Cyberbedrohungen
Ransomware (Unternehmen)
Bei Ransomware handelt es sich um eine Schadsoftware Familie, welche einzelne Dateien und Verzeichnisse oder auch komplette Datenträger (z. B. die Festplatte) verschlüsselt oder den Zugriff auf andere Weise unmöglich macht oder diesen zumindest erschwert. Die Angreifer fordern im Anschluss ein Lösegeld (engl. Ransom) für die Freigabe der Daten. Ein häufiges Einfallstor sind schädliche E-Mail-Anhänge oder unzureichend abgesicherte Systeme.
Bei sogenannten «Double Extortion»-Angriffen wird zusätzlich zum Verschlüsseln der Daten auch damit gedroht, die Daten zu veröffentlichen, sollte kein Lösegeld gezahlt werden.
Vorbeugende Massnahmen
- Schulen Sie die Mitarbeitenden im Umgang mit E-Mails, insbesondere im Umgang mit Anhängen.
- Blockieren Sie «gefährliche» Dateiendungen bereits auf Ihrem E-Mail-Gateway (z. B. Makros oder Dateitypen wie etwa .exe, .bat, .js usw.).
- Durch die Verwendung von Windows AppLocker können Sie den Schutz Ihrer IT-Infrastruktur stärken. Denn dadurch wird es möglich, zu definieren, welche Programme auf den Computern in Ihrem Unternehmen ausgeführt werden dürfen.
- Sichern Sie Ihre Daten regelmässig. Diese Sicherung kann lokal (z. B. externe Datenträger) oder online (z. B. Cloudspeicher) erfolgen. Stellen Sie sicher, dass das gewählte Sicherungsmedium nach der Sicherung von Ihrem System getrennt ist, da sonst die Gefahr besteht, dass bei einer Ransomware-Attacke auch das Sicherungsmedium selbst verschlüsselt oder auf andere Weise unbrauchbar gemacht wird.
Massnahmen für Betroffene
Ransomware kann erheblichen Schaden verursachen. Insbesondere in jenen Fällen, die denen auch die Datensicherungen (Backups) davon betroffen sind. Bleiben Sie bei einem Vorfall ruhig und handeln Sie überlegt. Falls in Ihrem Unternehmen die Fachkenntnis zur Bewältigung des Vorfalls nicht vorhanden ist, holen Sie sich Unterstützung bei einem spezialisierten Unternehmen.
Folgende Punkte sind bei einem Vorfall mit Ransomware zu beachten:
- Schadensbegrenzung: Trennen Sie die infizierten Systeme umgehend vom Netz. Berücksichtigen Sie dabei auch allenfalls vorhandene WLAN-Geräte.
- Identifikation der infizierten Systeme: Bei der Identifikation der betroffenen Systeme können Systemprotokolle und andere Logdateien helfen. Auch die Metadaten der verschlüsselten Dateien können Hinweise auf infizierte Systeme liefern. Sichern Sie die Logdateien und Hinweise zu möglichen infizierten Systemen und kompromittierten Benutzerkonten.
- Detektion: Anhand der Logdateien können unter Umständen vom Angreifer verwendete URLs und IP-Adressen ermittelt werden. Blockieren Sie diese URLs und IP-Adressen auf dem Proxyserver bzw. auf der Firewall. Damit verhindern Sie eine ungewollte Verbindung zur Infrastruktur des Angreifers.
- Forensische Untersuchungen: Entscheiden Sie zeitnah, ob eine forensische Untersuchung durchgeführt werden soll. Dies ist vor allem in jenen Fällen wichtig, wenn Sie Strafanzeige bei der Landespolizei erstatten wollen. Forensisch korrekte Sicherungen von flüchtigen Speichern und Datenträgern sollten durch fachkundige Mitarbeitende oder externe Dienstleister vor weiteren Reparaturversuchen oder Neustarts der betroffenen Systeme erfolgen.
- Sicherung der verschlüsselten Daten: Es ist empfehlenswert, ungeachtet ob ein Backup vorhanden ist oder auch dieses verschlüsselt wurde, die verschlüsselten Daten zu behalten und zu sichern. Allenfalls können die Daten zu einem späteren Zeitpunkt entschlüsselt werden.
- Neuinstallation der betroffenen Systeme: Bevor Sie mit der Wiederherstellung der Systeme und Daten beginnen, ist eine Neuinstallation der infizierten Systeme erforderlich. Dabei sollte auf vertrauenswürdige Datenträger zurückgegriffen werden.
Eine teilweise oder komplette Wiederherstellung der Daten kann auch ohne Backup möglich sein. Beispielsweise in jenen Fällen, in denen die Ransomware Schattenkopien in Windows nicht verschlüsselt oder gelöscht hat, Snapshots von virtuellen Maschinen oder frühere Dateiversionen bei Clouddiensten existieren, die forensische Wiederherstellung gelöschter Dateien möglich ist oder die Ransomware in ihrer Verschlüsselungsfunktion Fehler aufweist oder der Schlüssel für die Entschlüsselung bekannt ist.
Hinweise zur Zahlung von Lösegeldern
Die Stabsstelle Cyber-Sicherheit rät von der Zahlung eines Lösegeldes ab. Es gibt keine Garantie dafür, dass nach der Bezahlung des Lösegeldes die Daten durch die Angreifer wiederhergestellt werden oder die Daten ungeachtet der Bezahlung dennoch veröffentlicht werden. Zudem motiviert jede erfolgreiche Erpressung die Angreifer zum Weitermachen, finanziert die Weiterentwicklung der Angriffe und fördert deren Verbreitung.