Die Digitalisierung eröffnet der Wirtschaft neue Wachstumschancen und Beschäftigungsmöglichkeiten. Zugleich erfordert sie innovative Prozesse und führt zu einer grösseren Abhängigkeit von einwandfreier Informations- und Kommunikationstechnik. Diese Abhängigkeit können Cyberkriminelle ausnutzen, um sich Zugang zu Netzwerken zu verschaffen, Daten zu stehlen oder gesamte Systeme lahmzulegen. Obwohl wir in der Schweiz sehr gut geschützt sind, bieten alle Unternehmen wie auch Privatpersonen, die Internetdienste nutzen, eine Angriffsfläche für Cyberkriminelle. Ein solcher Cyberangriff kann zur existenziellen Bedrohung werden.
Manche Tätergruppen agieren absolut skrupellos und greifen selbst Spitäler und kritische Infrastrukturen an. Ein erfolgreicher Angriff auf ein grösseres Spital hat schwerwiegende Folgen. Es kann zu Todesfällen kommen, weil die Patient:innen bei einem Totalausfall der IT nicht mehr zeitnah fachgerecht behandelt werden können.
Die grösste Onlinebedrohung
Derzeit stellt Ransomware die mit Abstand grösste Bedrohung im Bereich der Cyberkriminalität dar. Die Anzahl der erfolgreichen Angriffe auf Unternehmensnetzwerke nimmt zu. Die Gruppierungen, die Ransomware einsetzen, haben 2023 mehrere Milliarden Dollar an nachgewiesenen Lösegeldzahlungen erhalten. Diese Einkünfte verwenden sie zum Teil für die Weiterentwicklung der Schadsoftware, den Ausbau der Organisationen und der Infrastruktur. Die Erfolge solcher Tätergruppierungen ziehen zudem neue Akteure an.
Das verbreitetste Geschäftsmodell ist «Ransomware-as-a-Service». Es funktioniert ähnlich wie ein Franchise-Vertriebssystem: Eine Kerngruppierung stellt gegen einen Prozentsatz des Lösegelds Verschlüsselungssoftware, Bezahlmodul und Infrastrukturen zur Verhandlung mit Geschädigten zur Verfügung, sodass mehrere Gruppen selbstständig Angriffe durchführen können. So entwickeln sich grosse, arbeitsteilige Netzwerke von Cyberkriminellen, die wie kommerziell erfolgreiche Unternehmen funktionieren.
Doppelte Erpressung
Oftmals setzen die Gruppierungen auf eine Doppel-Erpressungsstrategie. Einerseits erfolgt die Erpressung aufgrund der Datenverschlüsselung. Nur durch Bezahlung kann das Unternehmen weiter operieren. Andererseits werden vor der Verschlüsselung umfangreiche Datenbestände aus den betroffenen Unternehmensnetzwerken ausgeleitet. Anschliessend droht die Täterschaft mit der Veröffentlichung oder dem Verkauf der Daten, sofern das Lösegeld nicht überwiesen wird. Zudem erhöhen die Täter den Druck, indem sie teilweise aktiv Journalist:innen, Mitarbeitende und Kunden der Geschädigten angehen.
Vorbereitung ist alles
Das Unternehmensmanagement muss verstehen, dass IT-Sicherheit etwas kostet und man in sie investieren muss. Sollte sich ein Vorfall ereignen, ist die Vorbereitung essenziell. Im Vorfeld muss eine Risikostrategie inklusive Prioritäten, Einschränkungen und maximal tragbarer Risiken definiert werden. Die Unternehmen müssen sich darauf einstellen, dass sie nach einem Vorfall während Tagen Teile ihrer Dienstleistung nicht erbringen können oder ihre Produktion stillsteht. Eingespielte Prozesse, Eskalationspfade und ein Konzept für die öffentliche Krisenkommunikation sind unabdingbar, um die Kontrolle zu behalten. Dazu sollten periodisch Notfallübungen durchgeführt und ein geeignetes Krisenmanagement eingerichtet sein.
Wichtig ist auch, dass Unternehmen ein mehrschichtiges Sicherheitskonzept verfolgen. Auf der einen Seite muss man den technischen Aspekten Sorge tragen. Diesbezüglich stehen funktionierende Frameworks zur Verfügung, an die man sich halten kann. Nachlässigkeit darf man sich dabei nicht erlauben: Beispielsweise einen Patch nicht einzuspielen oder veraltete Geräte weiter zu benutzen, kann schwerwiegende Folgen haben.
Auf der anderen Seite müssen die Mitarbeitenden Teil des Sicherheitskonzeptes sein. Sie müssen wissen, wie mögliche Anzeichen eines Vorfalls aussehen und an wen sie entsprechende Feststellungen melden sollen. Ausserdem müssen die Mitarbeiterinnen und Mitarbeiter, die Abwehrmassnahmen konfigurieren, ihre Arbeiten in einer aktuellen Dokumentation festhalten. Wenn die kombinierte Abwehr von Mensch und Technologie funktioniert, wird es für die Täter schwierig.
Von Datenfriedhöfen geht auch eine grosse Gefahr aus. Unternehmen sollten regelmässig prüfen, welche Daten sie horten und jene löschen, die nicht mehr nötig sind. Insbesondere können Kundendaten für IT-Dienstleister zur Gefahr werden. Sensible Kundendaten darf man gar nicht speichern – auch nicht zu Testzwecken. Das Beispiel des Xplain-Hacks veranschaulicht das Problem: Der Vorfall erweckte den Eindruck, als seien mehrere Bundesämter gehackt worden. Doch das war nicht der Fall. Der IT-Dienstleister Xplain hatte Behörden- und Polizeidaten auf seinen Systemen gespeichert, die durch den Vorfall in die Hände der Hacker gerieten.
Verfolgung von Cyberkriminellen
Ransomware-Angriffe stellen ein enormes wirtschaftliches Risiko dar – für Grosskonzerne und KMUs – und stürzen Unternehmen regelmässig in existenzbedrohende Krisen. Darüber hinaus sind Gruppierungen, die Ransomware einsetzen, häufig auch an weiteren cyberkriminellen Aktivitäten beteiligt. Folglich hat die Bekämpfung dieser Gruppierungen Einfluss auf andere Deliktsfelder. Die Kantonspolizei Zürich, das BACS (ehem. NCSC) und das Bundesamt für Polizei (fedpol) warnen regelmässig vor aktuellen Ransomware-Angriffen und empfehlen dabei präventive und reaktive Massnahmen.
Die professionelle Vorgehensweise der Täterschaft setzt entsprechend intensive, hoch spezialisierte Ermittlungen und Ressourcen voraus, wodurch erhebliche Kosten entstehen. Umso wichtiger ist es, dass die Strafverfolgungsbehörden die notwendigen Ressourcen investieren und ihre Ermittlungserfahrung in internationale Kooperationen einbringen können. Denn es hat sich gezeigt, dass auch Täter:innen von der Schweiz aus agieren und hier greifbar sind. Die Ressourcen der Schweizer Strafverfolgungsbehörden reichen aber nicht aus, um diese selbstständig zu identifizieren und lokalisieren.
Bewusster Datenumgang
Technisch ist die Schweiz in Sachen IT-Sicherheit gut aufgestellt. Doch im Bereich der Data Governance müssen wir einen Schritt vorwärts machen. Wir müssen uns den bewussten Umgang mit Daten wieder in Erinnerung rufen. Das gilt besonders für Privatpersonen. Welche Daten speichere ich? Welche gebe ich weiter? Wie und wo sichere ich sie? In der aktuell herrschenden Überwachungsökonomie durch verschiedene Organisationen wie die Tech-Giganten Apple, Google, Meta und Microsoft müssen wir genau prüfen, welche Daten wir wo teilen und aufbewahren.
Gefahren der Zukunft
Ransomware wird für die Schweiz eine grosse Bedrohung bleiben, auch wenn sich vieles ändern wird. Wir müssen weiterhin an der Sensibilisierung der Bevölkerung arbeiten.
Ein Gamechanger wird aber die künstliche Intelligenz (KI) sein. Diese erweitert mit neuen Angriffsmöglichkeiten wie Voice Cloning oder Deepfakes die Fähigkeiten der Cyberkriminellen massiv. Die Betrugsdelikte werden mit KI raffinierter und massgeschneiderter. Nur mit Technik allein gibt es keine IT-Sicherheit; die Schweiz benötigt IT-Fachkräfte und hoch spezialisierte Security-Teams. Dazu müssen entsprechende Budgets gesprochen und Schweizer Ausbildungsplätze geschaffen werden. Es ist eine Gemeinschaftsaufgabe.
Text Serdar Günal Rütsche, Chef Cybercrime bei der Kantonspolizei Zürich und Leiter NEDIK
Schreibe einen Kommentar