Cyberkriminalität
19.02.2020, 15:26 Uhr

Melani warnt KMU vor Ransomware

Die Melde- und Analysestelle Informationssicherheit (Melani) des Bundes wendet sich erneut an KMU und warnt diese eindringlich vor den Gefahren durch Ransomware.
(Quelle: Melani)
Die Melde- und Analysestelle Informationssicherheit (Melani) hat vor einem erhöhten Sicherheitsrisiko durch Ransomware gegen KMU's gewarnt. Vereinzelt seien Lösegeldforderungen in Millionenhöhe gestellt worden, ohne dass eine Garantie bestehe, dass der Erpresser die Daten wieder entschlüssle.
In den vergangenen Wochen habe Melani mehr als ein Dutzend sogenannte Ransomware-Fälle bearbeitet. Dabei hätten unbekannte Täter die Systeme von Kleinen- und Mittleren Unternehmen (KMU) und Grossbetrieben verschlüsselt und damit unbrauchbar gemacht, teilte Melani am Mittwoch mit.
Bei der technischen Analyse der Vorfälle habe sich gezeigt, dass die IT-Sicherheit der betroffenen Unternehmen oftmals lückenhaft gewesen sei und die üblichen «best-practices» nicht vollständig eingehalten worden seien. Zudem seien auch Warnmeldungen von Behörden nicht beachtet worden.

Warnmeldungen nicht bemerkt

Melani weist aufgrund der Vorfälle auf eine Reihe von Schwachstellen hin, die sich als Einfallstor für die Cyberangriffe herauskristallisiert haben. So seien etwa Warnmeldungen von Antivirensoftware, dass auf Servern Malware gefunden worden sei, von den Unternehmen entweder nicht bemerkt oder nicht ernst genommen worden. In wenigen Fällen sei überhaupt keine Antivirensoftware installiert gewesen.
Oftmals seien Fernzugriffe auf Systeme, sogenannte Remote-Zugänge, nur mit einem schwachen Passwort geschützt und der Eingang nur standardmässig eingestellt gewesen. Melani empfiehlt, sämtliche Fernzugänge wie etwa VPN oder Terminalserver mittels Zwei-Faktor-Authentisierung abzusichern.
Meldungen von Behörden oder von Internet Service Providern über allfällige Infektionen seien von den betroffenen Unternehmen ignoriert oder nicht ernst genommen worden. Infektionen seien somit nur teilweise oder gar nicht bereinigt worden, was in vielen Fällen zu einer kompletten Verschlüsselung des Unternehmensnetzwerkes geführt habe.
Viele Unternehmen hätten zudem nur über Online-Backups verfügt, die nicht vom System abgekoppelt zur Verfügung gestanden hätten. Bei einem Befall mit Ramsomware seien diese somit ebenfalls entweder verschlüsselt oder unwiderruflich gelöscht worden. Empfohlen wird, regelmässig eine Sicherungskopie, ein Backup, der Daten zu erstellen. Das Medium, auf dem die Sicherungskopie erstellt wurde, sollte nach dem Backup-Vorgang physisch vom Computer beziehungsweise dem Netzwerk getrennt werden.

Alte Betriebssysteme im Einsatz

Notwendig sei auch ein konsequentes Update. Oft würden Unternehmen auch kein sauberes Patch- und Life-Cycle-Management führen, so dass teilweise veraltete, nicht mehr unterstützte Betriebssysteme oder Software im Einsatz gestanden habe. Die Angreifer hätten diese Sicherheitslücken ausgenutzt und sich dadurch Zugang zum Netzwerk verschafft.
Die Netzwerke seien auch nicht aufgeteilt gewesen, das heisst dass eine Infektion zum Beispiel auf einem Rechner der Personalabteilung dem Angreifer einen direkten Angriffspfad in die Produktionsabteilung ermöglicht habe. Zudem seien häufig Benutzer mit zu hohen Rechten ausgestattet worden. Als Beispiel nennt Melani einen Backup-User, der Domain Admin Rechte habe oder der Systemverantwortliche, der mit denselben Rechten sowohl im Internet surfe wie er die Systeme verwalten.

Kein Lösegeld zahlen

Wenn Systeme durch eine Ransomware verschlüsselt wurden, so rät Melani von einer Lösegeldzahlung ab. Denn dadurch werde die Infrastruktur der Hacker unterstützt. Auch bestehe bei der Bezahlung von Lösegeld keine Garantie, dass der Erpresser die Daten wieder entschlüssele.
Wichtig sei es, dass die betroffenen Unternehmen unverzüglich mit der Kantonspolizei Kontakt aufnähmen, Anzeige erstatteten und mit ihnen das weitere Vorgehen besprechen. Solange es weiterhin Unternehmen gebe, die Lösegeld bezahlten, würden die Angreifer auch nie mit den Erpressungen aufhören.
Falls trotzdem eine Lösegeldzahlung in Erwägung gezogen werde, so müsse beachtet werden, dass Systeme und Daten zwar entschlüsselt werden könnten, die zugrundeliegende Infektion durch Malware bleibe jedoch weiterhin aktiv. Die Angreifer hätten so weiterhin vollen Zugriff auf das Netzwerk des betroffenen Unternehmens und könnten beispielsweise erneut Ransomware installieren oder sensible Daten stehlen.



Das könnte Sie auch interessieren