Ransomware bleibt in der Schweiz weiterhin ein Thema. Die Melde- und Analysestelle des Bundes MELANI ruft Unternehmen deshalb dringend dazu auf, Mängel in ihren IT-Sicherheitsvorkehrungen zu beheben und Ransomware-Warnungen ernst zu nehmen.
In den vergangenen Wochen hat MELANI mehr als ein Dutzend Fälle bearbeitet, in denen unbekannte Täter die Systeme von Schweizer KMU und Grossbetrieben verschlüsselt und damit unbrauchbar gemacht haben, heisst es in einer Mitteilung der Meldestelle. Anschliessend stellten die Angreifer jeweils Lösegeldforderungen in der Höhe von mehreren zehntausend Franken und vereinzelt gar in Millionenhöhe.
Die technische Analyse der Vorfälle hat gezeigt, dass die IT-Sicherheit der betroffenen Unternehmen oftmals lückenhaft war und die üblichen Sicherheitsmassnahmen nicht vollständig eingehalten wurden, so MELANI. Zudem seien Warnmeldungen von Behörden nicht beachtet worden. Spezifisch für KMU hat die Meldestelle bereits vor einiger Zeit Empfehlungen im «Merkblatt Informationssicherheit» zusammengestellt, das hier heruntergeladen werden kann.
Typische Schwachstellen identifiziert
Im Rahmen der Aufarbeitung der Vorfälle durch MELANI hat sich eine Reihe von Schwachstellen als Einfallstor für die Cyberangriffe herauskristallisiert, die sich durch Umsetzung der oben erwähnten Empfehlungen schliessen lassen, wie es weiter heisst. Die den Schwachstellen betreffen unter anderem den Virenschutz und entsprechende Warnmeldungen sowie den Schutz der Fernzugriffe.
So wurden Warnmeldungen von installierter Antivirensoftware, wonach auf Servern (z. B. Domain-Controllern) Malware gefunden wurde, von den betroffenen Unternehmen entweder nicht bemerkt oder nicht ernst genommen. In wenigen Fällen war laut MELANI auf einigen Servern überhaupt keine Antivirensoftware installiert.
Ein weiteres Einfallstor war der Umstand, dass Fernzugriffe auf Systeme (Remote-Access), in einigen Fällen nur mit einem schwachen Passwort geschützt und für den Eingang die Standard-Einstellungen (Standardport 3389) ohne Einschränkung (z. B. VPN oder IP-Filter) verwendet wurden. Für Angreifer waren es dadurch ein einfaches Unterfangen, unbemerkt in die betreffenden Systeme einzudringen.
Empfehlung: Lösegeldforderungen ignorieren und Anzeige erstatten
Zur Verstärkung der Gefährdungssituation trug zudem bei, dass die betroffenen Unternehmen Warnungen von Behörden und ISPs über allfällige Infektionen ignorierten oder nicht ernst genug nahmen. Infektionen wurden in der Folge nicht oder nur teilweise beseitigt, was in einigen Fällen in einer kompletten Verschlüsselung von Systemen resultierte.
Sind Systeme durch Ransomware unzugänglich gemacht und stellen die Angreifer Lösegeldforderungen, rät MELANI von einer Zahlung der geforderten Summen ab. Denn einerseits wird dadurch kriminelle Infrastruktur unterstützt, andererseits gibt es keine Garantie, dass der Systemzugang nach einer Zahlung wieder freigegeben wird. Wichtig ist allerdings, dass Anzeige erstatten wird.