpressung dann weiter.
Wenn Sie den Befall bemerken – weil der Zugang zu bestimmten Daten gesperrt ist und/oder Sie eine Lösegeldforderung erhalten – müssen Sie auf jeden Fall Ihren Rechner vom System und vom Netzwerk trennen, damit sich die Ransomware nicht weiter ausbreitet. Wir empfehlen, das System anschliessend neu zu installieren. Danach müssen die Daten mit Hilfe der extern gespeicherten Sicherheitskopien wiederhergestellt werden.
Sollte man als Unternehmen, um sich zu schützen, eher auf technische Massnahmen setzen oder auf eine bessere Schulung der Mitarbeitenden?
MS: Das eine geht nicht ohne das andere. Klar ist, dass gut geschulte Mitarbeiter, die sich das Thema Sicherheit zu Herzen nehmen, die wirksamste Verteidigungslinie bilden. Im Unternehmen muss eine Sicherheitskultur herrschen. In vielen Fällen funktioniert Ransomware aus dem einfachen Grund, dass sich einige Nutzer nicht über die fatale Tragweite ihrer Handlungen im Klaren sind. Ein gut geschulter Mitarbeiter kann auch eine verdächtige E-Mail eher erkennen und so verhindern, dass etwas passiert.
In technischer Hinsicht müssen Backups auf einem externen Datenträger gespeichert werden, der ausschliesslich für diesen Vorgang mit dem System verbunden wird. Wenn möglich, sollte in einem KMU der IT-Verantwortliche das Risikomanagement übernehmen. Es ist auch wichtig, dass Cybersicherheit im Management Beachtung findet, das Best Practices auf den Weg bringen muss.
Was sind diese Best Practices?
MS: Man braucht eine Strategie gegen die Gefahren, die mit der Nutzung von IT-Geräten verbunden sind. Diese baut man in mehreren Schritten auf: Zunächst einmal muss man seine Systeme und Daten kennen und wissen, welchen Wert sie jeweils haben. Eine Frage, die sich jeder Firmenchef stellen sollte, ist, welche Abhängigkeiten zwischen den Prozessen und der Informatik bestehen, und was es kosten würde, wenn das System gesperrt wäre.
Dann muss man diese Risiken innerhalb der Belegschaft thematisieren und eventuell Tests durchführen um zu prüfen, ob alles verstanden wurde. Notwendig ist zudem, Verfahren einzuführen, mit denen sich die Vorfälle zurückverfolgen und behandeln lassen. Schliesslich muss man feststellen, wer im Unternehmen befugt ist, Zahlungen auszuführen, und prüfen, wie man sie schützen kann, oder zum Beispiel Kollektivunterschriften einführen.
