Interview Cyberattacken auf Firmen nehmen in der Coronakrise zu – St.Galler Experte sagt: «Täter schauen nicht auf Regionen» IT-Sicherheitschef Sandro Ruch von der St.Galler Digitalagentur Namics weiss: In der Coronakrise haben Cyberkriminelle Hochkonjunktur. Sichere Quellen entpuppen sich als Fallen. Grössere und kleinere Unternehmen sind ähnlich stark betroffen. Stefan Borkert 28.05.2020, 05.01 Uhr

Erpressung und Datendiebstahl hat sich zu einem Milliardengeschäft entwickelt. Bild: Imago Images

Das FBI und Interpol warnen vor verstärkten Cyberattacken auch auf Firmen während der Coronakrise. Erst jüngst ist der Thurgauer Schienenfahrzeugbauer Stadler Opfer eine Attacke geworden. Und auch Easyjet-Kunden haben in diesen Tagen Post bekommen. Hacker erbeuteten Datensätze und griffen bei 2200 Kunden des Billigfliegers, der auch ab dem Bodensee-Airport Friedrichshafen fliegt, auf deren Kreditkarten zu.

Sehen Sie einen Zusammenhang zwischen Cyberattacken und Coronakrise?

Sandro Ruch: Ja, aus meiner Sicht lässt sich sowohl ein direkter als auch indirekter Zusammenhang zwischen Cyberattacken und Corona herstellen.

Wie äussert sich das?

Zum einen wird Covid-19 momentan häufig etwa als Aufhänger in Phishingmails genutzt. E-Mails von vermeintlich sicheren Quellen, wie etwa der WHO, enthalten Links, über den die Empfänger angeblich zu Best Practices und Schutzmassnahmen gelangen oder ein Medikament gegen das Virus kaufen können. Dahinter versteckt sich dann jedoch eine betrügerische URL, also Adresse im Internet. Die Unsicherheit und die Angst der Menschen vor der Pandemie wird hier gezielt ausgenutzt beziehungsweise geschürt.

Ist Homeoffice eine Schwachstelle?

Dass viele Menschen derzeit im Homeoffice arbeiten, bietet eine grössere Angriffsfläche für Attacken. Denn die Infrastruktur in den heimischen Wänden ist in der Regel längst nicht so professionell und damit auch nicht so sicher, wie in den Büros.

In der Ostschweiz war Stadler kürzlich Opfer. Welche Ostschweizer Branchen sind besonders gefährdet?

Sandro Ruch, Chief Information Security Officer und Senior Solution Architect bei Namics PD

Generell glaube ich nicht, dass eine Branche anfälliger ist für Cyberattacken als eine andere. Für Täter ist in erster Linie entscheidend, wo sie eine Attacke für lohnenswert halten. Hier gibt es ganz unterschiedliche Ebenen: die Art der Daten, die Grösse der Firma oder die Qualität ihrer Schutzmassnahmen.

Wer ist besonders im Fokus der Hacker?

Gesundheitsorganisationen und Kliniken sind schon immer stark betroffen, da sie sensitive Daten, wie etwa die Gesundheitsakten ihrer Patienten, haben. In der jetzigen Situation werden diese vielleicht noch stärker mit Attacken konfrontiert, etwa in Form von Mailings mit vermeintlichen Coronastudien, die sich dann als Phishingmail entpuppen.

Ist die Ostschweiz eine Art Hotspot? Swisswindows, Nüssli, Stadler und Aebi Schmidt sind schon Opfer geworden?

Nein, ich halte regionale Hotspots für Cyberattacken für unwahrscheinlich. Denn die Täter schauen nicht auf Regionen, sondern vielmehr darauf, ob eine Attacke für sie lohnenswert ist. Das mag, wie gesagt, vom Unternehmen selbst, von der Grösse, der Art der Daten oder den getroffenen Schutzmassnahmen abhängen.

Wie häufig sind Attacken?

Täglich finden zahllose Attacken statt. Eine genaue Zahl zu nennen ist schwierig, da nur ein Bruchteil aller Attacken überhaupt an die Öffentlichkeit gelangen und viele weniger schwerwiegende Angriffe oftmals auch unerkannt bleiben. Grössere Konzerne sind etwa tausenden Attacken pro Tag ausgesetzt, die meisten werden inzwischen aber automatisiert abgewehrt. Schätzungsweise fallen Unternehmen alle 13 Sekunden einer Cyberattacke zum Opfer.

Sind grössere Unternehmen stärker gefährdet?

Die Gefahr einer Cyberattacke ist in erster Linie nicht grössenabhängig. Grosse und kleine Unternehmen sind in etwa gleich stark betroffen. Grosse Firmen sind meist für Hacker attraktiver, da sie zum einen bekannter sind und daher die Aufmerksamkeit der Täter auf sich ziehen, zum anderen da sie zahlungskräftiger sind.

Haben grössere Unternehmen den besseren Schutz?

In der Regel sind diese deutlich besser geschützt, was einen Angriff schwieriger und aufwendiger macht. Die Mauern sind hier quasi höher. Mittelständler haben dagegen weniger Budget zur Verfügung, um in Cybersicherheit zu investieren, und bieten dadurch Potenzial für Angreifer. Allerdings sind die Attacken aus Tätersicht hier häufig weniger lohnenswert.

Gezielte Schüsse statt Schrotkugeln Nach Auskunft von Eset, einem europäischen Unternehmen, das Sicherheitssoftware entwickelt und auch in der Schweiz ansässig ist, sind alte Trojaner noch immer aktiv. 2017 richtete Wannacryptor, besser bekannt als Wannacry, weltweit grosse Verwüstungen auf Computern an. Innerhalb kürzester Zeit waren Hunderttausende Computer in über 150 Ländern mit dem Verschlüsselungstrojaner infiziert. In Deutschland, Österreich und der Schweiz war das Gesundheitswesen stark betroffen. In anderen Ländern mussten grosse Konzerne die Produktion stoppen. Auch drei Jahre später ist Wannacry weiterhin sehr aktiv. Laut Eset-Analysen dominierte die Malware-Familie im ersten Quartal 2020 mit 40,5 Prozent der Ransomware-Erkennungen die Rangliste der blockierten Angriffsversuche.

Demnach gehen die Angreifer im Vergleich zur damaligen Attacke deutlich zielgerichteter vor. «Vor drei Jahren haben die Angreifer noch mit der Cyber-Schrotflinte geschossen. Heute handeln die Täter deutlich fokussierter und suchen sich für Angriffe gezielt mittelständische Unternehmen aus», sagt Sicherheitsspezialist Thomas Uhlemann.

Was überwiegt: Erpressung oder hacken von Websites?

Seit einiger Zeit stellen wir insbesondere bei der Erpressung durch Datenklau eine überproportionale Steigerung fest. Ein Beispiel sind Ransomware-Attacken, bei denen die Daten eines Unternehmens verschlüsselt und erst nach Bezahlung eines Lösegeldes wieder zugänglich gemacht werden. Angreifer haben es dabei auf sehr sensible, firmeninterne Daten abgesehen, Personaldaten, Patienten- oder Finanzdaten. An sich entsteht aber auch beim Hacken von Websites Datenklau. Hier trifft es anstatt interner Daten vielmehr Kundendaten. Ein Klau dieser Daten kann zu einem grossen Reputationsproblem für das Unternehmen führen.

Wird das Problem der Cyberattacken durch die Medien aufgebauscht?

Ich bin der Meinung, dass nach wie vor noch viel zu wenig über Cyberattacken berichtet wird. Häufig findet sich das Thema nur in Fachmedien wieder und selten in der Tages- und Wirtschaftspresse. Dabei handelt es sich durchaus um ein gravierendes Problem.

Weil?

Bei Cyberkriminalität handelt es sich mittlerweile um einen sehr grossen Markt und ein Milliardengeschäft weltweit. Die Aufklärungsrate von Cyberattacken liegt jedoch geschätzt bei unter zwei Prozent. Viele Unternehmen machen Angriffe weiterhin nicht publik. Dabei könnten sie viel voneinander lernen und sich so besser schützen. Dazu braucht das Thema aus meiner Sicht noch viel mehr Aufmerksamkeit.

Wie verhält sich Namics in akuten Fällen?

Bei Namics gibt es für den Fall einer Cyberattacke klare Rollen und einen vorgegebenen Plan, nach dem gehandelt wird. Dadurch sind wir sofort handlungsfähig. Das verantwortliche Team wird informiert und kümmert sich zunächst um die notwendigen schnellen Korrekturen. Parallel analysieren wir die Situation, damit wir den Angriff einschätzen und zudem im Nachgang aufarbeiten können.

Was können Sie KMU raten?

KMU sollten eine gute Basis schaffen, um sich vor Attacken zu schützen. Das beinhaltet unter anderem auch ein Backup-Recovery-Konzept, damit das Unternehmen etwa bei einer Ransomware-Attacke seine Daten ohne Schadsoftware zurückspielen kann und somit wenig Raum für Erpressung gibt.

Und ganz konkret?

Besteht der Verdacht eines Angriffs, sollte so schnell wie möglich das betroffene System vom Netz genommen und isoliert werden, damit die Verbreitung der Schadsoftware eingedämmt oder gestoppt wird. Anschliessend sollte man sich umgehend an einen Experten wenden. Denn häufig besitzen KMU nicht das notwendige Wissen oder die Erfahrung im Umgang mit Cyberattacken.

Nützt einem Unternehmen eine Strafanzeige bei der Polizei?

Die Auflösungsrate für Cyberattacken ist leider sehr gering und liegt unter zwei Prozent. Ich kann daher Unternehmen trotz Strafanzeige leider nur wenig Hoffnung machen, dass es zu einer Aufklärung kommt. Trotz der geringen Wahrscheinlichkeit würde ich aber jedem Unternehmen empfehlen, eine Strafanzeige zu erstatten. Bei Namics melden wir jede Cyberattacke zusätzlich an Melani, die Melde- und Analysestelle für Informationssicherheit der Schweiz. Dort kann man sich jederzeit Tipps und Informationen einholen, wie derzeit etwa zu Betrugsmaschen in Verbindung mit Corona.