Die Zahl der Ransomware-Angriffe in der Schweiz steigt rasant. Das zeigen die Meldungen von Opfern beim NCSC oder die Fülle an Artikeln zum Thema bei inside-it.ch und anderen Medien. Eine Übersicht zu Schweizer und Liechtensteiner Opfer der letzten 12 Monate und unsere Artikel dazu finden Sie hier.

Meist wird nur berichtet, wenn ein Unternehmen von sich aus an die Öffentlichkeit geht oder eine der grösseren Banden im Darkweb mit der Veröffentlichung von Daten droht. Zu letzteren gehört mit Lockbit 2.0 die derzeit aktivste Gruppe. Allein sie beanspruchte in den Monaten März bis Mai mehrere Angriffe auf Schweizer Ziele für sich. Darunter befanden sich Arztpraxen in Neuenburg und Appenzell, ein Zuger Alterszentrum und Kleinfirmen in verschiedenen Kantonen mit zehn oder weniger Angestellten. Gerade über letztere erfährt die Öffentlichkeit in der Regel wenig.

Doch wie gehen Opfer mit Angriffen um? Wie verläuft die Aufarbeitung? Was ziehen sie für Lehren aus dem Vorfall? Wie könnten diese potenziellen Angriffsziele helfen? Diese Fragen haben wir über einem Dutzend Schweizer Unternehmen, Organisationen und Gemeinden gestellt, die in den letzten zwei Jahren erfolgreich mit Ransomware attackiert wurden.

Auskunftsfreudig sind nur wenige. Nach Rücksprache "mit der Compliance Abteilung und den Kollegen aus der ICT" müsse man leider auf eine Teilnahme an der Befragung verzichten, antwortet die MCH Messe in Basel und ergänzt: "Wir sind mit der Aufarbeitung noch nicht durch und möchten während dieses Prozesses nicht darüber kommunizieren." Die Emil Frey Gruppe schreibt: "Für uns ist der Vorfall abgeschlossen", man wolle sich nicht mehr dazu äussern. Ähnliche Statements schicken Media Markt, Stadler Rail und weitere prominente Opfer.

Auf die "noch laufenden polizeilichen Ermittlungen" verweist die Waadtländer Gemeinde Montreux. Sie wurde im Oktober 2021 attackiert. Bereits zuvor sorgte im selben Kanton der Angriff auf die Gemeinde Rolle für Aufsehen, bei dem die Bande Vice Society im Mai unter anderem AHV-Nummern und Ausweiskopien von Bewohnerinnen und Bewohnern erbeutete. Der Vorfall löste über die Kantonsgrenzen hinaus Diskussionen aus, wie gut Schweizer Gemeinden und öffentliche Einrichtungen geschützt sind.

Im März publizierte Rolle eine erste Bilanz. Über ein entsprechendes Formular seien Anfragen vom 874 Privatpersonen und 54 Unternehmen zu den 32 Gigabyte an geleakten Daten eingegangen. 214 Personen seien nach einer manuellen Analyse kontaktiert worden. Als Konsequenzen aus dem Angriff habe Rolle unter anderem Audits durch- und die Zwei-Faktor-Authentifizierung standardmässig eingeführt. Weiter wolle man eine IT-Charta mit Empfehlungen von Security-Experten umsetzen und die Systeme regelmässig durch externe Spezialisten überprüfen lassen.

Die Kosten, die aus dem Angriff entstanden sind, beziffert Rolle auf "bis jetzt geschätzte 180'000 Franken, wovon ca. 28'000 Franken für das eingesetzte Personal anfallen". Zum Vergleich: Eine – allerdings nicht sehr repräsentative – Umfrage von Sophos unter betroffenen Unternehmen in der Schweiz kam kürzlich auf durchschnittliche Folgekosten für Aufräumarbeiten von rund 1,5 Millionen Franken.

Rolle wurde vorgeworfen, erst verspätet – Ende August 2021 – öffentlich über den Angriff und dessen Ausmasse informiert zu haben. Nicht erstaunlich deshalb, dass die Gemeindesekretärin Tu Wüst auf unsere Frage nach Empfehlungen an potenzielle Opfer antwortet: "Zahlen Sie das geforderte Lösegeld nicht und informieren Sie die Bevölkerung und die betroffenen Personen so schnell wie möglich." Zum Einfallstor für die Cyberkriminellen erklärt sie: "Es handelte sich um menschliches Versagen. Weitere Einzelheiten dazu geben wir nicht bekannt."

Genauere Angaben macht Michael Heinzle, Leiter IT und CIO der Universität Liechtenstein. Die Hochschule traf ein Ransomware-Angriff im August 2021 "unvermittelt und zu einem ungünstigen Zeitpunkt vor dem Semesterstart", so Heinzle. Die Universität sei grundsätzlich gut gegen Angriffe aus dem Internet geschützt, "jedoch gab es eine Sicherheitslücke, die der IT bekannt war und die geschlossen werden sollte".

Zum Ablauf des Angriffs, bei dem die Ransomware Pysa verwendet wurde, erklärt er: "Die Angreifer konnten sich über den Citrix-Server für Studierende und Dozierende Zutritt verschaffen. Auf diesem System fehlte die Implementierung einer Zwei-Faktor-Authentisierung. Es konnte nicht eruiert werden, welche Zugangsdaten konkret verwendet wurden, aber im Darknet wurde ein Eintrag vom März 2021 gefunden, in dem Zugangsdaten zum Citrix-System der Universität zum Kauf angeboten wurden."

Auch im Fall der Gewerbeschule Basel, im April 2021 mit Ryuk attackiert, erfolgte der Angriff über das Schulnetzwerk (Citrix VDA). Zwar lasse sich der "Root Case" nicht genau rekonstruierten, da Logdateien, welche weitere Hinweise hätten liefern können, durch den Angriff ebenfalls gelöscht wurden, erklärt Schuldirektor Dominique Mouttet im Namen der IT-Abteilung. "Mit grosser Wahrscheinlichkeit wurde ein Benutzerkonto per Phishing-Mail offengelegt oder es wurde ein Mailanhang mit Schadcode ausgeführt. Dadurch erhielten die Angreifer einen Remote-Zugang zu dem Schulnetzwerk. Von da aus wurden dann Lateral-Movement-Techniken angewendet, um auf weitere Systeme zu springen. Es gelang den Angreifern, einen Domain-Account mit erhöhten Rechten zu kompromittieren und die Systeme mit Ransomware zu infizieren."

Die Schule habe "glücklicherweise über ein gut funktionierendes Offsite-Backup" verfügt und dadurch keinen Datenverlust erlitten. Das Online-Backup und die Systemsnapshots seien hingegen komplett zerstört worden. "Der Aufwand der Informatik-Abteilung, um die Systeme und Daten wieder bereitzustellen, war immens, und die Belastung der IT-Mitarbeitenden darf nicht unterschätzt werden", so Mouttet.

Während der Aufarbeitung habe die Schule "ein grosses Augenmerk auch auf die interne, proaktive Kommunikation, aber auch mit den entsprechenden kantonalen Stellen" gelegt, sowie Anzeige erstattet und das NCSC informiert. Im Nachgang des Angriffs seien für das Online-Backupsystem zusätzliche Sicherheitshürden eingebaut sowie eine neue EDR-Sicherheitssoftware evaluiert und eingeführt worden. Zugriffe auf Services von extern seien nun nur mit Zwei-Faktor-Authentifizierung möglich, und die Schule fördere regelmässig die Benutzer-Awarness und führe Audits durch.

Genauere Angaben zum Vorgehen der Cyberkriminellen macht ebenfalls ein grösseres Schweizer Unternehmen, das aber nicht namentlich genannt werden möchte. Dort heisst es, die Angreifer hätten "vermutlich über gestohlene Passwörter Zugriff auf Netzsysteme erlangt. Darüber hinaus haben sie über längere Zeit Adminaktivitäten beobachtet und sich Zugang zu kritischen Netzkomponenten verschafft und auf diesen geheime Accounts angelegt."

An einem Sonntag hätte die Ransomware ihre Aktivität gestartet, sich auf die meisten Serversysteme und verfügbaren Computer verteilt und mit der Verschlüsselung von lokalen Dateien begonnen. In der Nacht zum Montag habe man die Gefahr erkannt und entsprechende Notfallmassnahmen gestartet. "Die Verbreitung konnte mit entsprechenden Sicherheitsrichtlinien und Prozessen gestoppt werden, sodass kein weiterer Schaden entstand. Danach wurden die betroffenen Systeme bereinigt und aus dem sicheren Backup wiederhergestellt", so das Unternehmen. Man habe eng mit forensischen Spezialisten, Datenschützern und der Polizei zusammengearbeitet.

Die Lausanner Immobilienunternehmen DBS Groupe schildert auf unsere Anfrage den Angriff vom 2. Dezember 2021 wie folgt: "Der Einbruch erfolgte über eine E-Mail, die wir von einem externen Partner erhalten hatten, einem Treuhänder, mit dem wir zusammenarbeiten, dessen nicht gepatchter Mailserver jedoch gehackt worden war. Ein Mitarbeiter hatte auf einen Link in dieser betrügerischen E-Mail geklickt. Es schien, dass der Server des Treuhänders von Lettland aus gesteuert wurde." Man habe aber sofort mit einem Notfallplan reagieren können: Festlegung des Sicherheitsperimeters, die Blockierung aller ein- und ausgehenden Verbindungen und aller ausgehenden Finanztransaktionen, die Mobilisierung der internen Sicherheitsgruppe sowie von spezialisierten Partnern.

"Wir sind glimpflich davongekommen", so DBS. Es seien keine Daten verloren gegangen oder Kunden betroffen gewesen. "Der Angriff hat uns viel über unsere Reaktions- und Anpassungsfähigkeit gelehrt und es uns ermöglicht, einige Schlüsselprojekte zu beschleunigen", erklärt das Unternehmen. Insbesondere befinde sich die Gruppe derzeit in der Endphase der Überarbeitung ihrer IT-Infrastruktur. Man führe ein neues, KI-basiertes Anti-Spam- und Antivirenprogramm ein, schule die Mitarbeitenden, verstärke den Data-Recovery-Plan und führe jährlich mehrere IT-Audits sowie Penetration- und Phishing-Tests durch. "Darüber hinaus planen wir in diesem Jahr ein eigenes Data Center. Zusammen mit unserer SaaS-Politik wird uns dies ermöglichen, unser Geschäft im Krisenfall noch schneller wiederaufzunehmen und ein höheres Mass an Verfügbarkeit aufrechtzuerhalten", so DBS.

Noch kürzer als bei DBS Groupe liegt der Angriff auf Swissport zurück. Zum Angriff auf den Flughafendienstleister im Februar 2022 bekannte sich die relativ neue Bande Alphv/BlackCat. Diese veröffentlichte auch Daten im Darkweb. Man bitte um Verständnis, dass man zum jetzigen Zeitpunkt erst über begrenzte Informationen zum Vorfall verfüge, schreibt uns das Unternehmen.

"Obwohl wir beträchtliche Ressourcen zur Untersuchung und Behebung dieses Problems eingesetzt haben, darunter 80% unseres IT-Teams und eine Gruppe führender externer Experten." Zudem müssten die Systeme weltweit und nicht nur am Hauptsitz in Opfikon überprüft werden. Aber man ziehe Lehren aus dem Vorfall, um die Sicherheitspraktiken im gesamten Unternehmen zu verbessern. Nach dem Angriff habe Swissport unter anderem zusätzliche Sicherheitsmassnahmen eingerichtet, alle Passwörter zurückgesetzt, Systeme und Server vor Wiederinbetriebnahme überprüft. Weiter implementiere man eine Zero-Trust-Architektur und optimiere die bestehende Überwachung sowohl intern als auch extern.

Einer der wenigen Fälle, bei dem bekannt wurde, dass Lösegeld bezahlt wurde, betraf im Sommer 2021 den Vergleichsdienst Comparis. Das Unternehmen hatte den Angriff selbst öffentlich gemacht. Etwas später wurde publik, dass Comparis doch auf die Forderungen der Hacker eingegangen sei, zumindest teilweise. Man habe "eine Einigung" mit den Angreifern gefunden, bestätigte Comparis damals auf unsere Anfrage. Durch die Einigung habe man einen operativ essenziellen Teilbereich entschlüsseln können, der teils gar nicht, und teils nur mit sehr grossen Aufwänden wiederhergestellt werden könnte.

Rückblickend erklärt das Unternehmen nun, man sei mit einem blauen Auge davon gekommen. "Der Angriff hat uns Zeit und Geld gekostet. Gleichzeitig hat er offengelegt, wie gut wir uns intern in einer solchen Krise unterstützen – und diese auch meistern können." Wie der Angriff genau ablief, dazu macht Comparis keine Angaben. Als sofortige Massnahme sei die Isolierung der betroffenen Systeme erfolgt, ein auf Cybersecurity spezialisiertes Unternehmen zugezogen sowie die interne und externe Kommunikation zum Vorfall aufgegleist worden. Grundsätzlich seien seither die Cybersecurity-Vorkehrungen nochmals verbessert worden. "Zudem lassen wir wie schon vor dem Cyberangriff regelmässig Penetrationstests durch externe Dienstleister durchführen, um unsere Sicherheitsmassnahmen zu prüfen", erklärt Comparis.

Im Fall der Universität Liechtenstein dauerte es nach der Attacke 2 Monate, bis alle digitalen Kanäle wieder vollständig verfügbar waren. Die Uni hat ihre IT-Infrastruktur mittlerweile komplett an das Amt für Informatik der Liechtensteinischen Landesverwaltung ausgelagert. "Dieses Outsourcing ermöglicht es der internen IT, sich auf die Kernapplikationen der Universität zu konzentrieren und in Sachen Security den Experten des Amts für Informatik zu vertrauen", erklärt CIO Heinzle.

Er empfiehlt möglichen Ransomware-Opfern: Ruhe zu bewahren, Experten hinzuziehen und Sicherheit vor Geschwindigkeit des Wiederaufbaus zu stellen. "Jedenfalls muss man sich bewusst sein, dass eine derartige Attacke einem Totalschaden gleichkommt und einen kompletten Wiederaufbau der IT-Infrastruktur nach sich zieht, um sichergehen zu können, dass keine Hintertüren eingebaut wurden und sich die Situation in wenigen Tagen oder Wochen nicht wiederholt", so Heinzle. Die Gewerbeschule Basel betont, dass "es jeden treffen kann – auch Non-Profit-Organisationen", und empfiehlt: "Legen Sie Wert auf eine gute Backup-Strategie und halten Sie, wenn möglich, eine Disaster-Recovery-Strategie bereit. Das Backup ist in einem Ernstfall ihre letzte Verteidigung."

Vonseiten DBS Groupe heisst es, man wünsche keinem Unternehmen einen solchen Vorfall. Falls es doch passiere, sollte eine Krisenorganisation eingerichtet werden. Man brauche alternative Kommunikationsmittel und eine Liste mit Partnern und Experten, die im Bedarfsfall schnell aktiviert werden können. "Um in diesen kritischen Momenten Zeit zu sparen, sollten Sie über einen technischen Mitarbeiter verfügen, der die Kommunikation übernehmen kann, oder über einen Kommunikationsmitarbeiter, der die Technik gut versteht." Zu sicherem Applikationsmanagement, Zweifaktorauthentifizierung, äusserst rigidem Passwortmanagement und regelmässigen Sicherheitsaudits rät das namentlich nicht genannte Opfer, das uns Auskunft gab. Dort wie auch bei allen anderen Befragten, mit Ausnahme von Comparis betont man, nicht auf Lösegeldforderungen eingegangen zu sein. Im 5. Teil unserer Artikelserie äussern sich am Freitag, 10. Juni, Schweizer Cybersecurity-Experten zu Veränderungen und Entwicklungen im Ransomware-Geschäft.