Doppelt so viele Cyber-Erpressungen: Was können Unternehmen und Private tun?
Oft ebnet ein einziger Klick auf die falsche Email dem Verschlüsselungstrojaner den Weg. Dann dringt die Ransomware in das System ein, verschlüsselt alle Daten – und springt oft sogar über auf angeschlossene Netzwerk- und Cloud-Speicher.
Die Cyberkriminellen, die das tun, verlangen Lösegeld, damit sie die Daten frei geben. Im Schnitt liegen die Forderungen gemäss dem britischen IT-Security-Anbieter Sophos bei 156’000 Franken. Am häufigsten sind es Beträge um 7300 Franken. Manchmal geht es auch um Millionen.
Die Fälle von Cybererpressungen steigen in der Schweiz markant an. 2020 erhielt das Nationale Zentrum für Cybersicherheit des Bundes noch 67 Meldungen. 2021 sind es, Stand 14. Dezember, schon 156 Meldungen, wie Pascal Lamia sagt, Leiter Operative Cybersicherheit. «Die Meldungen haben stark zugenommen.»
Was bekannt wird, ist nur die Spitze des Eisbergs
Was dem Zentrum für Cybersicherheit gemeldet wird, ist nur die Spitze des Eisbergs. «Da in der Schweiz keine generelle Meldepflicht für Cybervorfälle besteht», sagt Pascal Lamia, «dürfte die Dunkelziffer entsprechend hoch sein.»
Das hat SP-Nationalrätin Edith Graf-Litscher auf den Plan gerufen. Sie fragt in einem Postulat, was der Bundesrat gegen Cyberangriffe über Verschlüsselungstrojaner tut. Sie seien zu «einer der grössten Cyberbedrohungen unserer Wirtschaft und Verwaltung geworden».
Graf-Litscher will, dass der Bundesrat eine Meldepflicht für solche Angriffe prüft. «Sie sollten nicht in einer Dunkelkammer stattfinden», sagt sie. «Es ist wichtig, dass wir wissen, wo wir ansetzen müssen, um die Cybersicherheit zu fördern.» Gleichzeitig will sie vom Bundesrat wissen, ob ein Memorandum of Understanding (MoU) mit den Versicherungen nötig sei. Eine solche Vereinbarung zwischen Bund und Privatversicherern steht zur Diskussion – weil Privatversicherer oft Lösegelder bezahlen. Das bestätigt Jan Mühlethaler, Leiter Kommunikation des Schweizerischen Versicherungsverbands SVV.
«Der Wunsch kam von Seite des Zentrums für Cybersicherheit», sagt er. «Selbstverständlich verschliessen wir uns als Privatversicherer solchen Gesprächen mit den Behörden nicht.» Ziel sei es, «dass es bestenfalls zu keinerlei Zahlung von Lösungsgeldern kommt». Bis März sollen die Eckpfeiler einer Vereinbarung diskutiert werden.
Meldepflicht würde Cybersicherheit erhöhen
Privatversicherungen berappen oft zumindest einen Teil des Lösegelds. Bei der Baloîse etwa können Kunden Erpressungen über das Cyberprodukt für KMUs optional mit einer Sublimite bis zu maximal 50’000 Franken versichern, wie die «Netzwoche» schrieb.
Noch wichtiger ist für das Zentrum für Cybersicherheit aber eine Meldepflicht. «Mit einer Meldepflicht für kritische Infrastrukturen könnte die Gefahrenlage für Cyberangriffe besser abgeschätzt werden», sagt Lamia. «Die Meldepflicht könnte einen wesentlichen Beitrag zur Erhöhung der Cybersicherheit in der Schweiz leisten.»
Verschlüsselungstrojaner und Erpressungen kann Unternehmen wie Privatpersonen betreffen. «Im Fokus der Angreifer stehen alle verwundbaren Systeme, unabhängig davon, ob es sich um Unternehmen, Behörden oder Privatpersonen handelt», sagt Lamia. Entscheidend sei deshalb, dass Unternehmen und Organisationen in die Cybersicherheit investierten, betont SP-Nationalrätin Graf-Litscher. «Gerade kleinere KMU haben den Eindruck, sie seien nicht interessant für Cyberkriminelle. Das ist eine gefährliche Fehleinschätzung. Niemand kann sich sicher fühlen.»
Was können Erpressungsopfer tun?
Was können Unternehmen oder Privatpersonen tun, falls sie tatsächlich zum Erpressungsopfer werden? «Das Zentrum für Cybersicherheit empfiehlt bei einer Erpressung in jedem Fall die Einreichung einer Strafanzeige bei der zuständigen Polizeibehörde», sagt Pascal Lamia. Diese würden die Opfer beraten, wie sie weiter vorgehen sollen, vor allem in der Kommunikation mit den Tätern.
Sind die Daten verschlüsselt und ist kein Backup vorhanden, sollten die Opfer verifizieren, ob der Schlüssel bereits bekannt ist, empfiehlt das Zentrum für Cybersicherheit. Tipps, wie man die Schadstoffware identifizieren kann und wie man Schlüssel, die bereits bekannt sind, herunterladen kann, gibt es auf der Website nomoreransom.org. Das ist ein Projekt der niederländischen Polizei mit der europäischen Polizeibehörde Europol. Die Schweiz ist mit dem Bundesamt für Polizei vertreten.
Besser ist es aber, Ransomware-Angriffe mit Präventionsmassnahmen zu verhindern. Wichtig ist, dass ein funktionierendes Backup-Konzept vorliegt, betont das Zentrum für Cybersicherheit. Das Medium, auf dem Sicherungskopien erstellt werden, muss nach dem Backup immer vom Computer getrennt werden, also offline sein. Sonst werden bei einem Angriff möglicherweise auch die Backup-Daten verschlüsselt. Und damit unbrauchbar.