Mehrere zentralschweizer Firmen beklagten in der letzten Zeit vermehrt Angriffe von Cyberkriminellen. Auf zentralplus hat sich Marc Ruef mit Kilian Küttel über diverse Aspekte der Internetkrminalität ausgetauscht und erklärt im Gespräch, wieso Unternehmen und Privatpersonen nie auf die Forderung von Internetkriminellen eingehen sollten. Abschliessend zeigt er auch auf, dass viele Firmen nach wie vor IT-Risiken unterschätzen und sich deren Langzeitfolgen nur bedingt bewusst sind. Denn wer nach digitaler Transformation strebt, muss auch entsprechend in Cybersicherheit investieren.

In letzter Zeit wurden sechs kleinere und mittlere Betriebe aus der Zentralschweiz Opfer von Ransomwareattacken der Gruppierung Lockbit 3.0. Ist es erstaunlich, dass die Gruppierung auch KMU und nicht nur grosse Firmen/Institutionen angreift?

Nein, diese Gruppierungen verfolgen ein konkretes Geschäftsmodell. Und solange sie damit Gewinne einfahren können, werden sie es tun.

Kann man also sagen, dass jede und jeder Opfer insbesondere eines Ransomware-Angriffs werden kann?

Ja. Wie bei jedem wirtschaftlich geführten Unternehmen wägen die Angreifer ihren Aufwand und Ertrag ab. Offensichtlich gibt es keinen Grund für sie, da nicht auch kleinere Unternehmen anzugreifen.

Gilt das nur für Unternehmen oder auch für Privatpersonen? Bin ich als Einzelperson interessant für Hacker, damit diese meine privaten Dateien verschlüsseln und Lösegeld erpressen?

Die Beschaffenheit des Opfers hat massgeblich Einfluss darauf, wie aufwändig und erfolgreich der Erpressungsversuch ablaufen kann. Bei einer Privatperson wird es eher schwierig, einen fünfstelligen Betrag zu erpressen. Bei Unternehmen, gerade wenn diese innert kürzester Zeit auf die Daten angewiesen sind, funktioniert das dann schon besser. Das macht Privatpersonen weniger attraktiv, schützt sie aber in keinster Weise vor entsprechenden Angriffsversuchen.

Ist es Zufall, dass gleich mehrere Zentralschweizer Firmen Opfer derselben Hackergruppe wurden? Kann man daraus irgendwelche Schlüsse über Verbindungen herleiten (etwa der Herkunft der Täter oder aber, dass man Dank der Daten einer Firma auf die nächste gekommen ist?)

Es gibt Gruppierungen, die sich auf Regionen und Branchen fokussieren. Hier ist es aber wohl eher Zufall. Die betroffenen Unternehmen waren wahrscheinlich verhältnismässig einfach und unkompliziert angreifbar. Ziemlich sicher nutzen die Angreifer ein Skript, das automatisiert nach verwundbaren Systemen Ausschau hält. Es ist davon auszugehen, dass bei den Opfern irgendeine technische Gemeinsamkeit gefunden werden kann.

Ausser bei Lockbit und Play bin ich bei Cl0P^ auf Schweizer Opfer gestossen. Können Sie sagen, wieso Schweizer Institutionen interessant für Hacker sind? Sind Schweizer Firmen verglichen mit anderen Herkunftsländern attraktiver für Hacker? Falls ja, wieso (ich könnte mir vorstellen, dass das Bild der reichen Schweiz auch in den Köpfen von Hackern ist)?

Es gibt da selbstverständlich kulturelle Unterschiede in Bezug auf den Umgang mit derlei Erpressungen. Und auch Bruttoinlandprodukt bzw. Kaufkraft können entscheidend sein, warum sich Täter auf gewisse Ziele fokussieren. Die Datenlage ist aber zu gering, als dass man konkrete Trends skizzieren könnte.

Was raten Sie betroffenen Unternehmern, wenn Sie von einem Angriff Kenntnis erhalten (externe Unterstützung, Anzeige, Lösegeld zahlen)?

Von der Zahlung eines Lösegelds wird abgeraten, um sich als Opfer nicht attraktiv zu machen und das kriminelle Geschäftsmodell nicht zu bestätigen. Professionelle Hilfe sollte beigezogen werden, um das Problem technisch zu lösen und etwaige Verhandlungen mit der Täterschaft zu führen. Betroffene tendieren dazu derlei Angelegenheiten selbst stemmen zu wollen. Davon ist abzuraten, da man sehr viele verheerende Fehler machen kann.

Kann man sich gegen Hackerattacken wehren? Wenn ja, welche Ratschläge können Sie Unternehmern geben?

Es gilt darum bemüht zu sein, kein attraktives Ziel zu werden. Proaktive Massnahmen wie das Aktualisieren von Software-Komponenten, Patching, Hardening, Firewalling, Netzwerksegmentierung und Antiviren-Lösungen sind seit Jahrzehnten bekannt und bewährt. Dadurch kann die Angriffsfläche und damit das Risiko minimiert werden.

Kann man sagen, wie viel man als KMU etwa zu investieren hat, um seine IT verlässlich zu schützen? Bzw. könnte es auch sein, dass sich KMUler diese Kosten sparen wollen, da sie glauben, es sei nicht nötig – was im Fall der Fälle dann sehr teuer werden kann.

Eine pauschale Aussage zu den Investitionskosten zu Cybersecurity für ein KMU ist nicht möglich: Da unterscheiden sich Branchen, Anforderungen und Bedürfnisse zu sehr.

Leider werden IT-Risiken gerne unterschätzt. Man denkt oder hofft, dass es einem schon nicht erwischen wird. Das ist halt dann wie bei einem Pokerspiel: Wer “All-In” geht, darf sich nicht beklagen, wenn er alles verliert. Wer A sagt, muss auch B sagen. Wer die digitale Transformation will, muss auch das Thema Cybersecurity mitberücksichtigen.

Links

• https://www.reddit.com/r/Malware/comments/11gy7h1/list_of_ransomware_groups_and_their_pr_pages_2023/
• https://www.zentralplus.ch/technologie-digitales/hacker-haben-zentralschweizer-firmen-im-visier-2599559/

Tags