von Tim Frei
Herr Boullet*, können Sie sich noch an den ersten Cyberangriff erinnern, mit dem Sie konfrontiert waren?
Ja, bei einem grösseren Unternehmen wurde zuerst mittels eines Phishingangriffs eine Schadsoftware auf dem Computer eines Mitarbeiters installiert, die über Monate hinweg Informationen über ihn sammelte. Aufgrund dieser Informationen wurde dann in einem zweiten Phishingangriff, der komplett auf den Mitarbeiter zugeschnitten war, ein weiterer Angriff gestartet. Dieser installierte innerhalb von Minuten Schadsoftware auf Hunderten von Computern mit dem Ziel, Daten zu stehlen. Das Unternehmen brauchte mehrere Tage, um die Schadsoftware wieder zu entfernen und sicherzustellen, dass keine Daten abfliessen.
Vergangene Woche referierten Sie an den Swisscom Business Days zum Thema «Datenklau bei KMU». Was sollen Firmen als Erstes tun, wenn sie Opfer einer Cyberattacke mit Lösegeldforderung geworden sind?
Wenn eine Firma erkennt oder den Eindruck hat, sie sei angegriffen worden, sollte in erster Linie Ruhe bewahrt werden. Dann sollte schnellstmöglich eine spezialisierte Unternehmung, welche die Kompetenzen zur Abwehr eines Cyberangriffs mitbringt, miteinbezogen werden. Diese Unternehmen können erkennen, ob es sich um einen Angriff handelt und welche Schritte nötig sind, um den Angriff abzuwehren.
Was sollten Firmen auf keinen Fall tun?
Ein grosser Fehler wäre, dies ohne die erforderlichen Kompetenzen selber oder durch unprofessionelle Hilfe zu versuchen, den Angriff zu beheben. Ich sehe immer wieder Fälle, wo vorschnell gehandelt wurde, mit der Folge, dass durch Fehlmanipulationen letztlich die gesamten Daten verloren gingen und auch nicht mehr wiederhergestellt werden konnten.
Unter welchen Umständen ist eine Zahlung von Lösegeld angebracht?
Dies empfehlen wir nicht, denn zahlt man den Erpressern Geld, so haben diese ihr Ziel erreicht. Die Zahlung führt dazu, dass man die organisierte Kriminalität aktiv mitunterstützt und kriminellen Hackern Gelder für das Weiterführen ihrer Tätigkeit zur Verfügung stellt. Man muss sich auch bewusst sein, dass die Zahlung der Erpressungsgelder nicht unweigerlich dazu führt, dass die Daten nach einem Ransomware-Angriff auch wirklich wieder entschlüsselt werden. Auch signalisiert die Zahlung eine Bereitschaft, was dazu führt, dass Hacker kurz darauf wieder versuchen werden, einen Angriff auf dasselbe Unternehmen zu starten.
«Meist wird viel Zeitdruck aufgesetzt, damit die Mitarbeitenden nur unzureichend kontrollieren und die Zahlung rasch ausführen»
Wo können Unternehmen schnell Hilfe holen, wenn sie nicht über eine professionelle Cyberabteilung verfügen?
Es gibt in der Schweiz einige Firmen wie auch die Swisscom, welche sich auf die Abwehr von Cyberangriffen und deren Behebung spezialisiert haben. Eine Suche im Internet oder der Kontakt über einen bestehenden IT-Partner führt im Falle eines Angriffs zu den richtigen Kontakten. Im Weiteren kann man über die örtlichen Polizeiorgane oder das Nationale Zentrum für Cybersicherheit (NCSC) an die nötigen Kontakte gelangen.
Sie haben mir im Vorgespräch gesagt, dass die Hacker bei Ransomware-Attacken gleich doppelt Lösegeld fordern können. Inwiefern?
Bei einem Ransomware-Angriff, der aktuell gerade im KMU-Umfeld eine der am häufigsten verbreiteten Angriffsmethoden ist, werden die Daten des angegriffenen Unternehmens verschlüsselt. Somit können sämtliche Daten ohne den dazugehörigen Schlüssel nicht mehr geöffnet und auch nicht mehr damit gearbeitet werden. Um die Daten wieder zu entschlüsseln, wird vom betroffenen Unternehmen ein Lösegeld gefordert.
Und zweitens?
In einer zweiten Phase wird versucht, meist sensitive Daten zu stehlen. Diese Daten sind dann in den Händen der Hacker. Die zweite Lösegeldforderung basiert dann auf der Androhung, die Daten zu veröffentlichen. Die Angreifer suggerieren in diesem Fall dem Unternehmen, die Daten nicht zu veröffentlichen, wenn das Lösegeld bezahlt wird.
Grafische Übersicht zur doppelten Erpressung bei Cyberattacken. (Bild: zVg)
Ein neuer Trend ist der CEO-Fraud. Was hat es damit auf sich?
Beim CEO-Fraud gibt sich der Angreifer als vermeintlicher Geschäftsführer oder Chef gegenüber seinen Mitarbeitenden aus und fordert diese auf, Geld auf ein bestimmtes Konto zu überweisen. Meist wird viel Zeitdruck aufgesetzt, damit die Mitarbeitenden nur unzureichend kontrollieren und die Zahlung rasch ausführen. Die Aufforderung zur Zahlung erfolgt per Mail oder Telefon.
«Werbeagenturen können aufgrund der hohen Digitalisierung ein lohnendes Ziel für Angreifer sein»
Hackerangriffe auf hiesige Medienunternehmen sind bisher eher selten vorgekommen. Wie deuten Sie das? Sind diese sehr gut aufgestellt beim Thema Cybersicherheit?
Da Medienunternehmen heute bereits sehr stark digitalisiert und sich der Tragweite eines Hackerangriffs bewusst sind, erwarte ich bei vielen Medienunternehmen eine hohe Security-Maturität. Trotzdem bin ich auch täglich mit Unternehmen konfrontiert, die einem Cyberangriff ausgesetzt waren und dies nicht gemeldet haben. Gerade Unternehmen, die grosse Mengen an Daten bearbeiten und hochgradig digitalisiert sind, haben oft sensitive Daten und wollen nicht, dass ein Hackerangriff publik wird.
Welche Gefahren sehen Sie für Medienhäuser bei einem Angriff? Sind es vor allem Daten wie Recherchedokumente von Journalistinnen und Journalisten?
Ich sehe Gefahren für Medienhäuser auf verschiedenen Ebenen. Einerseits sind dies mögliche Ausfälle der IT, was zum Stillstand des angegriffenen Medienhauses führen kann. Werden beispielsweise alle Daten verschlüsselt, so ist die tägliche Arbeit komplett lahmgelegt. Weiter hat ein möglicher Datenklau das Risiko, dass sensitive Recherchedaten oder auch Quellen öffentlich durch die Hacker publiziert werden können. Als dritten Punkt sehe ich die Problematik, dass ein Hackerangriff und dessen Folgen zu massiven Reputationsschäden für das Medienhaus führen kann.
Weshalb können auch Werbeagenturen von Cyberattacken betroffen sein?
Werbeagenturen können aufgrund der hohen Digitalisierung ein lohnendes Ziel für Angreifer sein.
Wie schätzen Sie das Bewusstsein in Schweizer Unternehmen für den Schutz vor Cyberangriffen ein?
Oft sind im KMU-Sektor ungenügende Cybersicherheitsmassnahmen getroffen worden, was es den Hackern einfach macht, diese Unternehmen anzugreifen. Leider ist das Bewusstsein für den Schutz vor Cyberangriffen in der Schweiz noch zu wenig etabliert. Gerade im KMU-Sektor gibt es Unternehmen, die der Auffassung sind, dass sie aufgrund ihrer Grösse und der vermeintlich fehlenden Attraktivität für Hacker uninteressant sind.
«Die Suche nach den Hintermännern gestaltet sich schwierig, da bei Angriffen die Herkunft der Hacker verschleiert wird»
Welche Vorkehrungen können Firmen treffen, um mit möglichst kleinem Einsatz an finanziellen und zeitlichen Ressourcen den gewünschten Effekt zu erzielen?
Um sich vor Cyberangriffen zu schützen, gibt es einige grundlegende Massnahmen, die schnell und kosteneffizient zu einem guten Grundschutz führen: regelmässiges Durchführen von Backups auf Medien, die vor Ransomware geschützt sind. Dies kann heissen, dass man Daten regelmässig auf externen Speichermedien sichert und diese von den Systemen trennt. Sichern der Angriffsvektoren (internes Netz, Internet, Mail) mittels etablierter Lösungen. Alle Systeme und Netzwerkkomponenten immer aktuell halten, also laufend Updates installieren. Mitarbeitende sensibilisieren – denn gut geschulte Mitarbeitende schützen aktiv die IT-Umgebung.
Muss man sich auch als Privatperson vor Angriffen schützen?
Auf jeden Fall. Bei einer Privatperson hat ein Angriff vielleicht nicht die gleiche Tragweite, jedoch kann der Verlust von Daten oder der Missbrauch beispielsweise von Kreditkartendaten viel Schaden anrichten.
Was weiss man über die Hacker?
Die Suche nach den Hintermännern der Cyberangriffe gestaltet sich schwierig, da bei Angriffen die Herkunft der Hacker verschleiert wird. Aufgrund der von den Hackern eingesetzten Schadsoftware kann gesagt werden, dass es sich häufig um gleiche Gruppierungen handelt. Woher diese aber stammen, lässt sich oft nicht nachweisen.
Gibt es eigentlich Dinge, die Sie bei einem Cyberangriff noch überraschen?
Persönlich erstaunt es mich immer wieder, wie lange Hacker bereits in den Netzen von Unternehmungen unterwegs sind, bevor sie erkannt werden.
* Raphaël Boullet ist seit April 2020 Head of Cyber Security Midmarket bei der Swisscom. Zuvor und seit 2015 war er in verschiedenen anderen Funktionen für Swisscom tätig: Head of Department Consulting, Senior Management Consultant.
