"Die Früherkennung von Bedrohungen wird immer schwieriger"

Von 25. Mai 2022 um 10:53
image
Pascal Lamia, Leiter Operative Cybersicherheit im NCSC und Stellvertreter des Delegierter des Bundes für Cybersicherheit. Foto: eGovernment Forum

Pascal Lamia, Leiter der operativen Cybersicherheit im NCSC, erklärt im Interview, warum die Schweiz für Cyberkriminelle attraktiv ist. Und wie er die Bedrohung des Gesundheitssektors einschätzt.

Pascal Lamia ist der operative Leiter des Nationale Zentrums für Cybersicherheit (NCSC) in Bern. Im 1. Teil des Interviews äusserte er sich zur Entwicklung der Lage, dem Krieg in der Ukraine und zu einer Meldepflicht für Cybervorfälle. Nun tauchen wir tiefer in die Bedrohungslage ein und besprechen, was das NCSC im Falle eines erfolgreichen Cyberangriffs unternimmt.
Ist die Schweiz besonders attraktiv für Cyberkriminelle?
Wir beobachten eine gründliche Vorbereitung der Banden. Diese wissen genau, dass die Schweiz gut funktionierende KMU hat, und sie kennen ihre Opfer gut. Sie schauen etwa die Geschäftszahlen an, um die Höhe der Lösegeldforderung zu bestimmen. Auch sind sie oft darüber informiert, wenn Firmen eine Cyberversicherung haben, die bezahlen würde. Für die Banden sind Ziele generell attraktiv, bei denen sie mit Lösegeld rechnen können.
Das französische Amt für Cybersecurity hat sich für ein Zahlungsverbot von Lösegeld seitens Cyberversicherungen ausgesprochen oder zumindest eine strenge Regulierung gefordert. Ist das sinnvoll?
Auch das NCSC rät von einer Lösegeldzahlung ab. Man sollte den Forderungen der Kriminellen nicht nachkommen, sondern vorher die notwendigen Massnahmen treffen, wie Backups erstellen, regelmässige Updates vornehmen und auch das Business Continuity Management ist genau festzulegen. Aber ich kann verstehen, wenn eine Firma bei einem Betriebsunterbruch und drohendem Konkurs das Lösegeld bezahlt. Man sollte allerdings mindestens die Strafverfolgung einschalten und das NCSC informieren.
Wie gross ist die Gefahr, dass kritische Infrastruktur lahmgelegt wird?
Der Versorgungsbereich – etwa im Energiesektor – hat die operativen Systeme gut abgeschottet. Parallel dazu laufen aber Büroautomationsumgebungen und deren Server, auf denen die Betreiber kritischer Infrastruktur gleich verwundbar sind wie andere Unternehmen. Das birgt Probleme: Auch wenn die operativen Systeme laufen, müssen die Leistungen je nach dem auch unterbrochen werden, wenn diese nicht verrechnet werden können. Das war etwa beim verheerenden Angriff auf Colonial Pipeline der Fall, in dessen Folge im Frühling 2021 Teile der USA mit Benzinknappheit zu kämpfen hatten.
Gibt es einen Bereich kritischer Infrastrukturen, der ihnen besonders Sorgen macht?
Aus meiner Sicht gibt es im Gesundheitssektor Nachholbedarf: von den Spitälern über die Labore bis zu den Arztpraxen. Hier arbeitet man mit besonders sensiblen Daten, da kann ein Vorfall gravierende Folgen haben. So ist die Bevölkerung rasch verunsichert und besorgt, wenn etwa Krankengeschichten geleakt werden. Vor allem aber wird es zum grossen Problem, wenn Ärzte nicht mehr mit elektronischen Daten arbeiten können, um ihre Patienten zu versorgen und die Behandlung zu dokumentieren.
Ersteres ist mit dem grossen Leak bei Neuenburger Arztpraxen Realität geworden. Zweiteres in einem deutschen Spital, dort musste nach einem Ransomware-Angriff sogar der Notfall-Betrieb eingestellt werden.
Ja, in Düsseldorf mussten sogar Patienten verlegt werden. Zudem mussten Eingriffe abgesagt werden, weil Operationspläne nicht mehr vorhanden waren.
Was unternehmen Sie, wenn es dann tatsächlich für eine Firma zu spät ist?
Unser primärer Fokus ist Prävention: Die Früherkennung von Bedrohungen, was aber immer schwieriger wird. Bei Vorfällen bieten wir dann Unterstützung für die Opfer, ohne die Privatwirtschaft zu konkurrenzieren. Wir analysieren zum Beispiel einen Vorfall und sorgen für den Kontakt zur zuständigen Kantonspolizei, ziehen uns aber zurück, wenn eine Firma den Fall selbständig oder mit professioneller externer Hilfe weiterführen kann. Man kann das mit einem Brand vergleichen: Die Feuerwehr löscht zwar das Feuer, aber den Wiederaufbau des Hauses übernimmt eine private Firma.
Wann folgt die Übergabe an einen privaten Security-Dienstleister?
Wenn wir eine Meldung erhalten, leisten wir manchmal remote per Telefon erste Unterstützung. Meist ist es aber besser, vor Ort zu sein und technische Sofortmassnahme einzuleiten sowie Netzwerk-Daten zu analysieren. Darauf basierend geben wir dann Empfehlungen ab: Wenn noch nicht das gesamte System betroffen ist, gilt es, die IT-Infrastruktur komplett vom Internet abzuschotten, um alle Daten zu analysieren. Danach muss eine Firma aber selbst ihre Server neu aufzusetzen oder die betroffenen Clients identifizieren. Falls sie das nicht kann, muss sie mit dem Hersteller Kontakt aufnehmen. Meist bestehen dafür Verträge, grössere KMU besitzen zudem oft Vereinbarungen mit Sicherheitsfirmen, die Hilfe leisten können.
Helfen auch Sie persönlich?
Wir instruieren die externen Partner meistens und empfehlen weitere Schritte, danach ziehen wir uns zurück. Als Leiter der operativen Cybersicherheit im NCSC nehme ich öfters nach einigen Tagen nochmals Kontakt mit der betreffenden Geschäftsleitung auf und zeige die Lage auf. Firmen sind fast immer froh um die Ratschläge. Als neutrale Stelle zeigen wir ihnen auch auf, dass mit den oftmals hohen Kosten nur für die Bewältigung des Vorfalls noch nicht alles getan ist, sondern dass danach weitere Arbeiten und Kosten anstehen, um eine saubere Basis zu schaffen und die Grundsicherheit wiederherzustellen.
Laut Studien werden fast 80% der Ransomware-Opfer, die Lösegeld bezahlen, später nochmals angegriffen. Möglicherweise sogar von denselben Banden. Passiert das, weil diese nach wie vor im System drin sind oder versuchen sie es einfach nochmal?
Wenn man Lösegeld bezahlt, um weiterarbeiten zu können, stecken die Angreifer garantiert noch irgendwo im System. Säubert man nicht genau, dann ist das wie ein Jahresabonnement für die Kriminellen. Oftmals sind sie auch über verwundbare Server ins System eingedrungen. Diese Schwachstellen kennen auch andere Hackergruppen. Wenn diese vom erfolgreichen Angriff erfahren, versuchen sie es beim selben Unternehmen.
Was würden Sie Firmen mit wenig IT-Know-how empfehlen?
Man muss auf Stufe Geschäftsleitung aktiv werden. Diese sollte sich bewusst sein, welche Informationen und Daten ihre Firma hält. Und sie sollte sich fragen: Was passiert, wenn Daten weg sind oder gar geleakt werden? Auch wenn es Kosten verursacht, sollte eine Firma ihre IT-Sicherheit nicht selbst zurechtbauen, wenn sie das Know-how nicht besitzt. In einem solchen Fall kann man einen externen Dienstleister beiziehen. Denn wenn etwas passiert, wird es teuer, selbst wenn man die kaum messbaren Image-Schäden nicht in die Rechnung einbezieht.
Am nächsten Mittwoch, 1. Juni, erscheint der nächste Artikel unserer Ransomware-Reihe. Dort äussern sich Schweizer Opfer von Angriffen und bieten einen Einblick in Massnahmen und Schäden.
Dieses Interview gehört zu unserer Artikelserie "Ransomware-Report Schweiz". Bereits erschienen:
Teil 1 Ransomware-Report: Vom Helpdesk bis zur PR-Abteilung der Cyberkriminellen Wann der Ransomware-Trend entstand und wie die Banden organisiert sind. Die grossen Gruppen haben auch die kleine Schweiz verstärkt im Visier.
Teil 2 "Die Ransomware-Banden müssen ihre Kriegskassen wieder füllen" Pascal Lamia (NCSC) über die Bedrohungslage in der Schweiz und warum er eine Meldepflicht für sinnvoll hält.
Übersicht Schweizer Angriffe April 2021 bis Mai 2022 Eine Übersicht aller Artikel, die inside-it.ch innerhalb eines Jahres zu Ransomware-Angriffen in der Schweiz und in Liechtenstein veröffentlicht hat.


Loading

Mehr zum Thema

image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024
image

Deutscher Verfassungsschutz warnt vor IT-Fachkräften aus Nordkorea

Die Behörde schreibt, die Arbeiter würden ihre Herkunft verschleiern und gestohlene Identitäten nutzen, um Aufträge zu erhalten.

publiziert am 1.10.2024
image

EU-Datenschützer büssen Meta mit 91 Millionen Euro

Der Social-Media-Konzern speicherte Passwörter im Klartext. Nach einer Untersuchung der irischen Datenschutzbehörde wird Meta gebüsst.

publiziert am 30.9.2024
image

Zürcher Finanzhaus von Ransomware-Gruppe Play angegriffen

Nach einem Datenklau sind Bundes­anwalt­schaft und Finanz­markt­aufsicht Finma aktiv.

publiziert am 27.9.2024