Cyberkriminalität, auch Sie sind betroffen – schützen Sie sich!

Schon seit geraumer Zeit sind Themen wie Cyberkriminalität oder Cybersecurity Teil der gewohnten Berichterstattung der aktuellen Medien

Schon seit geraumer Zeit sind Themen wie Cyberkriminalität oder Cybersecurity Teil der gewohnten Berichterstattung der aktuellen Medien. Regelmässig werden Berichte zu Vorfällen im In- und Ausland publiziert. Diese Berichte spiegeln jedoch lediglich die Spitze des Eisbergs wider, denn es finden nur die ausserordentlich schwerwiegenden Fälle den Weg in die Öffentlichkeit. Fälle, die kleine KMU, Kleinstfirmen oder Privatpersonen betreffen, bleiben oft im Verborgenen. Das steht nicht nur in Zusammenhang mit der Größe des Unternehmens, sondern oft auch mit Schamgefühl oder sogar Angst vor Reputationsschäden durch den zerstörerischen Cyber-Angriff.

 

Cybervorfall wirft Probleme auf

Was lösen die publizierten Cybervorfälle bei Ihnen aus?

  • Erstaunen über die Schwere des Vorfalls?
  • Verwunderung, dass so etwas überhaupt möglich ist?
  • Befremden, ob der Dreistigkeit der Angreifer?
  • Verblüffung über die vorhandenen Sicherheitslücken?
  • Mitgefühl mit der betroffenen Firma oder Privatperson?

Wahrscheinlich von allem etwas. Der zwingende Schluss, dass Sie selber zum Opfer werden könnten, bleibt aber oft aus und damit auch die Umsetzung von dringend notwendigen Sicherheitsmassnahmen.

Aber seien Sie sich bewusst: Auch Sie sind betroffen! Gespräche mit Opfern bestätigen, dass grundlegende Best-Practices einfach nicht berücksichtigt worden sind – wider besseres Wissen!

«Uns wird schon nichts passieren! Wir sind ja für die Angreifer völlig uninteressant!»

Dies sind leichtsinnige Fehleinschätzungen.

Vergessen Sie auch Murphy’s law nicht:

«Anything that can go wrong will go wrong.» Oder auf Deutsch: «Alles, was schiefgehen kann, wird auch schiefgehen.»

Dieser Blogbeitrag soll betroffen machen, wachrütteln, mahnen, alarmieren und insbesondere zum Handeln anregen:

Auch Sie sind betroffen – schützen Sie sich!

Zur Illustration haben wir für Sie ein paar bekannte Schicksale aufgelistet:

Offix, Aarburg, Mai 2019

Schadsoftware: Emotet, Trickbot und Ryuk (Verschlüsselungstrojaner)

Angriffsvektor: Word-Makro

Betrieblicher Schaden: Innerhalb von 12 Stunden wird die ganze IT-Infrastruktur lahmgelegt. Der Offix-CEO Martin Kelterborn stellt fest, dass man IT-mässig «nichts mehr habe». Die Mitarbeitenden können ihre Arbeit nicht mehr erledigen. Grosskunden können keine Bestellungen mehr aufgeben. Die Firma mit 230 Mitarbeitenden und einem Jahresumsatz von 250 Millionen CHF verliert die Übersicht über neue Aufträge und Verkäufe. Die Firma ist in ihrer Existenz akut bedroht.

Finanzieller Schaden: Unbekannt

Lösegeldforderung: 350'000.– CHF

Ausgang: CEO Martin Kelterborn entscheidet sich, das Lösegeld nicht zu bezahlen. Innerhalb von 3 Wochen gelingt es der Firma, ihre IT wiederaufzubauen. Geholfen haben dabei Fehler der Angreifer und ein Backup, das ausserhalb der regulären Backup-Prozesse von einem IT-Mitarbeiter auf einer externen Festplatte erstellt worden war.

Lessons Learned: «Wir dachten, unsere IT-Sicherheit sei in einem Topzustand», kommentiert Kelterborn. Diese Einschätzung sei falsch gewesen.

Quellen: https://www.nzz.ch/wirtschaft/cyber-angriff-auf-schweizer-firma-offix-ein-kampf-ums-ueberleben-ld.1492862?reduced=true

Meier Tobler, Egolzwil, Juli 2019

Schadsoftware: Bösartige Variante von Cobalt Strike (Verschlüsselungstrojaner)

Angriffsvektor: Infizierte Bestätigung einer Hotelbuchung, die als E-Mail-Anhang eingegangen war und von einem Mitarbeiter geöffnet wurde.

Betrieblicher Schaden: Der Cyberangriff setzte die gesamte IT-Infrastruktur der Firma ausser Betrieb. Während vier Tagen konnten keine Waren ausgeliefert werden. Folgende Systeme waren betroffen: Zentrales Warenbewirtschaftungssystem, Lagerleitsystem, Festnetztelefonie, Webseite, alle E-Mail-Konten.

Finanzieller Schaden: Ein bis zwei Millionen CHF. Für das Geschäftsjahr 2019 wurde mit einer Umsatzeinbusse von rund fünf Millionen CHF gerechnet, dies bei einem Jahresumsatz von 520 Millionen CHF im Jahr 2018. Der Pressesprecher schreibt, dass die Kosten, die auf immaterielle Fakten wie Kundenärger oder Imageverlust und Ähnliches zurückzuführen sind, nur schwer zu beziffern seien.

Lösegeldforderung: Ein Betrag in Millionenhöhe, der nicht bezahlt wurde.

Ausgang: Mithilfe der vorhandenen Notfallpläne konnten die Systeme wiederaufgebaut werden.

Lessons Learned: Um solche Ausfälle zukünftig zu verhindern, ist der Schutz vor Cyberattacken massiv verbessert worden. Dies betrifft insbesondere auch Notfallpläne. Der Neuaufbau der IT-Infrastruktur ist nach modernsten Sicherheitskriterien gestartet worden.

Quellen:

Auto AG Group, Rothenburg, August 2019

Schadsoftware: Vermutlich Verschlüsselungstrojaner

Angriffsvektor: Unbekannt

Betrieblicher Schaden: Die Dienstleistungen der Auto AG Group konnten nur eingeschränkt erbracht werden, da Bestellungen nur manuell bearbeitet werden konnten. Die E-Mail-Kommunikation war unterbrochen. Der öffentliche Verkehr war vom Angriff nicht direkt betroffen.

Finanzieller Schaden: «Der entstandene Schaden zur Wiederherstellung ist sicher nicht klein, kann aber noch nicht genau beziffert werden, insbesondere da wir noch einige zusätzliche Investitionen in die Sicherheit und Überarbeitung der Infrastruktur haben werden», sagt Marc Ziegler, CEO der Auto AG Group.

Lösegeldforderung: Unbekannt

Ausgang: Alle Systeme und Prozesse konnten innerhalb einer Woche wiederhergestellt werden. Ob Lösegeld bezahlt worden ist, ist nicht bekannt.

Lessons Learned: Das Sicherheitsdispositiv wurde «nochmals verstärkt».

Quellen:

Metall Zug Gruppe, Zug, April 2020

Schadsoftware: Keine

Angriffsvektor: Social Engineering. Die Angreifer verschafften sich Zugriff auf ein E-Mail-Konto eines Mitarbeiters, vermutlich über Phishing. Da bei dieser Angriffsform oft Personen in Leitungsfunktionen angegriffen werden, spricht man auch von «CEO Fraud».

Betrieblicher Schaden: Keiner, der Betrieb wurde nicht beeinträchtigt. Die Angreifer schafften es aber, mithilfe des gebrochenen E-Mail-Kontos eine geplante Zahlung, von der sie «Wind bekommen hatten», auf ein anderes Konto überweisen zu lassen. Dazu schickten Sie der für die Zahlung verantwortlichen Person eine fingierte E-Mail mit neuen Koordinaten des Zielkontos. Die angeschriebene Person schöpfte keinen Verdacht und führte die Zahlung entsprechend der geänderten Kontoangaben aus. Das Geld landete so auf einer Bank in Mexiko anstatt auf einem Schweizer Bankkonto.

Finanzieller Schaden: 2.5 Millionen CHF.

Lösegeldforderung: Keine.

Ausgang: Ermittlungen wurden eingeleitet, waren aber wenig Erfolg versprechend. Mit grosser Wahrscheinlichkeit ist das Geld verloren.

Lessons Learned: «Das Problem war, dass in diesem Fall die gesamte Kommunikation über E-Mail stattgefunden hatte und der entsprechende Mitarbeiter sich bei der Änderung der Kontoangaben nicht rückversichert hatte», gibt Sprecher Gassner gegenüber der Luzerner Zeitung zu bedenken. «Wir haben unsere Mitarbeiterschulungen im Bereich IT-Sicherheit intensiviert», sagt Gassner.

Quellen: https://www.luzernerzeitung.ch/wirtschaft/cyberangriff-in-den-usa-metall-zug-erleidet-millionenschaden-sogar-das-fbi-ermittelt-ld.1230045

Schätzen Sie das Risiko eines Cyberangriffs richtig ein?

Sind Sie sicher,

  • dass Schadsoftware Ihren Netzwerkperimeter nicht überwinden kann?
  • dass Ihre Mitarbeitenden schädliche Makros erkennen können und diese nicht ausführen?
  • dass Ihre Backups vollständig sind und im Notfall korrekt eingespielt werden können?
  • dass Ihre Mitarbeitenden genügend Bewusstsein für Cybergefahren haben, um nicht Opfer von Social Engineering Angriffen zu werden?
  • dass Ihre IT-Abteilung eine mögliche Krisensituation erfolgreich bewältigen kann?
  • dass Sie nicht hier und jetzt im Fokus eines Angreifers stehen?
  • dass Ihre «für Angreifer uninteressante Firma» nicht auch zufällig zum Ziel werden könnte?

Anders gefragt:

Sind Sie wirklich sicher, dass Ihnen nicht auch das passieren kann, was den oben aufgeführten Firmen – und vielen anderen – widerfahren ist?

Auch Sie sind betroffen – schützen Sie sich!

Leitfäden und Best-Practices für die eigene Sicherheit

Es gibt inzwischen eine grosse Vielfalt von Standards, Leitfäden und Security-Best-Practices. Hier ein paar Vorschläge:

Minimalstandard zur Verbesserung der IKT-Resilienz

Cybersecurity-Schnelltest für KMU

Secnovum-Checkliste 

ISO Standards der Reihe 2700x

BSI Grundschutzkompendium

Informationssicherheitshandbuch für die Praxis

Entscheiden Sie sich für den Standard oder Leitfaden, der für Ihre Firma am besten passt. Handeln Sie – jetzt! Schützen Sie sich!

 

Portrait Armand Portmann

Autor dieses Beitrags: Armand Portmann

Armand Portmann. Dozent an der Hochschule Luzern – Informatik. Leiter verschiedener Weiterbildungen im Bereich der Informationssicherheit (CAS / MAS Information & Cyber Security).