Kleine und mittlere Unternehmen geraten immer häufiger ins Visier von Cyberkriminellen. Der Grund: Sie sind wohlhabend, in hohem Masse digitalisiert und zu wenig sicherheitsbewusst. Mit wenig Aufwand können sich Firmen aber gegen Ransomware-Attacken schützen.
Stellen Sie sich vor, Sie gehen am Morgen aus dem Haus und lassen die Tür einfach so offen. Denn Sie sind sicher, Ihnen passiert schon nichts, wer soll sich schon für Ihre Wohnung interessieren? Genauso verhalten sich noch immer zahlreiche Schweizer KMU. Sie denken, Ihre kleine Firma sei gar nicht interessant genug, um ins Visier von Cyber-Kriminellen zu geraten. Was für ein Irrtum. Denn die häufigste Gefahrenquelle für KMU ist heute nicht etwa Datendiebstahl, sondern Ransomware: Erpresser, die sämtliche Geschäftsdaten verschlüsseln und nur gegen Bares (bzw. Cryptowährung) wieder herausrücken.
Kein Zugriff auf Firmendaten
Ransomware (vom englischen Ransom: Lösegeld) ist ein Stück Software, das über eine Sicherheitslücke ins System eingeschmuggelt wird. Dort verschlüsselt sie sämtliche Daten und verhindert den Zugriff darauf. Die Firmenleitung erhält eine Nachricht, dass die Daten wieder freigegeben würden, wenn eine bestimmte Summe bezahlt werde. Diese richtet sich häufig nach der finanziellen Leistungsfähigkeit der betroffenen Firma. Das können 2 Millionen sein, aber auch nur 20'000 Franken, meist zahlbar in Cryptowährung. Was passiert, wenn Sie überhaupt keine digital gespeicherten Daten mehr abrufen können? Kundendaten, Rechnungen, Buchhaltung, Löhne. Für Cyberkriminelle haben diese Daten keinen grossen Wert. Für das Überleben der Firma sind sie aber essenziell. Darum ist eine solche Erpressung auch so vielversprechend.
Arbeitsteilung bei Cyberkriminellen
Die Ransomware-Szene hat sich in den letzten Jahren stark verändert, was die Gefahr für KMU noch verstärkt. Häufig herrscht eine eigentliche Arbeitsteilung: Die einen stellen die nötige Software zur Verfügung, oft gegen wenig Geld, andere steuern Listen mit kompromittierten Passwörtern bei, die dritten starten den Angriff selbst. So kann recht günstig und effizient gearbeitet werden. Für eine «angemessene» Rendite reicht auch ein eher kleines Lösegeld von einigen Tausend Franken. Auf der anderen Seite der Skala ist nicht die günstige Automatisierung das Ziel, sondern eine ausgefeilte Attacke, die von langer Hand vorbereitet wurde. Mithilfe von Social Engineering werden Zielpersonen im digitalen Raum ausgespäht und mit den so gewonnen Informationen eine Attacke lanciert. Beide Methoden sind weit verbreitet.
Auch kleine Firmen sind bedroht
Das Segment der KMU ist schon seit einiger Zeit verstärkt im Visier der Cyber-Kriminellen. Das hat seine Gründe: Die kleinen und mittleren Unternehmen in der Schweiz verfügen oft über ein komfortables finanzielles Polster, sind häufig relativ stark digitalisiert und sind noch immer zu leichtsinnig beim Absichern ihrer IT-Infrastruktur. Die PwC-Studie «Cyberrisiken 2021» nennt Ransomware als grösste Bedrohung mit starkem Wachstum: Wurden 2020 noch 1300 Attacken gemeldet in der Schweiz, waren es 2021 bereits 2435. Das ist fast eine Verdoppelung. Die Dunkelziffer dürfte höher sein, da viele Unternehmen den Reputationsschaden fürchten lieber zahlen und den Vorfall für sich behalten. Betroffen sind sämtliche Branchen und alle Firmengrössen.
Prävention gegen Ransomware
Ob eine Zahlung allerdings den gewünschten Erfolg bringt, ist mehr als zweifelhaft. Das Risiko, dass am Schluss Geld und Daten weg sind, ist beträchtlich. Ausserdem bestärkt jede Lösegeldzahlung die Verbrecher in ihrem Tun. Besser ist, sich im Vorfeld ausreichend Gedanken zu machen, wie eine Ransomware-Attacke zu verhindern ist. Dabei ist zentral, den Zugang zum System so schwierig wie möglich zu machen. Mit den üblichen technischen Mitteln wie aktuelle Sicherheits-Software, optimal konfigurierte Netzwerk-Komponenten und einem System, das auf dem neusten Stand ist. In den meisten Fällen lohnt es sich, diese Arbeiten als Service bei einem Dienstleister zu beziehen.
Eine einfache und bewährte Methode ist die konsequente Anwendung einer Multifaktor-Authentifizierung. Das könnte gemäss einer Microsoft-Studie bereits rund 99 Prozent der Ransomware-Angriffe verhindern. Ebenso wichtig ist ein ordentliches Backup der Daten. Diese sollten dabei auf ein getrenntes System gesichert werden, das von einer allfälligen Ransomware-Attacke nicht betroffen sein kann. Überlegenswert ist die regelmässige Sicherung von Daten auf ein Offline-Medium. Das Einrichten eines Backups hat seine Tücken, insbesondere, wenn die Daten automatisch gespeichert werden. Es lohnt sich, regelmässig zu testen, ob das Backup funktioniert und die Daten im Notfall tatsächlich zurückgespielt werden können.
Schliesslich ist die Weiterbildung und Sensibilisierung der Mitarbeitenden eine zentrale Säule im Abwehrkampf gegen Ransomware. Wenn allen Kolleginnen und Kollegen bewusst ist, wo Gefahren lauern und mit welchem Verhalten sie zur Sicherheit der Firmendaten beitragen können, lässt sich die Gefahr einer Ransomware-Attacke wirkungsvoll minimieren. Die zurichnetgroup bietet dafür den Service netgroupPREVENTION an, welcher hilft, Mitarbeitende auf solche Angriffe vorzubereiten und ausreichend zu schulen.
Fazit
Schweizer KMU geraten zunehmend ins Visier von Ransomware-Attacken. Dabei geht es nicht in erster Linie um den Raub ihrer Daten. Die Firmendaten werden vielmehr verschlüsselt und erst gegen die Zahlung eines Lösegelds wieder freigegeben. Schützen können sich Firmen einerseits mit technischen Mitteln, mit einer Multifaktor-Authentifizierung und andererseits mit gut ausgebildeten und sensibilisierten Mitarbeitenden. Da sich die Bedrohungen laufend ändern, lohnt sich der Beizug eines spezialisierten Dienstleisters. Fachleute raten dringend von der Bezahlung des Lösegeldes ab.
Herkömmliche Security Awareness Trainings bieten heutzutage keinen ausreichenden Schutz gegen Cyberangriffe mehr. Lernen Sie deshalb, wie Sie Ihr Unternehmen mithilfe von netgroupPREVENTION ausreichend schützen können.
