Daten auf dem Computer sind verschlüsselt und somit nicht mehr verfügbar.
Bei Verschlüsselungstrojanern (auch «Erpressungstrojaner» genannt) handelt es sich um eine bestimmte Familie von Schadsoftware, welche Dateien auf dem Computer des Opfers sowie auf verbundenen Netzlaufwerken verschlüsselt und somit für das Opfer unbrauchbar macht. Die Verbreitung erpresserischer Schadsoftware nimmt stetig zu. Einfallstor für solche Verschlüsselungstrojaner sind insbesondere schlecht gesicherte Systeme und E-Mails mit Anhängen.
Verschlüsselungstrojaner können erheblichen Schaden verursachen, insbesondere dann, wenn auch Ihre Datensicherungen (Backups) davon betroffen sind. Bleiben Sie bei einem solchen Vorfall ruhig und handeln Sie überlegt.
Hauptziele der Vorfallsbereinigung sind das Auffinden des Infektionsweges sowie das Verhindern einer neuen Infektion. Setzen Sie die betroffenen Systeme neu auf und stellen Sie Daten mit vorhandenen Backups wieder her. Falls in Ihrem Unternehmen/Ihrer Behörde die notwendigen Fachkenntnisse nicht vorhanden sind, holen Sie sich Unterstützung bei einem spezialisierten Unternehmen.
Technische Massnahmen
- Unterbrechen Sie die Internetverbindungen (Web, E-Mail sowie Fernzugriff und VPN von Standort zu Standort);
- Überprüfen Sie die Backups und schützen Sie diese sofort. Backups sollten so schnell wie möglich physisch vom infizierten Netzwerk getrennt werden («offline genommen werden»);
- Melden Sie den Vorfall bei der Kantonspolizei; Den nächsten für Ihren Standort zuständige Polizeiposten können Sie über das Portal «Suisse ePolice» suchen;
- Wenn Sie nicht über das entsprechenden Fachwissen verfügen, sollten Sie sich an einen externen Sicherheitsdienstleister (Security Incident Response Service) wenden, der Sie bei der Bewältigung des Vorfalls und der Durchführung der entsprechenden Analyse unterstützen kann;
- Das BACS rät generell von der Zahlung eines Lösegelds ab. Darüber hinaus empfiehlt Ihnen das BACS dringend, sich nicht an die Täterschaft zu wenden, sondern die weiteren Schritte mit der Polizei zu diskutieren und zu koordinieren.
Organisatorische Massnahmen
- Kommunikation / Medien: Klären Sie ab, inwiefern eine öffentliche Kommunikation sinnvoll ist. Generell empfiehlt das BACS eine proaktive Kommunikation, um Gerüchte zu vermeiden und in der Medienberichterstattung zu agieren. Die Informationen sollten transparent sein und den aktuellen Kenntnisstand wiedergeben;
- Abfluss von Informationen: Es besteht die Gefahr, dass die Täterschaft Informationen über das Unternehmen gestohlen hat und diese veröffentlicht respektive droht, diese zu veröffentlichen. Sie sollten auf dieses Szenario vorbereitet sein.
- Wenn Kundendaten gestohlen wurden, empfiehltn das BACS dringend, die betroffenen Kundinnen und Kunden proaktiv zu informieren;
- Gemäss Art. 24 revDSG des neuen Datenschutzgesetzes, das am 1. September 2023 in Kraft tritt, müssen neu Verletzungen der Datensicherheit an den EDÖB gemeldet werden, wenn für die vom Datenabfluss betroffenen Personen ein hohes Risiko einer Beeinträchtigung ihrer Persönlichkeit oder ihrer Grundrechte zur Folge haben. Die Bestimmung gilt sowohl für Privatpersonen, Unternehmen als auch für Bundesorgane. Die Meldung an den EDÖB hat so rasch wie möglich zu erfolgen. Das Meldeformular finden Sie hier: https://databreach.edoeb.admin.ch/report;
- Wenn es um personenbezogene Daten geht, muss je nach Standort des Unternehmens auch die Datenschutzgrundverordnung (DSGVO) der Europäischen Union befolgt werden.
Weiterführende Informationen finden Sie auf der Website des BACS:
Unternehmen: Ransomware – Was nun?
Behörden: Ransomware – Was nun?
- Erstellen Sie regelmässig Sicherungskopien (Backups) Ihrer Daten. Die Sicherungskopien sollten offline, das heisst auf einem externen Medium wie veispielsweise einer externen Festplatte gespeichert werden. Stellen Sie daher sicher, dass Sie das Medium, auf welchem Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer trennen. Ansonsten werden bei einem Befall durch Ransomware möglicherweise auch die Daten auf den Backup-Medien verschlüsselt und unbrauchbar;
- Oft erfolgt das Einschleusen von Verschlüsselungstrojanern über nicht geschlossene Sicherheitslücke. Installieren Sie verfügbare Aktualisierungen («Updates») für alle installierten Programme («Software») und auch für die verwendeten Geräte («Hardware) so zeitnah wie möglich. Grosse Anbieter Microsoft, Adobe usw. bieten automatische Updates an. Aktivieren Sie diese Funktion wenn immer möglich;
- Schulen Sie die Mitarbeitenden im Umgang mit E-Mails:
Sicherer Umgang mit E-Mails; - Sie können den Schutz Ihrer IT-Infrastruktur vor Schadsoftware (wie beispielsweise Ransomware) durch die Verwendung von Windows AppLocker zusätzlich stärken. Durch den Einsatz von Windows AppLocker können Sie definieren, welche Programme auf den Computer in Ihrem Unternehmen/Ihrer Behörde ausgeführt werden dürfen;
- Blockieren Sie den Empfang gefährlicher E-Mail Anhänge auf Ihrem E-Mail-Gateway. Eine ausführlichere, aktualisierte Liste finden Sie unter:
Liste blockierter Dateitypen; - Stellen Sie sicher, dass solche gefährliche E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie beispielsweise ZIP, RAR oder aber auch in verschlüsselten Archiv-Dateien (z. B. in einem passwortgeschützen ZIP) an Empfänger in Ihrem Unternehmen/Ihrer Behörde versendet werden.
- Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z. B. Word, Excel oder PowerPoint Anhänge, welche Makros enthalten).
- Unbrauchbarmachen von Daten auf dem Computer
- Finanzieller Schaden bei Bezahlung des Lösegeldes
- Existentielle Bedrohung von Firmen/Behörden, wenn ebenfalls das Backup verschlüsselt wurde.
- Weiterführende Informationen finden Sie auf unserer Webseite:
Unternehmen: Ransomware – Was nun?
Behörden: Ransomware – Was nun?
Letzte Änderung 09.12.2020