«Wir raten davon ab, Lösegeld zu bezahlen»

Werden auch in der Schweiz Spitäler von Cyberkriminellen angegriffen? Wie können sich Schweizer Firmen vor den Internet-Gangstern schützen? Influence hat bei Max Klaus nachgefragt. Der Berner ist stellvertretender Leiter der Melde- und Analysestelle Informationssicherung des Bundes (Melani).

Max Klaus, stellvertretender Leiter der Melde- und Analysestelle Informationssicherung des Bundes (Melani).

Haben Cyberangriffe mit Lösegeld-Forderungen in der Schweiz zugenommen?
Max Klaus: Ja. Seit einem Jahr stellen wir in der Schweiz eine deutliche Zunahme von Cyberangriffen mit erpresserischen Forderungen fest. Zahlen können wir keine nennen, weil es in der Schweiz keine Meldepflicht für Cybervorfälle gibt.

Wurde auch schon von Schweizer Spitälern Lösegeld erpresst?
Wir wissen von Spitälern, die mit einem Krypto-Trojaner angegriffen wurden. Ob es dabei zu erpresserischen Forderungen gekommen ist, entzieht sich unserer Kenntnis.

Sollen Opfer von Cyberangriffen ein Lösegeld bezahlen?
Nein, wir raten ausdrücklich davon ab, Lösegeld zu bezahlen.

Wird Lösegeld bezahlt?
Ja. Es sind viele Fälle bekannt, in denen die Erpressten auf die Forderungen eingegangen sind. Das Lösegeld investieren die Cyberkriminellen oft in die eigene Infrastruktur, um beim nächsten Mal einen noch verheererenden Angriff zu führen. Es kommt auch häufig vor, dass die gehackten Daten oder Geräte nach Zahlung des Lösegelds trotz allem nicht entschlüsselt werden.

Weshalb kommt es denn zu Lösegeld-Forderungen?
Mit Erpressung lässt sich relativ einfach Geld verdienen: Verschlüsselungstrojaner können im Darknet erworben werden, es braucht also kaum IT-Kenntnisse, um so einen Angriff durchzuführen. Wenn die verschlüsselten Daten für das Opfer einen wirtschaftlichen oder emotionalen Wert haben, ist es unter Umständen sehr schnell bereit, das geforderte Lösegeld zu zahlen.

Wie können Spitäler ihre IT-Systeme gegen Cyberangriffe schützen?
Selbstverständlich sind technische Massnahmen wie regelmässige Backups, Virenschutz, Firewall und Updates aller Softwarekomponenten et cetera sehr wichtig. Leider wird oft übersehen, dass neben technischen Lösungen auch organisatorische Massnahmen zu implementieren sind. Beispielsweise sollte man einen Notfallplan haben, wie man weiter arbeiten kann, wenn die IT ausfällt.

Was ist die Besonderheit betreffend IT-Systemen in Spitälern?
Viele Spitäler verwenden Geräte, die vom Hersteller zertifiziert sind. Das bedeutet: Der Hersteller garantiert die Funktionalität des Geräts nur im originalen Zustand. Dem Kunden ist es also nur mit ausdrücklicher Zustimmung des Herstellers erlaubt, ein Update des Betriebssystems vorzunehmen. Das kann dazu führen, dass bekannt gewordene Sicherheitslücken nicht geschlossen werden, weil der Hersteller einem Update des Betriebssystems nicht zustimmt.

Wie kann eine Firma sensible Systeme oder Informationen besser schützen?

Wichtig sind die Klassifizierung der Informationen und die Durchsetzung der entsprechenden Verhaltensregeln. Beispielsweise dürfen vertrauliche Nachrichten nur verschlüsselt per E-Mail verschickt werden, oder als geheim deklarierte Dokumente dürfen nur auf isolierten Geräten ohne Internetzugang gespeichert werden.

Sind Cyberkriminelle den Sicherheitsunternehmen einen Schritt voraus?
Es ist ähnlich wie beim Kampf gegen Doping. Ein Sportler, der dopen will, tut dies mit Substanzen, die noch nicht nachgewiesen werden können. Im IT-Bereich gibt es sehr viele Sicherheitslücken, die wir noch gar nicht kennen, die aber im Untergrundmarkt bereits bekannt sind und beispielsweise im Darknet zum Kauf angeboten werden.

Welches war für Sie der international bisher spektakulärste Cyberangriff?

Das ist eine schwierige Frage. Grosse Schlagzeilen hat der Stromausfall an Weihnachten 2015 in der Ukraine gemacht (während mehrerer Stunden waren 700'000 Menschen in der Region Iwano-Frankiwsk komplett vom Stromnetz abgeschnitten, die Red.). Es war der erste flächendeckende Stromausfall, der eindeutig auf einen Hackerangriff zurückgeführt werden konnte. Kein Hackerangriff, aber auch sehr spektakulär war vor einigen Jahren «Heartbleed», eine Sicherheitslücke in einer Verschlüsselungsbibliothek. Infolge der weiten Verbreitung der von «Heartbleed» betroffenen Verschlüsselungsbibliothek waren weltweit rund zwei Drittel aller Internetnutzer von dieser Sicherheitslücke potenziell betroffen. Schliesslich hat auch der Computerwurm «Stuxnet», der vor einigen Jahren in einem iranischen Urananreicherungswerk die Zentrifugen manipulierte, für viel Aufsehen gesorgt.

Gespräch: Thomas Wälti


Kriminelle Energie

Cyberkriminelle werden immer raffinierter und boshafter: Während Internet-Gangster beim koordinierten Hackerangriff an Weihnachten 2015 in der Ukraine noch 50 Unterstationen von der Stromversorgung abklemmen mussten, genügt es heute bereits, eine einzige Unterstation auszuschalten, um einen um 65 Prozent höheren Stromverlust herbeizuführen. Das hat der letzte Cyberangriff in der Ukraine gezeigt. Hinzu kommt, dass nicht «nur» der Service – also die Stromlieferung – partiell lahmgelegt worden ist, sondern auch die automatisierten Systeme, die eine rasche Wiederherstellung und infolgedessen einen reibungslosen Betrieb hätten sicherstellen sollen. Michael Assante, der technische Direktor der US-Expertengruppe Sicherheit, die der Ukraine zu Hilfe geeilt war, kam im vergangenen Februar in der bedeutendsten Cyberkonferenz zu folgendem Schluss: «Die Folge der Angriffe? Die Opfer verloren jedes Vertrauen in die Automatisierung. Sie wichen auf Handarbeit aus – eine Kapitulation.» (Quelle: SANS Institute)