Im ersten Halbjahr 2021 sind 10’234 Meldungen zu diversen Cybervorfällen beim Nationalen Zentrum für Cybersicherheit (NCSC) eingegangen. Im Vergleich zum ersten Halbjahr 2020 seien das fast doppelt so viele, schreibt das NCSC in seinem aktuellen Bericht. Ein Grund für diese starke Zunahme sei einerseits die Einführung des neuen Meldeformulars des NCSC. Andererseits sei die hohe Zahl auch auf mehrere grosse Angriffswellen mittels Fake-Sextortion oder Phishing zurückzuführen.

Ebenso auffällig sei die hohe Zahl an Vorfällen mit Ransomware. "Die Zahl hat sich von 32 Fällen im ersten Halbjahr 2020 auf 94 Fälle in der aktuellen Berichtsperiode verdreifacht", so das NCSC. "In der Berichtsperiode sind in der Schweiz Angriffe auf Privatpersonen und KMU aus verschiedenen Wirtschaftssektoren mit verschiedensten Ransomware-Varianten verübt worden."

Der meistgenutzte Weg zur Verbreitung von Schadsoftware sei nach wie vor E-Mail. Nachdem Strafverfolgungsbehörden Anfang 2021 die Infrastruktur von Emotet ausgehoben und abgeschaltet haben, würden "(wieder) vermehrt andere Malware-Familien zum Zug kommen", heisst es weiter. "Nebst bekannten Namen wie Trickbot, Retefe, Dridex und Qbot finden sich auch vorher seltener verwendete unter den aktuell beobachteten Malware-Familien."

Das NCSC weist dabei insbesondere auf die Malware IcedID hin. "Seit März ist ein starker Anstieg der Verbreitung von IcedID festzustellen – auch in deutschsprachigen E-Mails. IcedID wurde seither insbesondere in Ransomware-Infektionsketten beobachtet. Dabei wurde IcedID über Google-Links, resp. Google Sites, via Webkontaktformulare verbreitet und diente dazu, Firmen mit Cobalt Strike zu infizieren." Mit der Ransomware Cobalt Strike wurde 2019 auch das Gebäudetechnikunternehmen Meier Tobler attackiert, was den Umsatz der Firma mit 10 Millionen Franken belastete.

Bei den Malwareinfektionen schwingt im ersten Halbjahr Flubot oben auf. Über grosse SMS-Verbreitungskampagnen habe sich die Malware in ganz Europa verteilt und ab Juni auch im grossen Stil die Schweiz erreicht. Flubot beschäftigt seither vor allem Telcos, Finanzinstitute und Kreditkarten-Anbieter. Der Banken-Trojaner kann sich über andere Apps legen und so zum Beispiel E-Banking-Aktivitäten des Opfers ausspähen. Flubot fängt auch SMS-Authentifizierungscodes ab und hebelt so die 2-Faktor-Authentifizierung aus.

Ein besonderes Augenmerk legt das NCSC im Bericht auf Schwachstellen. Dies vor dem Hintergrund, dass die Behörde das Schwachstellen-Management ausbaut und seit kurzem CVE-Nummern vergeben kann.

Weiter wird hier auch auf die zunehmende Bedeutung von Bug-Bounty-Programmen hingewiesen. So strebt der Bund solche Programme für die gesamte Bundesverwaltung an. "Ein Bug-Bounty-Programm für die Bundesverwaltung, betrieben durch das NCSC, leistet einen wichtigen Beitrag zur Reduktion des Cyberrisikos des Bundes", heisst es dazu im Bericht.

Das NCSC nennt dann verschiedene "prominente Schwachstellen", die zwischen Januar und Juni 2021 für Aufsehen sorgten: die Lücken in Microsofts Exchange Server, die Verwundbarkeit bei Pulse Secure Connect und bei Sonicwall oder eine BIOS-Lücke, die Millionen von Dell-Computern bedrohte.

Bis vor einigen Jahren seien Angriffe auf solche Schwachstellen fast nur durch Staaten mit bedeutenden offensiven Cyberfähigkeiten erfolgt, so das NCSC, "aber heute werden Sicherheitslücken zunehmend von Kriminellen genutzt". Die Führung und laufende Aktualisierung eines Inventars aller Hard- und Software-Komponenten sei deshalb ein wesentlicher Aspekt für die Sicherung einer IT-Infrastruktur.

"Idealerweise hat man zudem einen Überblick über alle Software-Abhängigkeiten", schreibt das NCSC als Empfehlung. Die Einführung einer "Software Bill of Materials" (SBOM) – eine "Materialliste", die bei digitalen Produkten angibt, welche Komponenten zur Herstellung verwendet wurden – würde diesen Überblick bieten. Jedoch würde dadurch auch die Komplexität der zu pflegenden Datenbanken erhöht. "Nicht zuletzt deshalb wäre ein Mittel zur automatisierten Erfassung und Verarbeitung von Sicherheitshinweisen für die im Netz vorhandenen Elemente von Vorteil", so das NCSC.

Der Halbjahrersbericht mit Cybersecurity-Empfehlungen kann auf der Website des NCSC als PDF abgerufen werden.

Erhalten Sie jeden Donnerstag die wichtigsten Security-News der vergangenen Woche bequem in Ihre Inbox. Abonnieren Sie jetzt unseren neuen Security-Newsletter und bleiben Sie rund um die Themen Cyberangriffe, Ransomware, gefährliche Sicherheitslücken, Datenschutz und vielem mehr bequem auf dem Laufenden.

Jetzt unseren neuen Security-Newsletter abonnieren!