22.05.2023 - In den vergangenen Wochen haben Medien vermehrt über Ransomware-Angriffe gegen Schweizer Unternehmen berichtet, bei welchen Unternehmensdaten entwendet und verschlüsselt wurden. Dabei wurden auch Daten der betroffenen Unternehmen im «Dark Web» veröffentlicht. Mit Umsetzung der Grundschutzmassnahmen kann viel zur Cybersicherheit beigetragen werden. Daher weisst das NCSC noch einmal mit Nachdruck auf die bereits seit Jahren geltenden «Best Practices» in Bezug auf Cyberbedrohungen durch Ransomware hin und fordert Unternehmen dazu auf, diese rigoros durchzusetzen. Denn verschiedene Ransomware-Banden sind sehr aktiv und greifen Unternehmen in der Schweiz an.
Was ist passiert?
Verschiedene Firmen gingen in den letzten Wochen an die Öffentlichkeit und bestätigten, dass sie von Cyberkriminellen durch Verschlüsselungstrojaner (sogenannte «Ransomware») erfolgreich angegriffen und verschlüsselt wurden. Die Angriffe wurden von verschiedenen Ransomware-Banden unabhängig voneinander ausgeführt. Die Unternehmen sind der Lösegeldforderung nicht nachgekommen und so wurden die, bei den betroffenen Unternehmen, gestohlenen Daten im «Dark Web» veröffentlicht. Diese sehr komplexen Attacken, liessen sich mit den richtigen Schutzmassnahmen relativ einfach verhindern.
Wie gehen die Cyberkriminellen vor?
Das Motiv der Angreifer ist in der Regel finanzieller Natur. Daher versuchen sie mit geringem Aufwand an ihr Ziel zu gelangen. Ungeschützte Systeme oder Schwachstellen sind häufig das Einfallstor für erfolgreiche Angriffe. Oftmals verfolgen die Cyberkriminellen dabei eine «Double-Extortion»-Strategie. Dabei werden vor der Verschlüsselung die Unternehmensdaten durch die Cyberkriminellen kopiert und aus dem Unternehmensnetzwerk herunterladen. Danach werden die Daten auf den Datenträgern des betroffenen Unternehmens verschlüsselt. Für die Entschlüsselung der Daten stellen die Cyberkriminellen eine Lösegeldforderung. Weigert sich das Unternehmen der Lösegeldforderung nachzukommen, wird dieses mit der Veröffentlichung der gestohlenen Daten erpresst. Dabei werden nicht selten Lösegeldforderung in Millionenhöhe gestellt, welche sich nach den Umsatzzahlen des betroffenen Unternehmens richten. Das NCSC rät jedoch von einer solchen Lösegeldzahlung ab, da sich so das Geschäftsmodell der Cyberkriminellen lohnt und die nötige Infrastruktur der Cyberkriminellen finanziert wird.
Wie kann sich ein Unternehmen vor Ransomware schützen?
Mit den richtigen Schutzmassnahmen lässt sich das Risiko von einem erfolgreichen Cyberangriff stark minimieren. Aus diesem Grund warnt das NCSC immer wieder vor den erhöhten Sicherheitsrisiken durch Ransomware. Dennoch setzen viele Schweizer Unternehmen diese nicht oder nur teilweise um. Dies führt nicht nur zu einer sehr hohen Risikoexposition der Unternehmen, sondern auch dazu, dass immer wieder Schweizer Unternehmen Opfer von Ransomware werden und deren Daten aber auch solche von Mitarbeitenden oder Kunden im Internet veröffentlicht werden.
Das NCSC weist daher erneut mit Nachdruck auf die bereits 2020 veröffentlichten Empfehlungen betreffend Ransomware hin und fordert alle Schweizer Unternehmen auf, diese zeitnah umzusetzen.
Absicherung von Fernzugängen:
Alle Fernzugänge wie VPN, RDP, Citrix, usw. sowie sämtliche andere Zugänge auf interne Ressourcen (z. B. Webmail, Sharepoint, usw.) müssen zwingend und konsequent mit einem zweiten Faktor abgesichert werden (Zwei-Faktor-Authentisierung – 2FA). Dies gilt auch für Zugänge von Beispielsweise Lieferanten, Vertragspartner oder Student/innen.
Patch- und Lifecycle-Management:
Sämtliche Systeme müssen konsequent und zeitnah mit Sicherheitsaktualisierungen (Updates) versorgt werden. Updates, welche kritische Sicherheitslücken in über das Internet erreichbare Systeme beheben, müssen innerhalb 24 Stunden eingespielt werden. Software oder Systeme, welche vom Hersteller nicht mehr unterstützt werden («End of Life» - EOL) müssen abgeschaltet oder in eine separate, abgeschottete Netzzone verlegt werden.
Offline-Backups:
Erstellen Sie regelmässig Sicherungskopien (Backups) Ihrer Daten. Nutzen Sie dabei das Generationenprinzip (täglich, wöchentlich, monatlich - mindestens 2 Generationen). Stellen Sie jeweils sicher, dass Sie das Medium, auf welchem Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer bzw. Netzwerk physisch trennen und sicher aufbewahren oder verwenden Sie WORM-Speichermedien.
Weiterführende Links
Letzte Änderung 22.05.2023