"Die Ransomware-Banden müssen ihre Kriegskassen wieder füllen"
Von 24. Mai 2022 um 08:00Pascal Lamia, Leiter Operative Cybersicherheit im NCSC und Stellvertreter des Delegierter des Bundes für Cybersicherheit.Pascal Lamia, Leiter der operativen Cybersicherheit im Nationalen Security-Zentrum (NCSC), erläutert im Interview die Bedrohungslage in der Schweiz. Und warum er eine Meldepflicht von Hacks für sinnvoll hält.
Das Nationale Zentrum für Cybersicherheit (NCSC) ist in einem unscheinbaren Verwaltungsgebäude im Westen des Berner Monbijou-Quartiers untergebracht. Die junge Institution ist die zentrale Anlaufstelle bei Cybervorfällen. Sie analysiert gemeinsam mit dem Nachrichtendienst des Bundes (NDB) die Lage in der Schweiz und veröffentlicht Warnungen. Angesichts der dynamischen Entwicklung, der potenten Ransomware-Banden und der Spannungen im Cyberspace eine Mammutaufgabe für die rund 40 Beschäftigten. Kein Wunder wird aktuell im Bundesrat die Weiterentwicklung des NCSC diskutiert und auch der Ausbau zu einem Bundesamt für Cybersicherheit ins Spiel gebracht.
Wir treffen Pascal Lamia, den operativen Leiter des NCSC, im Büro in Bern. Sein Team ist bei erfolgreichen Hacks gegen hiesige Firmen vor Ort und steht ihnen mit Tat und Rat zur Seite. Im Gespräch zeigt sich aber rasch: Die Situation ist komplex, verändert sich schnell, ein klares Lagebild ist schwierig zu erstellen. Zugleich scheinen sich die Angriffe mit Ransomware weiter zu intensivieren.
Im 1. Teil des Interviews äussert sich Pascal Lamia zur Entwicklung der Lage, dem Krieg in der Ukraine und eine Meldepflicht für Cybervorfälle.
Herr Lamia, wann ist Ihnen in der Schweiz das erste Mal Ransomware begegnet?
2011 gab es zwar bereits Erpressungen, bei denen der Zugang zum PC versperrt wurde, jedoch blieben die Daten damals noch verschont. Das änderte sich 2013, als hierzulande mit Kryptolocker die ersten Ransomware-Angriffe bekannt wurden. Nächstes Jahr "begehen" wir also ein zweifelhaftes 10-jähriges Jubiläum.
Und das Aufkommen der Kryptowährungen hat auch nicht geholfen…
Um 2013 veränderten sich auch die Geldflüsse. Zuvor griffen die Erpresser oftmals auf Paysafe-Karten zurück, die aber nach und nach von Kryptowährungen verdrängt wurden. Bitcoin und Co. haben die Verschleierung der Finanzströme einfacher gemacht. Wir beobachten seither eine deutliche Zunahme der Angriffe.
Was hat sich in den letzten Jahren verändert?
Die Cyberkriminellen organisieren sich immer professioneller. Man könnte die grossen Banden mit einem gut vernetzten KMU vergleichen: eine Gruppe entwickelt eine neue Malware, die nächste stiehlt Passwörter, eine weitere sucht nach verwundbaren Servern. Diese "Teams" tauschen sich aus oder verkaufen ihr Wissen im Darkweb. Aufgrund der Spezialisierung können sie ungeheuer schnell auf Zeroday-Lücken reagieren. Darum wird es für uns immer schwieriger, schnell genug zu handeln.
Erpressung genügt oft nicht mehr.
Auch die Angriffsmethoden verändern sich. Nach der "einfachen" Erpressung mit blosser Verschlüsselung sehen wir immer mehr "Double Extortion", wenn Kriminelle Daten verschlüsseln und zusätzlich mit deren Veröffentlichung drohen. Mittlerweile haben sich einige Kriminelle auf die dreifache Erpressung fokussiert. Sie drohen in einem dritten Schritt auch den Kunden der ursprünglichen Opfer mit der Veröffentlichung heikler Daten. In der Schweiz hatten wir so einen Fall zum Glück noch nicht, aber ich betone: noch nicht.
Professionalisieren sich nur die Ransomware-Banden?
Die Erpressergruppen führen die Entwicklung sicher an. Wir sehen sie aber auch im Bereich der Cyberspionage. Dahinter stecken meist staatliche Akteure, die etwa Hacker beauftragen, Informationen zu beschaffen. Das sind hochprofessionelle Gruppen, was sich oft bestätigt, wenn eine Zeroday-Lücke öffentlich gemacht wird. Das NCSC bekommt die Meldung zu einer neuen Schwachstelle manchmal einige Tage vor der Publikation, um die Betreiber kritischer Infrastruktur warnen zu können. Wir sehen dann bereits Stunden nach der öffentlichen Publikation Angriffe, bei denen die Lücken bereits ausgenützt werden. Entweder war sie den Hackern bekannt oder sie sind mit dem Neuprogrammieren ungeheuer schnell.
Hat sich die Lage mit dem Ukrainekrieg zugespitzt?
Das Thema wird zwar aufgegriffen und etwa für betrügerische Spendenaufrufe ausgeschlachtet. Die Schweiz ist im Rahmen des Ukrainekriegs bisher jedoch nicht Ziel eines Cyberangriffs geworden. Selbstverständlich haben wir zusammen mit dem Nachrichtendienst des Bundes (NDB), welcher für die Cyberbedrohungslage zuständig ist, ein erhöhtes Augenmerk auf die aktuelle Bedrohungslage. Es wurde häufig gesagt, der nächste Krieg sei ein Cyberkrieg. Vor der Invasion hat man auch koordinierte Desinformation oder die Störung der Kommunikation in der Ukraine gesehen, in der Schweiz ist es indes ruhig geblieben.
Kann sich das in absehbarer Zeit ändern?
Es ist vieles denkbar, schliesslich hat sich die Schweiz den verhängten Sanktionen angeschlossen. Und es besteht die Gefahr, dass Russland den Westen mit Hackern angreift. Dabei könnte allenfalls auch die Schweiz in den Fokus geraten. Die grössere Gefahr stellen aber Dominoeffekte dar, wenn die europäische Infrastruktur, etwa im Energiesektor ausfällt, kann sich dies auch auf die Schweiz auswirken.
Es haben sich auch Ransomware-Banden politisch positioniert. Birgt das nicht besondere Gefahren?
Im Fokus steht hier die Gruppe Conti, die sich zu Putin bekannt hat. Dagegen haben sich aber ukrainische Mitglieder der Bande gewehrt: Sie haben interne Daten geleakt und Interpol die Identität von Beteiligten verraten. Zugleich haben sich Kollektive wie Anonymous formiert, um gegen Russland vorzugehen. Das hat vermutlich dazu geführt, dass sich die Akteure gegenseitig etwas neutralisiert haben. Die Ransomware-Banden, die miteinander beschäftigt waren, müssen aber ihre Kriegskassen wieder auffüllen, was nach dem Krieg anstehen könnte.
Leere Kriegskassen heisst, dass wir mit einer grossen Angriffswelle rechnen müssen?
Solche Voraussagen sind enorm schwierig. Im schlimmsten Fall sind gewisse Hacker und Gruppen wütend auf den Westen und versuchen, kritische Infrastrukturen anzugreifen. Von diesem Szenario gehe ich allerdings nicht aus. Ich denke aber, dass sie intensiv das Netz scannen werden: Wo sind verwundbare Server? Und sie dürften fündig werden: Wir haben in der Schweiz immer noch Unternehmen, die Microsoft Exchange Server nicht gepatcht haben, obwohl wir schon oft gewarnt und sogar eingeschriebene Briefe verschickt haben.
Das betrifft vor allem KMU, oder?
Ich kann mir auch vorstellen, dass die Kriminellen vermehrt kleine Firmen oder sogar verstärkt Privatpersonen angreifen, weil sich auch so Geld verdienen lässt. Die Angreifer werden ihre Methoden, die sie vor dem Krieg hatten, mit Garantie weiterverfolgen. Der genaue Umfang der Angriffe ist aber schwer abzuschätzen, zumal die Dunkelziffer hierzulande gross ist. Denn wenn KMU überhaupt auf uns zukommen, dann leider in der Regel erst, wenn Kriminelle eingedrungen sind und Daten verschlüsselt haben. Meldungen für das NCSC sind aber wichtig, damit wir analysieren können, wie sich die Lage in der Schweiz entwickelt.
Braucht es eine Meldepflicht für Cybervorfälle?
Ich sehe die Vorteile einer freiwilligen Meldung durchaus. Eine Meldepflicht ermöglicht uns jedoch, ein noch genaueres Lagebild zu erstellen und darauf basierend Informationen an potenzielle Opfer weiterzugeben. Wir hatten zum Beispiel vor einiger Zeit eine deutsche Firma mit Ablegern in der Schweiz, die einen Ransomware-Befall unter der Datenschutzverordnung in Deutschland melden musste. Der Fall wurde uns gemeldet und deshalb konnten wir mit den Tochtergesellschaften hierzulande sofort Massnahmen ergreifen. Das wäre bei einer Meldepflicht generell einfacher.
Im 2. Teil des Interviews geht es um die Attraktivität der Schweiz für Cyberkriminelle, um die Bedrohung kritischer Infrastruktur und um die Aufgaben des NCSC. Der Text erscheint morgen Mittwoch, 25. Mai.
Dieses Interview gehört zu unserer Artikelserie "Ransomware-Report Schweiz". Bereits erschienen:
Teil 1
Ransomware-Report: Vom Helpdesk bis zur PR-Abteilung der Cyberkriminellen
Wann der Ransomware-Trend entstand und wie die Banden organisiert sind. Die grossen Gruppen haben auch die kleine Schweiz verstärkt im Visier.
Übersicht
Schweizer Angriffe April 2021 bis Mai 2022
Eine Übersicht aller Artikel, die inside-it.ch innerhalb eines Jahres zu Ransomware-Angriffen in der Schweiz und in Liechtenstein veröffentlicht hat.
Loading
Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit
Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.
Deutscher Verfassungsschutz warnt vor IT-Fachkräften aus Nordkorea
Die Behörde schreibt, die Arbeiter würden ihre Herkunft verschleiern und gestohlene Identitäten nutzen, um Aufträge zu erhalten.
EU-Datenschützer büssen Meta mit 91 Millionen Euro
Der Social-Media-Konzern speicherte Passwörter im Klartext. Nach einer Untersuchung der irischen Datenschutzbehörde wird Meta gebüsst.
Zürcher Finanzhaus von Ransomware-Gruppe Play angegriffen
Nach einem Datenklau sind Bundesanwaltschaft und Finanzmarktaufsicht Finma aktiv.