"Die Früherkennung von Bedrohungen wird immer schwieriger"

Von 25. Mai 2022, 10:53
image
Pascal Lamia, Leiter Operative Cybersicherheit im NCSC und Stellvertreter des Delegierter des Bundes für Cybersicherheit. Foto: eGovernment Forum

Pascal Lamia, Leiter der operativen Cybersicherheit im NCSC, erklärt im Interview, warum die Schweiz für Cyberkriminelle attraktiv ist. Und wie er die Bedrohung des Gesundheitssektors einschätzt.

Pascal Lamia ist der operative Leiter des Nationale Zentrums für Cybersicherheit (NCSC) in Bern. Im 1. Teil des Interviews äusserte er sich zur Entwicklung der Lage, dem Krieg in der Ukraine und zu einer Meldepflicht für Cybervorfälle. Nun tauchen wir tiefer in die Bedrohungslage ein und besprechen, was das NCSC im Falle eines erfolgreichen Cyberangriffs unternimmt.
Ist die Schweiz besonders attraktiv für Cyberkriminelle?
Wir beobachten eine gründliche Vorbereitung der Banden. Diese wissen genau, dass die Schweiz gut funktionierende KMU hat, und sie kennen ihre Opfer gut. Sie schauen etwa die Geschäftszahlen an, um die Höhe der Lösegeldforderung zu bestimmen. Auch sind sie oft darüber informiert, wenn Firmen eine Cyberversicherung haben, die bezahlen würde. Für die Banden sind Ziele generell attraktiv, bei denen sie mit Lösegeld rechnen können.
Das französische Amt für Cybersecurity hat sich für ein Zahlungsverbot von Lösegeld seitens Cyberversicherungen ausgesprochen oder zumindest eine strenge Regulierung gefordert. Ist das sinnvoll?
Auch das NCSC rät von einer Lösegeldzahlung ab. Man sollte den Forderungen der Kriminellen nicht nachkommen, sondern vorher die notwendigen Massnahmen treffen, wie Backups erstellen, regelmässige Updates vornehmen und auch das Business Continuity Management ist genau festzulegen. Aber ich kann verstehen, wenn eine Firma bei einem Betriebsunterbruch und drohendem Konkurs das Lösegeld bezahlt. Man sollte allerdings mindestens die Strafverfolgung einschalten und das NCSC informieren.
Wie gross ist die Gefahr, dass kritische Infrastruktur lahmgelegt wird?
Der Versorgungsbereich – etwa im Energiesektor – hat die operativen Systeme gut abgeschottet. Parallel dazu laufen aber Büroautomationsumgebungen und deren Server, auf denen die Betreiber kritischer Infrastruktur gleich verwundbar sind wie andere Unternehmen. Das birgt Probleme: Auch wenn die operativen Systeme laufen, müssen die Leistungen je nach dem auch unterbrochen werden, wenn diese nicht verrechnet werden können. Das war etwa beim verheerenden Angriff auf Colonial Pipeline der Fall, in dessen Folge im Frühling 2021 Teile der USA mit Benzinknappheit zu kämpfen hatten.
Gibt es einen Bereich kritischer Infrastrukturen, der ihnen besonders Sorgen macht?
Aus meiner Sicht gibt es im Gesundheitssektor Nachholbedarf: von den Spitälern über die Labore bis zu den Arztpraxen. Hier arbeitet man mit besonders sensiblen Daten, da kann ein Vorfall gravierende Folgen haben. So ist die Bevölkerung rasch verunsichert und besorgt, wenn etwa Krankengeschichten geleakt werden. Vor allem aber wird es zum grossen Problem, wenn Ärzte nicht mehr mit elektronischen Daten arbeiten können, um ihre Patienten zu versorgen und die Behandlung zu dokumentieren.
Ersteres ist mit dem grossen Leak bei Neuenburger Arztpraxen Realität geworden. Zweiteres in einem deutschen Spital, dort musste nach einem Ransomware-Angriff sogar der Notfall-Betrieb eingestellt werden.
Ja, in Düsseldorf mussten sogar Patienten verlegt werden. Zudem mussten Eingriffe abgesagt werden, weil Operationspläne nicht mehr vorhanden waren.
Was unternehmen Sie, wenn es dann tatsächlich für eine Firma zu spät ist?
Unser primärer Fokus ist Prävention: Die Früherkennung von Bedrohungen, was aber immer schwieriger wird. Bei Vorfällen bieten wir dann Unterstützung für die Opfer, ohne die Privatwirtschaft zu konkurrenzieren. Wir analysieren zum Beispiel einen Vorfall und sorgen für den Kontakt zur zuständigen Kantonspolizei, ziehen uns aber zurück, wenn eine Firma den Fall selbständig oder mit professioneller externer Hilfe weiterführen kann. Man kann das mit einem Brand vergleichen: Die Feuerwehr löscht zwar das Feuer, aber den Wiederaufbau des Hauses übernimmt eine private Firma.
Wann folgt die Übergabe an einen privaten Security-Dienstleister?
Wenn wir eine Meldung erhalten, leisten wir manchmal remote per Telefon erste Unterstützung. Meist ist es aber besser, vor Ort zu sein und technische Sofortmassnahme einzuleiten sowie Netzwerk-Daten zu analysieren. Darauf basierend geben wir dann Empfehlungen ab: Wenn noch nicht das gesamte System betroffen ist, gilt es, die IT-Infrastruktur komplett vom Internet abzuschotten, um alle Daten zu analysieren. Danach muss eine Firma aber selbst ihre Server neu aufzusetzen oder die betroffenen Clients identifizieren. Falls sie das nicht kann, muss sie mit dem Hersteller Kontakt aufnehmen. Meist bestehen dafür Verträge, grössere KMU besitzen zudem oft Vereinbarungen mit Sicherheitsfirmen, die Hilfe leisten können.
Helfen auch Sie persönlich?
Wir instruieren die externen Partner meistens und empfehlen weitere Schritte, danach ziehen wir uns zurück. Als Leiter der operativen Cybersicherheit im NCSC nehme ich öfters nach einigen Tagen nochmals Kontakt mit der betreffenden Geschäftsleitung auf und zeige die Lage auf. Firmen sind fast immer froh um die Ratschläge. Als neutrale Stelle zeigen wir ihnen auch auf, dass mit den oftmals hohen Kosten nur für die Bewältigung des Vorfalls noch nicht alles getan ist, sondern dass danach weitere Arbeiten und Kosten anstehen, um eine saubere Basis zu schaffen und die Grundsicherheit wiederherzustellen.
Laut Studien werden fast 80% der Ransomware-Opfer, die Lösegeld bezahlen, später nochmals angegriffen. Möglicherweise sogar von denselben Banden. Passiert das, weil diese nach wie vor im System drin sind oder versuchen sie es einfach nochmal?
Wenn man Lösegeld bezahlt, um weiterarbeiten zu können, stecken die Angreifer garantiert noch irgendwo im System. Säubert man nicht genau, dann ist das wie ein Jahresabonnement für die Kriminellen. Oftmals sind sie auch über verwundbare Server ins System eingedrungen. Diese Schwachstellen kennen auch andere Hackergruppen. Wenn diese vom erfolgreichen Angriff erfahren, versuchen sie es beim selben Unternehmen.
Was würden Sie Firmen mit wenig IT-Know-how empfehlen?
Man muss auf Stufe Geschäftsleitung aktiv werden. Diese sollte sich bewusst sein,, welche Informationen und Daten ihre Firma hält. Und sie sollte sich fragen: Was passiert, wenn Daten weg sind oder gar geleakt werden? Auch wenn es Kosten verursacht, sollte eine Firma ihre IT-Sicherheit nicht selbst zurechtbauen, wenn sie das Know-how nicht besitzt. In einem solchen Fall kann man einen externen Dienstleister beiziehen. Denn wenn etwas passiert, wird es teuer, selbst wenn man die kaum messbaren Image-Schäden nicht in die Rechnung einbezieht.
Am nächsten Mittwoch, 1. Juni, erscheint der nächste Artikel unserer Ransomware-Reihe. Dort äussern sich Schweizer Opfer von Angriffen und bieten einen Einblick in Massnahmen und Schäden.
Dieses Interview gehört zu unserer Artikelserie "Ransomware-Report Schweiz". Bereits erschienen:
Teil 1 Ransomware-Report: Vom Helpdesk bis zur PR-Abteilung der Cyberkriminellen Wann der Ransomware-Trend entstand und wie die Banden organisiert sind. Die grossen Gruppen haben auch die kleine Schweiz verstärkt im Visier.
Teil 2 "Die Ransomware-Banden müssen ihre Kriegskassen wieder füllen" Pascal Lamia (NCSC) über die Bedrohungslage in der Schweiz und warum er eine Meldepflicht für sinnvoll hält.
Übersicht Schweizer Angriffe April 2021 bis Mai 2022 Eine Übersicht aller Artikel, die inside-it.ch innerhalb eines Jahres zu Ransomware-Angriffen in der Schweiz und in Liechtenstein veröffentlicht hat.


Loading

Mehr zum Thema

image

Die Schatten-IT ins Licht setzen

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.

image

Jetzt hat ein grosser Krypto-Hack Harmony getroffen

Hacker haben Coins im Wert von rund 100 Millionen Dollar aus einem Schlüsselprodukt der US-Kryptofirma gestohlen.

publiziert am 24.6.2022
image

NCSC mahnt: Bitte keine Privatgeräte im Homeoffice

Der Zugriff aufs Firmennetzwerk mit privaten Geräten ist mit erheblichen Risiken verbunden. Das zeigt ein aktueller Ransomware-Angriff.

publiziert am 24.6.2022 6
image

Bericht zeigt russische Cyber­aktivitäten seit Kriegs­beginn

Mit dem russischen Angriffskrieg gehen massive Cyber­kampagnen einher. Diese betreffen die Ukraine, aber auch weitere Länder, darunter die Schweiz, zeigt ein Report.

publiziert am 23.6.2022