Ransomware: "Wir bleiben verletzlich"

Von 10. Juni 2022, 15:09
image
Foto: ETH-Bibliothek Zürich, Bildarchiv / Fotograf: Comet Photo AG (Zürich) / Com_LC2259-002-004 / CC BY-SA 4.0

Schlaue Kriminelle, Staatshacking-Niveau und prophylaktisches Lösegeld. Drei Schweizer Security-Experten äussern sich zur Situation.

Spätestens 2016 ist Ransomware zum lukrativen Geschäft geworden, darin sind sich Schweizer Security-Experten einig. "Seither steigen die Angriffe", sagt Marcel Zumbühl, Co-Präsident des Verbands Information Security Society Switzerland (ISSS) und CISO bei der Post. Es ist keine neue – aber trotzdem eine bittere Erkenntnis.
Auch wissen Security-Experten und -Expertinnen, dass sie stets einen Schritt schneller sein müssen als die Angreifer. "Wir haben eine Übersicht, welche Angriffsvektoren benutzt werden und tauschen uns darüber aus", erklärt Zumbühl. Dieser Austausch sei äusserst wichtig.

"Die Cyberkriminellen sind sehr schlau"

Einer dieser Experten ist Roman Hüssy. Vor bald 15 Jahren hat Hüssy das Projekt und die Website abuse.ch gestartet. Die Motivation für die Website sei, "Daten und technische Informationen zu Malware gratis zur Verfügung zu stellen und dadurch einen möglichst grossen Impact zu erreichen", sagt er. Diese Informationen sollten zum Beispiel in Block-Listen einfliessen. Was als Einzelprojekt begann, wurde mittlerweile mit Sponsoren und einer Anbindung an das Institute for Cybersecurity and Engineering (ICE) der Berner Fachhochschule (BFH) auf mehrere Träger gestellt.
Gratis und öffentlich über Malware informieren... auf einer solchen Website müssten sich eigentlich regelmässig auch Cyberkriminelle tummeln, denn diese wollen ebenfalls einen Schritt voraus sein und ihre Gegner kennen. "Das ist natürlich eine Problematik", sagt Hüssy, aber man lerne gleichsam voneinander. "Ich habe viel Zeit mit der Analyse von Angriffen verbracht und musste einige Male sagen: Die sind sehr schlau. Wieso muss so einer kriminell werden?" Gewisse aktuelle Erkenntnisse würden aber nicht sofort auf der Website publiziert, so Hüssy, sondern zuerst einem "engeren Kreis" an Security-Spezialistinnen und -Spezialisten mitgeteilt.

Ransomware-Banden agieren auf dem Level von Staatshackern

image
Bernhard Hämmerli.
Ransomware-Banden haben eine Professionalität erreicht, die in gewissen Fällen das Level von "Nation-State-Angriffen" erreichen, erklärt Bernhard Hämmerli, Professor an der Hochschule Luzern (HSLU), Leiter des Studiengangs Cybersecurity und ebenfalls Vorstansmitglied der ISSS. "Wir" – damit meint er Unternehmen, Öffentlichkeit und Gesellschaft – "waren ein bisschen naiv." Fachpersonen hätten zwar immer wieder gewarnt, aber, "wenn eine Cybercrime-Community erst einmal das Know-how, die Finanzen und ihre Kriegskassen hat, dann kann sie immer wieder neue Wege für Angriffe finden".
Gibt es Möglichkeiten, dies zu verhindern? Hämmerli sagt: "Die Hausaufgaben im Security-Bereich müssen gemacht werden. Dazu gehört etwa ein Offline-Backup. Dann braucht man Detection & Response, die KMU-IT-Security sollte wohl am besten an einen kompetenten Partner auslagert werden." Detection braucht man, um zu wissen, ob alle Systeme normal laufen; Response, um im Ernstfall schnell reagieren zu können.

Das Lösegeld prophylaktisch in Security stecken

image
Marcel Zumbühl.
Das Einfallstor für viele Angriffe sei, "dass Best-Practice-Regeln über Jahre nicht eingehalten worden sind", sagt Abuse-Gründer Hüssy, auch sehr grosse Unternehmen würden manchmal kaum über ihre IT-Systeme Bescheid wissen. Wenn einmal ein System mit Ransomware infiziert sei, betont ebenso Marcel Zumbühl, könne dieses mitsamt sämtlichen Daten verloren sein. "Nehmt das Geld, welches ihr den Kriminellen zahlen wollt, lieber in die Hand", fordert der ISSS-Co-Präsident Unternehmen auf, "und investiert es in Verbesserungen der IT."
Zumbühl sieht aber auch positive Entwicklungen in der Schweiz bezüglich Ransomware: "Mittlerweile gehen mehr Unternehmen an die Öffentlichkeit. Sie informieren ihre Kundinnen, Kunden und Betroffene." Es sei kein Reputationsschaden, wenn ein Opfer zugebe, von Kriminellen mit Ransomware angegriffen worden zu sein. In jedem Fall müssten die Behörden informiert werden: "Es kann sein, dass diese bereits über eine Entschlüsselung verfügen."
Wie sich Ransomware-Angriffe oder auch neue Methoden von Cyberkriminillen entwickeln, kann und möchte keiner der drei Experten genau voraussagen. HSLU-Professor Hämmerli erklärt: "Automatisierung wird ein grosses Thema werden, mit künstlicher Intelligenz und Machine Learning. Dadurch entstehen neue Verletzlichkeiten – sie können aber auch bei Security-Analyse und Früherkennung helfen." Doch auch Cyberkriminelle würden die Automatisierung für das Entdecken von Schwachstellen und neue Angriffsmethoden nutzen. Wenn es um die höchste technologische Stufe von Angriffen gehe, sagt Hämmerli, "bleiben wir immer verletzlich."
Mit diesem Text schliessen wir unsere Artikelserie Ransomware-Report Schweiz ab. Bereits erschienen: Teil 1: Vom Helpdesk bis zur PR-Abteilung der Cyberkriminellen Wann der Ransomware-Trend entstand und wie die Banden organisiert sind. Die grossen Gruppen haben auch die kleine Schweiz verstärkt im Visier.
Teil 2: "Die Ransomware-Banden müssen ihre Kriegskassen wieder füllen" Pascal Lamia (NCSC) über die Bedrohungslage in der Schweiz und warum er eine Meldepflicht für sinnvoll häl
Teil 3: "Die Früherkennung von Bedrohungen wird immer schwieriger" Pascal Lamia über kritsiche Infrastrukturen und seine Sorgen um das Schweizer Gesundheitswesen.
Teil 4: Schweizer Opfer berichten über Attacken und Aufräumarbeiten Wir haben einiges von Unternehmen, Gemeinden und Bildungseinrichtungen erfahren. Podcast: Das Jahr der Ransomware Wir blicken zurück, analysieren, und schauen in die Zukunft. Spoiler: Sie ist nicht gut. Übersicht: Schweizer Angriffe April 2021 bis Mai 2022 Eine Übersicht aller Artikel, die inside-it.ch innerhalb eines Jahres zu Ransomware-Angriffen in der Schweiz und in Liechtenstein veröffentlicht hat.

Loading

Mehr zum Thema

image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

publiziert am 11.8.2022
image

Branchen-Grössen schaffen gemeinsamen Standard für Security-Lösungen

AWS, Splunk und weitere grosse Anbieter von Security-Software kooperieren, um die Integration von Lösungen zu vereinfachen und Datensilos aufzubrechen.

publiziert am 11.8.2022