Ransomware

Technische Massnahmen

• Überprüfen Sie die Backups und schützen Sie diese sofort. Backups sollten so schnell wie möglich vom Netz genommen werden.
• Unterbrechen Sie die Internetverbindungen (Web, E-Mail sowie Fernzugriff und VPN von Standort zu Standort).
• Erstatten Sie Anzeige bei Ihrer örtlichen Polizei. Auf der Seite von Suisse ePolice können Sie Polizeiposten in Ihrer Nähe suchen. Das BACS ist keine Strafverfolgungsbehörde und kann keine Ermittlungen tätigen.
• Wenn Ihnen das entsprechende Fachwissen fehlt, sollten Sie sich an einen externen Sicherheitsdienstleister wenden, der Sie bei der Bewältigung des Vorfalls und der Durchführung der entsprechenden Analyse unterstützen kann.
• Das BACS empfiehlt, sich nicht an die Täterschaft zu wenden, sondern die weiteren Schritte mit der Polizei zu diskutieren und zu koordinieren. Die Zahlung des Lösegelds garantiert nicht, dass die Daten wiederhergestellt werden können.

Organisatorische Massnahmen

• Klären Sie ab, inwiefern eine öffentliche Kommunikation sinnvoll ist. Das BACS empfiehlt eine proaktive, transparente Kommunikation, um Gerüchte zu vermeiden und die Medienberichterstattung zu steuern.
• Es besteht die Gefahr, dass die Täterschaft Daten über das Unternehmen gestohlen hat und diese veröffentlicht, respektive droht, diese zu veröffentlichen. Sie sollten auf dieses Szenario vorbereitet sein.
• Verschaffen Sie sich einen Überblick über die potenziell abgeflossenen Daten und schätzen Sie das Risiko für die einzelnen Daten ein.
• Wenn Kundendaten gestohlen worden sind, empfiehlt das BACS dringend, die betroffenen Kunden proaktiv zu informieren.
• Gemäss Art. 24 des Datenschutzgesetzes (DSG) müssen Verletzungen der Datensicherheit an den EDÖB gemeldet werden, wenn für die vom Datenabfluss betroffenen Personen ein hohes Risiko einer Beeinträchtigung ihrer Persönlichkeit oder ihrer Grundrechte zur Folge haben. Die Bestimmung gilt sowohl für Privatpersonen und Unternehmen als auch für Bundesorgane. Die Meldung an den EDÖB hat so rasch wie möglich zu erfolgen. 
• Wenn es um personenbezogene Daten geht, muss je nach Standort des Unternehmens auch die Datenschutzgrundverordnung (DSGVO) der Europäischen Union befolgt werden.

• Erstellen Sie regelmässig ein Backup Ihrer Daten. Das Backup sollte offline, das heisst auf einem externen Medium wie beispielsweise einer externen Festplatte gespeichert werden. Stellen Sie daher sicher, dass Sie das Medium nach dem Backup-Vorgang vom Computer trennen. Ansonsten werden bei einem Befall durch Ransomware möglicherweise auch die Daten auf dem Backup-Medium verschlüsselt und unbrauchbar.
• Schulen Sie die Mitarbeitenden im Umgang mit E-Mails.
• Sie können den Schutz Ihrer IT-Infrastruktur vor Schadsoftware durch die Verwendung eines «Application Whitelisting»-Produktes zusätzlich verbessern.
• Blockieren Sie den Empfang potenziell gefährlicher E-Mail-Anhänge auf Ihrem E-Mail-Gateway. Eine ausführliche und aktualisierte Liste des GovCERT finden Sie auf GitHub.
• Stellen Sie sicher, dass solche gefährliche E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie beispielsweise ZIP, RAR oder aber auch in verschlüsselten Archiv-Dateien (z. B. in einem passwortgeschützten ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
• Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z. B. Word-, Excel- oder PowerPoint-Anhänge).

Ihre Meldung über das Online-Formular hilft dem BACS, aktuelle Trends zu erkennen. Damit kann das BACS die Bevölkerung gezielt informieren und sensibilisieren.