Hintergrund
Entscheidungen treffen: Warum die Intuition der bessere Kompass sein kann
von Mareike Steger
Cyber-Attacken auf Firmen: «Es gibt ganz klar mehr Fälle»
7.2.2022
Keine Firma scheint zurzeit vor Cyber-Attacken sicher zu sein. Wie Unternehmen zum Opfer werden, was die Hacker wollen und wie du dich schützen kannst, erklärt Senior Cyber Security Analyst Stefan Rothenbühler im Interview.
Seit sechs Jahren arbeitet Stefan Rothenbühler bei der Baarer Cyber-Security-Firma InfoGuard AG. Im Interview erzählt der erfahrene Security-Analyst, was hinter der aktuellen Welle an Cyber-Angriffen steckt.
Stefan, dein Arbeitgeber InfoGuard fokussiert sich auf Cyber Security – schlägst du dich täglich mit Hackern herum?
Stefan Rothenbühler: Kann man so sagen. Ich arbeite im Computer Security Incident Response Team, das ist die «Feuerwehr» der InfoGuard. Wir kommen, wenn ein Unternehmen einen Hacker-Angriff erlitten hat. Keine Woche vergeht ohne ein bis zwei neue Fälle.
Haben Cyber-Attacken also tatsächlich zugenommen oder ist das nur medialer Schall und Rauch?
Cyber-Attacken haben in den letzten Jahren extrem zugenommen, das ist definitiv nicht nur Schall und Rauch. Klar, es wird mehr in den Medien darüber gesprochen – es herrscht mittlerweile mehr Offenheit – aber es gibt ganz klar mehr Fälle.
Welche Unternehmen wenden sich an euch?
Viele KMU. Mittlerweile werden weniger Grossfirmen wie Banken oder Versicherungen gehackt. Wenn sich bei uns grössere Firmen melden, sind das vor allem Industrieunternehmen. Wie viele KMU haben diese Industriefirmen noch nicht so einen starken Schutz wie zum Beispiel Banken aufgebaut.
Wie kommt es zu einem Hacker-Angriff?
Das passiert meist über drei Einfallstore. Als Erstes wegen fehlender Multi-Factor-Authentication (MFA) – also wenn die Zugangsberechtigung nur über eine Stelle abläuft. MFA ist heutzutage Pflicht für Unternehmen. Bei 70 bis 80 Prozent unserer Fälle konnten Angreifer dennoch aufgrund fehlender MFA in das System eindringen. Denn es ist sehr einfach, ein Passwort zu erraten. Es gibt Bots im Internet, die den ganzen Tag nichts anderes tun. Eine schwache Kombination aus dem Firmennamen und der Jahreszahl ist so schnell geknackt. Wenn eine Firma heutzutage also nicht überall konsequent MFA installiert hat, ist das grob fahrlässig und nur eine Frage der Zeit, bis es knallt.
Was ist das zweite Einfallstor?
Phishing oder Spam-Mails. Zum Beispiel solche, die dich zum Download eines Programms einladen, um ein vermeintlich verschollenes Paket zu tracken. Da schlägt der Virenschutz oft nicht an und sogenannte Remote-Access-Trojaner werden installiert. Auch wenn Mitarbeitende Passwörter auf einer Phishing Webseite angeben, können Angreifer sofort auf das Netzwerk zugreifen, wenn keine MFA installiert ist.
Die dritte Angriffsfläche sind Sicherheitslücken in Produkten, die sehr schnell ausgenutzt werden. Das kann eine Lücke im Microsoft-Exchange-Server sein oder auf kollaborativen Plattformen wie Confluence, die Hacker innerhalb von Stunden ausnutzen.
«Will sich eine Firma auf den Schutz alleine konzentrieren oder sich bereits auf einen Angriff vorbereiten?»
Ist eine Firma sicher, wenn sie diese drei Punkte im Griff hat?
Sie ist sicher gut aufgestellt. Doch hundertprozentige Sicherheit gibt es nicht. Deshalb stellt sich die Frage: Will sich eine Firma auf den Schutz alleine konzentrieren oder sich bereits auf einen Angriff vorbereiten? Banken und Versicherungen haben bereits einen Paradigmenwechsel durchgemacht. Sie bereiten sich präventiv auf Hacker-Angriffe vor. Früher bedeutete Security, dass eine Firma einen «Burggraben» um ihre Infrastruktur zog. Heute sind wir von diesem Burgdenken weggekommen. Jetzt ist es wichtiger, einen Angriff schnell aufzudecken und korrekt darauf zu reagieren.
Das heisst, früher oder später werden Firmen sowieso gehackt?
Ja, genau. Denn hinter den Attacken steckt eine ganze Industrie mit vielen Akteuren. Zuerst probiert ein Passwortsammler Passwörter durch – findet er eines, geht er damit in ein Darknet-Forum und verkauft es für fünf bis zehn Dollar. Passwörter grösserer Firmen gibt es bereits ab hundert Dollar. Dieses kauft ein Access Broker, der das Netzwerk betritt und schaut, was zu holen wäre. Er sammelt Informationen zur Firma, ihrem Jahresumsatz und den Berechtigungen des Benutzers.
Was passiert danach?
Der Access Broker geht wiederum ins Darknet und verkauft seine Arbeit als verifizierten Zugang an einen sogenannten Affiliate. Das ist ein Kleinkrimineller oder ein Crypto-Kiddie. Erst dieser Affiliate betritt das Netzwerk, um Daten zu stehlen oder zu verschlüsseln. Doch die Verschlüsselung macht er nicht etwa selber, sondern er kauft sich die Ransomware für die Verschlüsselung. Deshalb nennt sich das «Ransomware as a Service». Die Ransomware-Betreiber bekommen einen Anteil des Lösegelds. So finanziert sich das Ganze.
Es ist also einfacher geworden, jemanden zu hacken?
Genau. Deshalb ist Ransomware so auf dem Vormarsch. Früher musstest du für einen Angriff noch etwas auf dem Kasten haben und etwas von Hacking und Programmierung verstehen. Du musstest jeden Schritt selber machen. Doch heute ist ein grosser Markt mit einem ganzen Ökosystem aus dieser Tätigkeit heraus entstanden. Deshalb ist es für Kleinkriminelle heute bedeutend einfacher, zu verschlüsseln als eine Bank auszurauben.
Wie lange müssen sich Opfer mit den Folgen eines Cyber-Angriffs auseinandersetzen?
Das ist sehr unterschiedlich – aber es sind mindestens Wochen, wenn nicht Monate. Meistens unterstützen wir ein bis zwei Wochen. Danach ist das Unternehmen so weit wieder auf den Beinen, um selber fortzufahren. Ein solcher Schlag kann Unternehmen sehr stark treffen. Denn es werden immense Kosten generiert, die zu Beginn noch gar nicht sichtbar sind. Die Lösegeldforderungen sind nur ein kleiner Teil davon. Je nachdem, wie viel Umsatz ein Unternehmen macht, können die Kosten für den Betriebsausfall Millionenhöhe erreichen. Dann kommen die Überstunden dazu: Da werden sehr viele Arbeitsstunden von externen IT-Dienstleistern und Mitarbeitenden der Firma produziert – oft an Wochenenden.
Wie hoch sind solche Lösegeldforderungen?
Normalerweise werden zwei bis drei Prozent des Jahresumsatzes gefordert. Fälle, die darüber hinausgehen, sind eher selten. Wenn ein Unternehmen aber 500 Millionen Jahresumsatz macht, sind es schnell einmal 20 Millionen.
Das Nationale Zentrum für Cyber-Sicherheit (NCSC) empfiehlt, keine Lösegelder zu zahlen – folgt ihr dem gleichen Grundsatz?
Ja. Es geht schliesslich um die Finanzierung von Kriminalität oder sogar Terrorismus und autoritären Regimen wie Nordkorea. Manchmal ist eine Zahlung leider unumgänglich. Zum Beispiel, wenn die Backups ebenfalls verschlüsselt sind – wenn in diesen Fällen nicht gezahlt wird, ist die Firma einfach weg. Es wird aber auch gezahlt, wenn Hacker sensible Daten von Privatpersonen veröffentlichen könnten. Die Erpressung findet heutzutage nicht nur über Verschlüsselung statt, sondern auch über die Androhung einer Veröffentlichung.
«Wir führen immer Scheinverhandlungen, um mehr über die Angreifer herauszufinden.»
Heisst das, die Angreifer kommunizieren mit euch?
Ja. Wir führen immer Scheinverhandlungen, um mehr über die Angreifer herauszufinden. So erfahren wir die Lösegeldforderung und sehen, wie der Umgang mit ihnen ist. Das gibt Hinweise auf die Herkunft. Manchmal finden wir so sogar heraus, wie die Angreifer ins System gekommen sind. Sie bluffen teilweise damit, wie einfach es gewesen sei, auf bestimmte Art einzudringen.
Was ist das für ein Chat und in welcher Sprache sprecht ihr?
Wir haben es bis jetzt immer auf Englisch versucht – manchmal kommt dann gebrochenes und manchmal sehr gutes Englisch zurück. Bei Ransomware findet der Chat jeweils im Tor-Netzwerk im Darknet statt. Es kommt auch vor, dass der Angreifer das Telefon in die Hand nimmt und die Firma anruft.
Kannst du da Unterschiede zwischen verschiedenen Angreifern heraushören?
Ja – ich spüre mittlerweile sehr schnell, um was für eine Art Angreifer es sich handelt. Nur schon der Umgangston zeigt mir, ob ich es mit einem organisierten Verbrecherunternehmen oder nur einem Kleinkriminellen zu tun habe. Ein Austausch mit einem professionellen Angreifer ist eine interessante Angelegenheit. Das Gespräch findet auf einer Business-Ebene statt. Bei Kleinkriminellen kommt es zu Fehlern, die professionellen Gruppierungen nicht passieren würden. Zum Beispiel, dass ein Passwort vergessen geht.
Diese Verhandlungen sind der Polizeiarbeit sehr ähnlich. Hattet ihr spezielle Coachings oder lernst du das mit der Zeit?
Unser Vorgesetzter war früher Cyber-Ermittler. Zudem lernt man es «on the job». Wir arbeiten sehr eng mit der Strafverfolgung und dem Bund zusammen, mit dem NCSC und den Kantonspolizeien. Mit ihnen stehen wir in regem Austausch. Meines Wissens führt die Polizei selber aber keine Verhandlungen.
Gewisse Attacken werden dem NCSC gemeldet. In unserer Kommentarspalte heisst es, dass dann lediglich eine Zeile im Excel ausgefüllt werde und gut ist – stimmt das?
(lacht) Wie die internen Abläufe beim NCSC sind, weiss ich nicht. Wir erleben die Zusammenarbeit mit dem NCSC als sehr wertvoll und zielführend. So eine Excel-Zeile kann sehr viel wert sein. Nebst den Angriffen werden auch die Überweisungen registriert. Wenn eine Gruppierung irgendwann einen Fehler macht und der Angriff jemandem zugewiesen werden kann, fliesst das Geld vielleicht wieder zurück. Schon heute gibt es für börsennotierte Unternehmen, der Finma unterstellte Firmen sowie für gewisse Teile der kritischen Infrastruktur eine Meldepflicht bei Hacker-Angriffen. Nebst der Meldepflicht ist aber auch die Information gegenüber der Öffentlichkeit wichtig. Da hat ein Wandel stattgefunden. Firmen berichten viel mehr über Angriffe, weil das Thema nicht mehr so tabuisiert ist wie früher. Das hat grosse Vorteile.
«Es ist immer besser, wenn Firmen selber über den Angriff informieren, als wenn es die Öffentlichkeit über die Medien erfährt.»
Wieso?
Es ist immer besser, wenn Firmen selber über den Angriff informieren, als wenn es die Öffentlichkeit über die Medien erfährt. Wenn klar kommuniziert wird, ist das Verständnis grösser. So kann es auch zu unerwarteter Hilfe von aussen führen. Wir hatten Kunden, die nach einem Angriff zur Presse gegangen sind – ihnen wurde dann plötzlich von allen Seiten Hilfe angeboten, die bereits Erfahrung mit solchen Attacken gemacht hatten. Das finde ich lobenswert.
Welche Lehren können private Internet-User aus dieser Angriffswelle ziehen?
Den gesunden Menschenverstand zu nutzen und Dinge bewusster auszuführen – und natürlich gibt es auch konkrete technische Massnahmen. Als Erstes wäre da die MFA – diese sollte, wo möglich, unbedingt aktiviert sein. Denn MFA schützt sehr gut. Zwar gibt es auch da Angriffe, doch die Hürde ist viel höher.
Als zweiter Punkt steht wieder die Achtsamkeit: Brauche ich wirklich ein Programm, um mein Paket zu tracken? Wieso muss ich genau auf diesen Link klicken? Der Besuch von illegalen Webseiten, wie illegale Streaming-Sites, ist da natürlich besonders problematisch. Dort kann überall etwas passieren und es ist schnell etwas Falsches geklickt. Ich habe oft mit «Zero Patients» zu tun – also Leute, die geklickt haben, wo sie nicht sollten. Und sie erzählen immer, dass sie eine Sekunde nach dem Klick realisierten, dass sie das nicht hätten tun sollen. Bevor man Passwörter eingibt, also unbedingt nochmals nachdenken.
Und der dritte Punkt?
Ein konkreter Tipp fürs Internet Banking: User sollten sich auf ihrem Computer einen separaten Benutzer für Internet Banking einrichten. Denn die Banking-Trojaner infizieren meist nur den Benutzerkontext und nicht das ganze System. So wird bei einem Angriff nur der isolierte Benutzerkontext infiziert. Der vierte Punkt ist dieser: kein «Password Reuse». Auf jeder Internetseite sollte ein anderes Passwort verwendet werden. Deshalb empfehlen wir die Nutzung eines Passwortmanagers. Zudem sollten Passwörter einmal im Jahr geändert werden. Der letzte Punkt ist, regelmässig Sicherheitsupdates durchzuführen. Die sind zwar automatisch, doch es schadet nicht, manchmal bei den Apps nachzuschauen.
«Ich hätte gerne, wenn die Schweiz wie früher wieder ein sicherer Hafen wäre – nicht nur für Menschen, sondern auch für Daten. »
Wenn du in eine Glaskugel schauen könntest, wie sähe die Idealsituation der Cyber-Security für dich aus?
Die Angriffe werden wir vermutlich leider nicht los. Wir könnten die Schweiz aber etwas aus dem Fokus rücken. Unser Reichtum ist bekannt und das macht uns zu einem lukrativen Angriffsziel. Ich hätte gerne, wenn die Schweiz wie früher wieder ein sicherer Hafen wäre – nicht nur für Menschen, sondern auch für Daten. Ich glaube, das hat in letzter Zeit etwas gelitten.
Wegen der allgemeinen Bedingungen oder weil die Schweiz etwas verpasst hat?
Man kann sich immer darüber streiten, ob die Schweiz mit der Digitalisierung etwas verpasst hat oder nicht. Ich kenne die Perspektive der Unternehmen: Sie wollen produzieren – da ist die Sicherheit nicht an erster Stelle – verständlich. Doch wenn wir das Netzwerk bei solchen Angriffen mit allen Beteiligten noch etwas verstärken könnten, sind wir auf gutem Weg.
Du bist also hoffnungsvoll eingestellt?
Ich bin zwar sehr hoffnungsvoll, doch gewisse Tatsachen machen mir Angst. Heute sind es gehackte Industrieunternehmen – doch was ist, wenn es ein Atomkraftwerk oder ein Spital trifft? Was passiert, wenn es Menschenleben kostet? Mit der Digitalisierung sind immer mehr Bereiche in unserem Leben abhängig von digitalen Infrastrukturen. Du bist mit 100 Kilometern pro Stunde auf der Autobahn unterwegs und dein selbstfahrendes Auto wird gehackt – was machst du dann? Solche Schreckgespenster jagen mich durchaus.
«Ich will alles! Die erschütternden Tiefs, die berauschenden Hochs und das Sahnige dazwischen» – diese Worte einer amerikanischen Kult-Figur aus dem TV sprechen mir aus der Seele. Deshalb praktiziere ich diese Lebensphilosophie auch in meinem Arbeitsalltag. Das heisst für mich: Grosse, kleine, spannende und alltägliche Geschichten haben alle ihren Reiz – besonders wenn sie in bunter Reihenfolge daherkommen.
16 Kommentare
later