Anstieg der Cyberangriffe
04.05.2022, 05:43 Uhr
Zunehmend im Fadenkreuz
Auch wenn IT-Verantwortliche sich der Gefahren des Cyberspace zunehmend bewusst sind, häufen sich die Attacken auf Schweizer Firmen und Organisationen. Das zeigen sowohl Statistiken als auch konkrete Anschauungsbeispiele.
Trotz vieler, zum Teil durchaus auch erfolgreicher Gegenmassnahmen von Firmen und Behörden scheinen sich Cyberkriminelle immer wieder einen Weg in Schweizer Institutionen zu bahnen und diese angreifen zu können. Dies zeigen diverse Statistiken von IT-Sicherheitsfirmen und von offiziellen Stellen.
So haben die Sicherheitsforscher von Check Point Research (CPR), der Forschungsabteilung der israelischen Cybersecurity-Spezialistin Check Point Software Technologies, 2021 einen teils dramatischen Anstieg der Cyberangriffe auf Schweizer Unternehmensnetze feststellen müssen. Diese nahmen nämlich um 65 Prozent zu und damit drastischer als im weltweiten Durchschnitt. Denn hier wurde ein Anstieg von 50 Prozent gegenüber dem Vorjahr registriert. Auf Branchen bezogen, waren in der Schweiz Healthcare-Anbieter unter Dauerfeuer und verzeichneten 107 Prozent mehr Attacken als 2020. Danach kommen die Bereiche Finance/Banking mit 98 Prozent sowie Government/Military mit 86 Prozent Zunahme.
Doppelt so viele Meldungen
Aber nicht nur IT-Security-Firmen stellen fest, dass Schweizer Institutionen zunehmend von Cyberkriminellen ins Visier genommen werden. Auch das Nationale Zentrum für Cybersicherheit (NCSC) zählte 2021 mit 21 000 Meldungen doppelt so viele Vorfälle wie im Jahr davor.
Das NCSC führt wöchentlich Buch über die rapportierten Cybervorfälle (vgl. Grafik). Hier zeigt sich eindrücklich, dass die Meldungen vor allem gegen Ende 2021 zugenommen haben und auch Anfang 2022 auf ähnlich hohem Niveau verharren.
Besonders markant war der Anstieg der Fälle in der Woche 41, als das NCSC 832 Meldungen entgegennehmen musste. Grund war eine Welle von gefälschten SMS, welche die Empfänger dazu verleiten sollten, eine bösartige Android-App auf ihrem Mobiltelefon zu installieren, welche die Schadsoftware «FluBot» enthielt.
Diese Rekordzahl für das Jahr 2021 wurde bereits Anfang 2022 getoppt. Denn in der Kalenderwoche 2 erhielt das NCSC 881 Meldungen. Eigenen Angaben zufolge ist dies der höchste Meldeeingang in seiner Geschichte. Grund dafür seien vor allem sogenannte «Fake-Extortion E-Mails» im Namen von Strafverfolgungsbehörden gewesen, die fast 40 Prozent der Meldungen ausmachten.
Schliesslich zeigt auch die Polizeistatistik in Sachen Cybercrime steil nach oben. Zählte die polizeiliche Kriminalstatistik (PKS) des Bundesamts für Statistik (BFS) im Jahr 2020 noch 24 398 Straftaten mit einer digitalen Komponente, waren es 2021 bereits deren 30 351. Dies entspricht einer Zunahme von knapp 25 Prozent. Während auch hier Betrugsfälle die dominierende Mehrheit der Straftaten ausmacht, nämlich mehr als die Hälfte, sind besonders Erpressungen mit «einem Cybermodus» kräftig angestiegen. Diese Straftaten nahmen um sage und schreibe 83,5 Prozent zu.
Dauerbrenner Ransomware
Tatsächlich sind Angriffe, bei denen Cyberkriminelle Erpressungstrojaner verwenden, sehr verbreitet. Dabei werden meist Daten verschlüsselt, um danach von Firmen ein Lösegeld für die Entschlüsselung zu fordern. Hier zeigt die Studie «The State of Ransomware 2021» von Sophos mit weltweit 5400 teilnehmenden IT-Entscheidern, darunter 100 aus der Schweiz, dass im Vergleich zum globalen Durchschnitt helvetische Firmen häufiger angegriffen werden. Auf die Frage, ob sie bereits Opfer einer Ransomware-Attacke geworden seien, antworteten 46 Prozent der Schweizer IT-Verantwortlichen mit «ja». Weltweit bejahten «nur» 37 Prozent diese Frage.
Dass Ransomware von Schweizer CIOs vermehrt als Bedrohung wahrgenommen wird, zeigt auch die Swiss-IT-Umfrage von Computerworld (vgl. Grafik). Auf die Frage nach den gefährlichsten Bedrohungen, antworteten 2020 noch 64,4 Prozent der befragten IT-Entscheider mit «Ransomware». 2021 kletterte dieser Prozentsatz auf 77,6 und löste damit «Phishing/Social Engineering» als meistgenannte Antwort ab. Da die meisten erfolgreichen Ransomware-Attacken aus einer Kombination aus Phishing und Platzierung der Erpresser-Software bestehen, sind sich die Schweizer CIOs der Bedrohung durchaus sehr bewusst.
Mit Recht, wie die entsprechenden Zahlen des NCSC zum Thema belegen. So hat das Zentrum während des letzten Jahres 161 Meldungen zu Ransomware erhalten. Zum Vergleich: 2020 waren es dagegen «lediglich» 67 Fälle. Somit sind die gemeldeten Angriffe mit Ransomware innert nur eines einzigen Jahres um ganze 140 Prozent gestiegen.
Konkrete Fälle stützen die Statistik
Dass Schweizer Unternehmen und Organisationen immer häufiger von Ransomware-Angriffen heimgesucht werden, zeigen auch die vielen Fälle, die in den letzten zwölf Monaten publik und von der Computerworld-Redaktion zusammengetragen wurden. Ein Blick auf die Liste zeigt schnell, dass kaum eine Branche oder Landesregion vor Cyberattacken, meist mit Ransomware, sicher ist. Allerdings dominieren Fälle aus Verwaltung, Erziehung und Gesundheitswesen, und dies wiederum korreliert ziemlich exakt mit Auswertungen von Dreamlab Technologies zum Schweizer Cyberspace. Demzufolge entfallen fast 45 Prozent der gefundenen kritischen Schwachstellen auf das Erziehungswesen, 20 Prozent werden bei Behörden entdeckt und 19 Prozent im Gesundheitswesen.
Nicht zuletzt weil Schulen und Universitäten schwierig abzusichern sind, sind sie besonders verwundbar. Schliesslich benötigen die vielen Studierenden und Angestellten ungehindert Zugriff auf Ressourcen und im einen oder anderen Institut läuft auch noch das eine oder andere exotische beziehungsweise veraltete Software-Produkt. Die Problematik lässt sich gut am Angriff auf die Universität Neuenburg illustrieren, der vor Kurzem, genauer am 18. Februar 2022, geschah. Hacker attackierten die Uni mit Ransomware, worauf die IT-Verantwortlichen alle Systeme herunterfahren mussten. Einfallstor sei «eine private Hardware» gewesen, gab das Bildungsinstitut zu Protokoll. Diese sei mit einem Server der Universität verbunden gewesen.
Zwar gelang es den Technikern, die Systeme nach und nach wieder hochzufahren. Doch zeigte sich, dass die Angreifer, die sich später in Form der Hackergruppe «Conti» zu der Attacke bekannten, auch Daten in grösserem Umfang abgreifen konnten und diese im Darknet veröffentlichten. Damit ist die Neuenburger Uni auch ein Anschauungsbeispiel für den Hackertrend, nicht nur die Daten und Systeme ihrer Opfer zu verschlüsseln, sondern sich vorgängig eine Kopie der Informationen zu ziehen und damit zu drohen, diese auf einschlägigen kriminellen Marktplätzen im Web zu veröffentlichen.
Diese «Doxing» genannte Methode, welche die Veröffentlichung von Dokumenten oder sonstigen Informationen zu erpresserischen Zwecken umfasst (von englisch «dox», eine Kurzform zu «documents»), wurde offenbar auch beim Angriff auf die Waadtländer Gemeinde Rolle praktiziert. Denn im Mai 2021 wurden nicht nur die Rechner der Kommune am Genfersee mit Ransomware verseucht und wichtige Informationen verschlüsselt. Wie die Westschweizer Tageszeitung «Le Temps» damals berichtete, seien anschliessend die Daten von etwa 5500 Einwohnern der Gemeinde (Name, Adresse, Geburtsdatum, AHV-Nummer etc.), von Gemeindeangestellten und bestimmten Unternehmen im Darknet zugänglich gewesen. Gemäss einem Bericht der «Neuen Zürcher Zeitung» waren dort sogar Zeugnisse mit Schulnoten oder Informationen von Kindern, die sich mit dem Coronavirus infiziert hatten, zugänglich. Zudem seien von Gemeindeangestellten Jahresbeurteilungen ersichtlich gewesen. Die Ausbeute der Hacker im Fall der Gemeinde Rolle kann somit aus Angreifersicht als ergiebig gelten. Doch Rolle war bei Weitem nicht die einzige attackierte Schweizer Kommune. So wurden auch Angriffe aus Mellingen, Yverdon-les-Bains, Montreux und St. Gallen gemeldet.
Fast schon Glück im Unglück hatten die Pallas-Kliniken, die im August 2021 Opfer eines Ransomware-Angriffs wurden. Zwar wurden sogar die Backups in Mitleidenschaft gezogen, allerdings konnte die Klinikgruppe in einer Mitteilung erleichtert feststellen, dass keine Patientendaten betroffen gewesen seien. Auch der Klinikbetrieb habe grösstenteils weiterlaufen können.
Aller Ungemach zum Trotz konnte Georgos Pallas, CEO der Pallas Kliniken, nach überstandenem Angriff der Situation etwas Gutes abgewinnen. So habe der Vorfall die Mitarbeitenden und alle bei der Behebung der Schäden Beteiligten zusammengeschweisst, meinte er und fügte an: «Einerseits haben wir eindrücklich erlebt, wie abhängig wir von Computern geworden sind. Andererseits kann der Mensch durchaus auch ohne Computer arbeiten, wenn es sein muss, das beruhigt doch auch irgendwie.»