Diesen Montag traf eine verheerende Cyberattacke Südeuropa: Nach einem Ransomware-Angriff auf Vodafone Portugal mit seinen rund 3,4 Millionen Internet- und 4,7 Millionen Mobile-Kunden fielen grosse Teile des Systems aus. Die 3G-Dienste konnten zwar relativ rasch wiederhergestellt werden, in einer Mitteilung von gestern Abend, räumt das Unternehmen aber ein, dass das 4G-Netz noch immer ausser Betrieb ist. Deshalb funktionieren laut der Nachrichtenagentur 'AP' verschiedene Bankomaten sowie Teile des nationalen Notrufsystems nicht.

Es ist der neuste in einer ganzen Reihe erfolgreicher Angriffe auf Betreiber Kritischer Infrastruktur. Im Mai 2021 machte der Angriff auf den US-Pipelinebetreiber Colonial Pipeline Schlagzeilen, als an der Ostküste der Notstand ausgerufen wurde. Im selben Monat legte eine Cyberattacke die IT-Systeme der irischen Gesundheitsbehörde sowie mehrere Spitäler lahm. Damals warnte das Nationale Zentrum für Cybersicherheit (NCSC) der Schweiz vor den Gefahren für die Kritische Infrastruktur im Allgemeinen und das Gesundheitswesen im Besonderen.

Die Schweiz ist bislang einigermassen glimpflich davongekommen. Der Flughafendienstleister Swissport hatte Anfang Februar 2022 noch Glück im Unglück: Ein erfolgreicher Angriff legte nur einen Teil von dessen globaler IT-Infrastruktur lahm, Verspätungen im Flugbetrieb mussten trotzdem hingenommen werden. Solche Vorfälle werden aber weiter zunehmen. Die Zahl der Ransomware-Angriffe steigt seit Langem, das profitable Geschäft bringt immer wieder neue Akteure und Businessmodelle hervor.

Die Zahlen sind bereits erschreckend: 2021 wurden 80% der Betreiber von Kritischer Infrastruktur sowie Firmen, die zu deren Betrieb und Unterhalt beitragen, von Ransomware-Banden gehackt. Fast die Hälfte meldete Auswirkungen auf ihre operativen Systeme. Dies zeigt eine Stude das Security-Unternehmens Claroty, das rund um den Globus 1100 IT- und OT-Verantwortliche befragt hat.

In Europa gab nur jeder fünfte der 300 Befragten an, im letzten Jahr keine Ransomware-Attacke erlebt zu haben. Von den Opfern mussten 5% den Betrieb für mehr als eine Woche komplett oder zu grossen Teilen einstellen. Über 40% gaben an, dass sie mit substanziellen Auswirkungen zu kämpfen hatten, einige davon für mehr als eine Woche.

In der Umfrage von Claroty sagte knapp die Hälfte, ihren Vorfall an Anteilseigner und die staatlichen Stellen gemeldet zu haben. 24% erstatteten nur den Shareholdern Bericht, 15% nur den Behörden. Gar keine Meldung machten etwas über 5%. Zur Debatte steht schon länger eine Meldepflicht für Kritische Infrastrukturen. Hierzulande hat der Bundesrat einen Entwurf in die Vernehmlassung geschickt, der eine solche Pflicht vorsieht, wenn ein erhebliches Schadenspotential besteht.

Aus der Umfrage von Claroty geht auch hervor, dass fast die Hälfte der betroffenen Betreiber und Firmen in Europa Lösegeld bezahlt haben. Mit 44% sind die Nichtbezahler in der Minderheit. Der allergrösste Teil bezahlte über 100'000 Dollar, nur 18% mussten weniger überweisen. Fast 4% der Betreiber Kritischer Infrastrukturen hatten mehr als 5 Millionen Dollar zu begleichen.

Gestern haben Grossbritannien, die USA und Australien gemeinsam eine Empfehlung publiziert, in der sie von einer Zunahme an ausgeklügelten Angriffen auf Kritische Infrastruktur rund um den Globus warnen. Die drei Länder mahnen eindringlich, unter keinen Umständen Lösegeld zu bezahlen. Dies stütze die Geschäftsmodelle der Kriminellen. Stattdessen zählen die Behörden für Cyber-Security im Papier (PDF) Massnahmen auf, die Betreiber Kritischer Infrastruktur ergreifen sollten.