28.06.2022 - Der Meldeeingang beim NCSC war letzte Woche wieder hoch. Acht Meldungen zu Verschlüsselungstrojanern sogenannte Ransomware rufen in Erinnerung, wie wichtig Vorsichtsmassnahmen zum Schutz vor solchen Angriffen sind.
Ransomware – Vorsorge ist wichtig
Nach fünf Wochen mit einer eher tiefen Zahl an gemeldeten Ransomware-Vorfällen wurden dem Nationalen Zentrum für Cybersicherheti NCSC in der letzten Woche gleich acht Fälle gemeldet. Das erstaunliche: Praktisch hinter jedem Fall steckte eine andere Schadsoftware. So hat das NCSC Meldungen zu Sodinokibi, Lockbit 2.0, Conti, Black.Basta und Deadbolt erhalten.
Obwohl die Zahl von acht Meldungen auf dem ersten Blick klein erscheint, ist der Schaden bei Ransomware-Angriffen in den meisten dieser Fälle sehr gross. Auch wenn ein funktionierendes Backup existiert und die Daten wieder zurückgespielt werden können, sind die Systeme für einige Tage nicht oder nur eingeschränkt verfügbar, was einen entsprechenden Produktionsausfall zur Folge hat. Zudem haben die Angreifer häufig einen Plan B bereit, für den Fall, dass die Opfer vorgesorgt haben und daher aktuelle Backup-Daten existieren, die eingespielt werden können. Damit die Angreifer trotzdem an Lösegeld kommen, haben sie sich darauf spezialisiert, die Daten vor der Verschlüsselung zu kopieren und dann mit der Veröffentlichung der Daten zu drohen (Double-Extortion). Noch problematischer wird es allerdings, wenn es die Angreifer schaffen auch die Backups zu verschlüsseln und es keine Möglichkeit mehr gibt, die Daten wiederherzustellen. In diesem Fall kann die Existenz einer Firma auf dem Spiel stehen.
Schutzvorkehrungen
Schutzvorkehrungen vor Cyberangriffen müssen im Vorfeld getroffen werden. Wie in den Wochenrückblicken 23 und 24 aufgezeigt, ist es wichtig, Systeme auf dem neuesten Stand zu halten und die Zugriffe auf Webdiensten und E-Mail- Konten mit Zwei-Faktor-Authentifizierung abzusichern. Zusätzlich sollte auf alle VPN-Verbindungen ein spezielles Augenmerk gelegt werden. Ebenfalls ist es wichtig, dass Unternehmen ihre Mitarbeitenden regelmässig zu Cybersicherheit schulen, speziell im Umgang mit E-Mails.
Das Risiko eines Ransomware-Vorfalles kann so minimiert werden, ein Restrisiko bleibt aber immer bestehen. Deshalb müssen auch weitere vorbereitende organisatorische Massnahmen für den Fall eines Angriffes getroffen werden. Dazu gehört das Erstellen und regelmässige Testen von Offline-Backups. Aber auch das Etablieren von Kontakten zu Sicherheitsdienstleistern, die einen solchen Vorfall bewältigen können und eine Kommunikationsstrategie, die im Falle der Veröffentlichung von firmeninternen Daten zum Tragen kommt. Dabei spricht man von einem sogenannten «Incident Response Plan». Dieser sollte alle wichtigen Tätigkeiten, Anleitungen und Kontaktdaten enthalten und unbedingt auf Papier vorliegen.
Eine Auflistung von präventiven Massnahmen vor Ransomware finden Sie unter:
Für den Fall eines Ransomware-Vorfalles sind Handlungsanweisungen auf der folgenden Seite aufgeführt:
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 28.06.2022
