Erpressung im Cyberspace

Cyberkriminelle werden zunehmend dreister und raffinierter. Vor allem Ransomware macht der globalen Wirtschaft zu schaffen und legt mitunter ganze Industriezweige lahm. Zeit für eine Verteidigungsstrategie.

Die Cyberkriminalität ist so hoch wie noch nie. In den letzten Monaten haben sich die Nachrichten zu Hackerangriffen auf Unternehmen beängstigend gehäuft. Schweizer Unternehmen wie der Pharmazulieferer Siegfried oder der Cloud Provider Swiss Cloud Providing wurden Opfer von Hackern. International wurde erst kürzlich der japanische Technologiekonzern Toshiba Opfer eines erpresserischen Hackerangriffs durch die Hackergruppe «DarkSide», die auch in Verdacht steht, das Kraftstoff-Leitungssystem von Colonial Pipeline in den USA lahmgelegt zu haben.

In der Schweiz wurden in der polizeilichen Kriminalstatistik (PKS) des Bundesamtes für Statistik (BFS) im Jahr 2020 erstmals auch Ergebnisse zu digitalen Straftaten veröffentlicht: Insgesamt wurden 24’398 Straftaten mit einer digitalen Komponente registriert.16’395 Straftaten gehen dabei auf Cyber Betrug zurück. In helvetischen Unternehmen werden von CEOs und CIOs daher auch Phishing und Social Engineering, sowie Ransom- und Malware als gefährlichste Bedrohungen wahrgenommen.

Weltweit richtet sich mehr als ein Drittel aller Cyberangriffe gegen Industrieanlagen und IoT-Geräte. Laut dem «Global Threat Report 2021» des Security-Experten CrowdStrike machen eCrime-Angriffe 79 Prozent aller durch CrowdStrike aufgedeckten Einbrüche (per Hand-on Keyboard) aus. Ein besonders beliebter Angriffspunkt für Cyberkriminelle ist dabei die Lieferkette. Sie ermöglicht es böswilligen Akteuren, mit einer einzigen Attacke mehrere nachgelagerte Ziele zu erreichen. So kam es Ende 2020 zu einem hochentwickelten Lieferketten-Angriff, bei dem der Update-Mechanismus der IT-Verwaltungssoftware SolarWinds Orion kompromittiert wurde. Weltweit kam es bei Behörden, im Bildungswesen, bei Technologiekonzernen, Energieversorgern und im Gesundheitswesen zu Zwischenfällen aufgrund von eingeschleustem Schadcode. Seit Ausbruch der Covid-19-Pandemie wurde zudem vor allem der weltweite Gesundheitssektor verstärkt Opfer von Angriffen. 

Aber auch nationalstaatliche Angreifer infiltrieren zunehmend Netzwerke, um wertvolle Daten zu stehlen, die beispielsweise der Covid-19-Impfstoffforschung dienen. Auch chinesische Angriffe gegen Telekommunikationsunternehmen setzten ihren bereits 2019 begonnenen Trend fort. Zudem trieben Nordkorea, Russland, Iran, Indien, Pakistan und Vietnam ihre Massnahmen zur Generierung von Finanzmitteln durch zielgerichtete Kompromittierungen voran.

Hinzu kommt, dass der Reiz von «Big Game Hunting» (BGH; Grosswildjagd) – also Ransomware-Kampagnen gegen Ziele, die hohe Gewinne versprechen – dazu führte, dass diese Art von Cyber Verbrechen das Cybercrime-Ökosystem bereits im vergangenen Jahr dominierten, was wiederum dem Markt für Netzwerk-Access-Broker Auftrieb verlieh. Access Broker sind Bedrohungsakteure, die Backend-Zugänge zu verschiedenen Organisationen (sowohl Unternehmen als auch Behörden) erlangen und diese entweder in Untergrundforen oder über private Kanäle verkaufen.

BGH-Trends führten zu einer Verschiebung der typischen gezielten Cybercrime-Verhaltensweisen. Bedrohungsakteure wechselten beispielsweise von Angriffen gegen PoS-Systeme (Point-of-Sale) zu BGH-Attacken. Wizard Spider – ein etablierter BHG-Cybercrime-Grossakteur – setzte seine rasanten Operationen fort und wurde das zweite Jahr in Folge der am häufigsten gemeldete Cybercrime-Gegner. Ransomware-Operationen mit Daten Erpressung trafen im vergangenen Jahr vor allem Unternehmen aus der Industrie, sowie der Maschinenbau- und Fertigungsbranche. Letztere ist insofern besonders betroffen, da sie nicht nur unter der Erpressung leidet, sondern auch das Kerngeschäft schwer beeinträchtigt oder zum Erliegen kommt und Produktionsaufträge aufgrund von Systemausfällen nicht mehr erfüllt werden können. 

Die Phishing-Maschen via Social Engineering haben ebenfalls zugenommen und werden immer ausgefeilter. Sie reichen von der Ausnutzung einzelner Personen, um an Informationen, Tests oder Behandlungsmethoden zu kommen, über das Auftreten als medizinische Körperschaften wie die Weltgesundheitsorganisation (WHO) und das US-amerikanische Centers for Disease Control and Prevention (CDC) bis zu Betrug mit Angeboten zu Schutzausrüstungen sowie Vortäuschung oder Erschleichung staatlicher Finanzhilfen und Konjunkturpakete.

Um unentdeckt zu bleiben und sich in Netzwerken zu tarnen, verbessern die Angreifer ständig ihre Strategien und konnten so ihre Ziele oft täuschen. Auch bei Angriffen auf Finanzinstitute beispielsweise ist Wizard Spider das zweite Jahr in Folge der am häufigsten gemeldete Angreifer. Die Gruppe knüpft intensive Beziehungen zu Dritten, um die Ressourcen für Erstzugänge weiter auszubauen und hat ihr Toolkit und ihre Vorgehensweisen auf den neuesten Stand gebracht. Seitdem integriert sie so genannte Obfuskationstools in die Malware-Build-Prozesse und passt Standardtools für ihre Zwecke an. Diese Änderungen wurden höchstwahrscheinlich implementiert, um statische Erkennungsmethoden zu unterlaufen, schreibt CrowdStrike. Auch kriminelle Betreiber von Banktrojanern entwickeln ihr Betriebsmodell weiter und bieten neuerdings Zugänge für Dritte an.

Da der Grossteil der aufgedeckten interaktiven Kompromittierungen von Cyberkriminellen durchgeführt werden, sollte diesen Angreifergruppen und den Abwehrmassnahmen gegen ihre Taktiken, Techniken und Prozeduren unbedingt mehr Aufmerksamkeit gewidmet werden. Doch auch die zielgerichteten, durch Staaten unterstützten Angriffe, dürfen nicht aus dem Blickfeld geraten. Analysen von Cybercrime-Überwachern zufolge sind staatliche Angreifer weiterhin aktiv und müssen auch 2021 intensiv beobachtet werden

Im Umkehrschluss geben Unternehmen, um sich von Cyberattacken zu schützen, immer mehr Geld aus: Marktforscher Gartner schätzt, dass zwischen 2017 und 2021 etwa eine Billion US-Dollar für Cybersecurity ausgegeben wird. Das Geschäft mit der Sicherheit boomt. Nutzniesser sind Cyber Security-Spezialisten. Sowohl auf der Seite der Anbieter, deren Kerngeschäft es ist, derartige Bedrohungen mittels Sicherheitssoftware und Hardware-Lösungen zu bekämpfen, als auch in den Reihen der Freelancer:innen und Expert:innen, die Sicherheitsprodukte entwickeln und bei ihren Kund:innen implementieren.

Ende 2020 hat das Marktforschungsinstitut gfs-zürich im Auftrag von digitalswitzerland, der Hochschule für Wirtschaft der Fachhochschule Nordwestschweiz (FHNW), der Mobiliarversicherung, dem Nationalen Zentrum für Cybersicherheit (NCSC), und der Schweizerischen Akademie der Technischen Wissenschaften (SATW) über 500 CEOs von Schweizer KMU befragt. Die Ergebnisse waren erschreckend: Jedes zweite KMU war bereits Opfer eines folgenschweren Cyberangriffs mit teilweise finanziellem oder mindestens Reputationsschaden sowie Verlust von Kundendaten. Trotzdem hat auch nur jedes zweite KMU einen Notfallplan, um im Falle eines Angriffs die Geschäfte fortzuführen. Hinzu kommt, dass etwa zwei Drittel weder regelmässige Mitarbeiterschulungen anbieten, noch ein Sicherheitskonzept implementiert haben. 

In Sachen Cyber Security steht die Schweiz im internationalen Vergleich eher schlecht da. Gemäss dem am 29. Juni 2021 veröffentlichten, «Global Cybersecurity Index» der Fernmeldeunion ITU rangiert die Schweiz auf Platz 42 (2018: 37) von 194 untersuchten Ländern. Sowohl weit hinter den drei Erstplatzierten USA, Grossbritannien und Saudi Arabien, als auch viele Ränge hinter unseren Nachbarn Frankreich (9), Deutschland (13), Italien (20) und Österreich (29). Wird nur die Region Europa betrachtet, liegt Helvetien auf Rang 27 von 46, also nur im Mittelfeld. Es besteht also noch Luft nach oben. 

Immerhin hat der Bund das NCSC geschaffen, in das MELANI, die Melde- und Analysestelle Informationssicherung letzten Sommer integriert wurde und unter dessen Dach sich neu auch das nationale Computer Emergency Response Team (GovCERT) als technische Fachstelle befindet. 

Auch die einzelnen Kantone werden aktiv. St. Gallen hat beispielsweise eine Cyberschutz-Strategie erstellt und die Abteilung Cybercrime der Kantonspolizei Zürich mit Cyberpolice.ch eine Webseite ins Leben gerufen, die tagesaktuell über Cyberbedrohungen informiert. Und auch die Schweizer Armee rüstet in Sachen Cyberabwehr auf und wird per 1. Januar 2022 neben dem bereits bestehenden Cyberbataillon einen Cyberfachstab bilden.

Cyberkriminelle werden immer versierter und flexibler und werden auch künftig nach Methoden suchen, mit denen sie ihre Ziele maximal effektiv erreichen. Dazu werden sie nicht-traditionelle Ziele innerhalb von Unternehmen mit eigenen Entwicklungen angreifen. Mit zunehmender Ausgereiftheit ihrer Prozesse werden sowohl opportunistische Bedrohungsakteure als auch zielgerichtete Angreifer neue Methoden entwickeln und implementieren, um Entdeckungen zu vermeiden und Analysen durch Forscher zu erschweren.

Die Security Outcomes Study 2021, eine globale Cisco-Umfrage unter 4800 IT-Sicherheitsprofis in Unternehmen ergab, dass fast 90 Prozent der Befragten eine optimale Sicherheit über alle Netzwerke, Geräte, Clouds und Anwendungen bis ins Homeoffice erreichen wollen. Ihre Prioritäten für 2021 und 2022 liegen bei der Netzwerksicherheit (55 Prozent), Multi-Cloud-Infrastrukturen (53 Prozent) und Collaboration-Technologien (49 Prozent). Da sie in Cloud-Applikationen investieren, die entsprechend gesichert sein müssen (60 Prozent), und weil die Mitarbeiter:innen auch künftig verteilt arbeiten wollen (50 Prozent), haben 73 Prozent der Schweizer IT-Entscheider:innen bereits SASE (Secure Access Service Edge)-Lösungen etabliert.

Wollen Sicherheitsteams in modernen Umgebungen Angreifer erfolgreich blockieren und Abläufe unterbrechen, sind Übersicht und Geschwindigkeit das A und O. Dafür benötigen sie vollständigen Einblick in alle Umgebungen und müssen potenzielle Schwachstellen identifizieren und proaktiv schliessen, noch bevor diese von Angreifern ausgenutzt werden können.

Zu denken, ein Unternehmen sei zu klein oder zu unwichtig, um Opfer von Cyberattacken zu werden ist ebenso ein Irrtum wie zu glauben, End-Point-Software schütze vor Cyberattacken. Die Liste, um End-Point-Software zu umgehen oder zu deaktivieren wächst stündlich. Auch das Blockieren von IP-Adressen etwa aus  Russland, Nordkorea oder China bietet ein falsches Gefühl von Sicherheit, da diese ihre schädliche Infrastruktur in unzähligen Ländern hosten. Backups schützen auch nicht vor Ransomware, wenn sie mit dem Netzwerk verbunden sind. Automatische Backups sind in den meisten Fällen von der Ransomware ebenfalls betroffen und es ist naiv zu glauben, dass Security-Spezialisten einmal entstandenen Schaden rückgängig machen und Originaldaten wieder herstellen können. 

Unternehmen müssen Identitäten und Zugänge schützen und passwortlose Multifaktor-Authentifizierung für alle von aussen erreichbaren Mitarbeiterdienste und Portale verpflichtend einführen. Zero-Trust-Lösungen helfen, Datenzugriffe einzugrenzen und zu beschränken und potenzielle Schäden durch nicht autorisierten Zugang zu vertraulichen Informationen zu minimieren.

Die Bedrohungssuche sollte Expert:innen überlassen werden. Es empfiehlt sich potenziellen Angreifern mithilfe von Bedrohungsanalysen immer einen Schritt voraus zu sein. So lassen sich Motivation, Kompetenzen und Arbeitsweisen von Angreifern verstehen und mit diesem Wissen, künftige Angriffe verhindern und sogar vorhersagen. Und Achtung: Auch wer einen Cyberangriff verhindert oder überlebt, ist danach nicht automatisch sicher. Zudem kann selbst ein Unternehmen, das Lösegeld gezahlt hat, nach einem Ransomware-Angriff im seltensten Fall alle Daten wieder herstellen. 

Zudem ist eine Cybersicherheitsrichtlinie unabdingbar, die das Arbeiten im Homeoffice oder an anderen Remote-Arbeitsplätzen inklusive Zugriffsverwaltung für Remote-Nutzer:innen, die Verwendung privater Geräte sowie aktualisierte Datenschutzvorschriften für den Mitarbeiterzugriff auf Dokumente und andere Informationen berücksichtigt. Es ist mittlerweile zu anspruchsvoll, sich mit dem Thema Cyber Security im Detail zu befassen. Für Mitarbeiter:innen genügt es, die allgemeinen Risiken zu kennen. Falsch wäre es allerdings zu denken, die Mitarbeitenden kennen sich grundsätzlich mit IT-Sicherheit aus. Etablieren Sie eine Sicherheitskultur: Programme zur Verbesserung des Sicherheitsbewusstseins aller Mitarbeitenden helfen, die ständige Bedrohung durch Phishing und ähnliche Social-Engineering-Angriffe zu minimieren. Letztlich ist die gute Zusammenarbeit zwischen IT, Security und dem Business entscheidend.