Meldungen zu Cybervorfällen verdoppelt
Im ersten Halbjahr haben sich die Meldungen zu Cybervorfällen an das Bundesamt für Cybersicherheit (BACS) fast verdoppelt. Diese erfolgen freiwillig und stammen zu 90 Prozent von Privaten, zu 10 Prozent von Firmen. Der Bundesrat will an dieser Freiwilligkeit im Wesentlichen nichts ändern.
Bei zwei Drittel der gemeldeten knapp 35'000 Fälle handelt es sich um Betrügereien, Besonders häufig sind Telefonanrufe, bei denen von einer automatischen Stimme etwa behauptet wird, man sei in ein Strafverfahren verwickelt und habe die Taste 1 zu drücken, woraufhin die Verbindung zu einer Person hergestellt wird, die einen auffordert, eine Fernzugriffs-Software herunterzuladen. Diese ermöglicht es den Betrügern, auf den Computer zuzugreifen und etwa Zahlungen im E-Banking auszulösen. Wie oft diese damit durchkommen, ist nicht bekannt.
Mit Phishing (eine Wortverbindung aus «Fishing» (Fischen) und «Phreaking», einer Form des Hackings, also des Versuchs, an sensible Daten zu kommen) wird mit SMS, E-mails oder auch der menschlichen Stimme versucht, an Informationen zu gelangen. Das können etwa gefälschte Paketbenachrichtigungen oder Rückerstattungs-Emails sein. In allen Fällen wird man, wenn man auf den Link drückt, zu einer getarnten Webseite weitergeleitet, die einen verleiten soll, Bank- oder Kreditkartendaten herauszurücken. Die Behörden liefern sich mit den Betrügern einen Wettlauf um die Deaktivierung dieser Webseiten. Über die Zahl und Höhe der Schäden ist nichts bekannt. Das Bundesamt für Cybersicherheit rät zu Multi-Faktor-Identifizierungen, bei der zwei oder mehr Merkmale angegeben werden müssen, etwa ein zusätzliches Passwort, eine Gesichtserkennung, ein Fingerabdruck oder der Besitz eines weiteren Gerätes, als bestem Schutz vor Phishing-Attacken.
Rückläufig ist die Zahl der Ransomware-Angriffe, bei denen Cyberkriminelle eine Schadsoftware auf den IT-Systemen von Firmen oder Privaten installieren und die Daten verschlüsseln, um ein Lösegeld zu erpressen. Gemeldet wurden im ersten Halbjahr 39 solcher Attacken, wovon 34 sich gegen Firmen richteten. Im Vergleichszeitraum des Vorjahres waren es noch 56 gewesen. Die Dunkelziffer ist unbekannt. Das BACS vermutet, dass eine bessere Sensibilisierung sowie die Einrichtung von nicht angreifbaren Offline-Backups zur Reduktion beigetragen haben könnten. Denkbar sei aber auch, dass die Angriffe sich gezielter gegen sehr vermögende Firmen richteten, um einen möglichst hohen Druck zur Zahlung eines Lösegeldes zu erzeugen. Bei weniger lukrativen Geschädigten könnten die gestohlenen Daten mit dem Verkauf auf Schwarzmärkten zu barem Geld (in der Regel sind es Krypto-Währungen) gemacht werden. Ransomware gilt heute als globale Herausforderung, zumal auch kritische Infrastrukturen wie Krankenhäuser, Stromversorger oder Datenverwaltungen zunehmend in den Fokus der professionell agierenden Angreifer geraten.
Der Bundesrat hat in Beantwortung eines Postulats aus dem Nationalrat einen Bericht zu Massnahmen gegen Ransomware-Angriffe vorgelegt. Es erstaunt, dass darin von einem «Geschäftsmodell» der Cyberkriminellen die Rede ist, die wie in einem Unternehmen verschiedene Spezialisten vereinen, um auch grosse und ausgefeilte Angriffe ausführen zu können. Dabei geht es, wie in einer kriminellen Vereinigung, um Erpressung von Lösegeld unter der Androhung, sensible Geschäftsdaten zu veröffentlichen. Die Lösegelder gehen weltweit in die Milliarden, die verschiedene Ransomware-Kriminelle jährlich abkassieren. Diese gehen dabei zunehmend opportunistisch vor. Sie suchen ihre Opfer nicht gezielt aus, sondern greifen immer dort an, wo sich eine günstige Gelegenheit bietet. Das macht deren Abwehr etwas einfacher. Mit organisatorischen und technischen Massnahmen wie der laufenden Sensibilisierung der Mitarbeitenden, steten Updates, der Blockierung von gefährlichen E-Mail-Anhängen und der konsequenten Umsetzung interner Sicherheitsrichtlinien darf man sich auf der vergleichsweise sicheren Seite fühlen. Zugleich erhöht sich die Gefahr auch für KMU, wenn diese Massnahmen nicht ausreichend beachtet werden. Schon ein winzige Lücke im System, das Öffnen eines Anhangs im E-Mail, kann verheerende Konsequenzen haben. Die Erpresser sind schlau genug, ihre Lösegeldforderung so zu beschränken, dass diese Kosten geringer sind als die Aufräumarbeiten nach einer Veröffentlichung der gestohlenen Daten. Inwieweit das in der Schweiz funktioniert, muss offen bleiben. Denn kein Unternehmen ist verpflichtet, eine Lösegeldzahlung zu melden, genausowenig wie einen Ramsonware-Angriff.
Im Bericht des Bundesrates werden verschiedene Szenarien für eine Verbesserung der Lage geprüft, so etwa eine Meldepflicht bei Lösegeldzahlungen oder gar ein Verbot. Die Regierung spricht sich dagegen aus, weil nicht klar sei, ob diese Massnahmen tatsächlich effektiv seien und es keinen Sinn mache, Firmen in die Illegalität zu drängen, die in eine Notlage geraten seien. Stattdessen will der Bundesrat den Austausch von Informationen verbessern, um Prävention und Reaktion zu stärken. Der Bund könne dabei eine koordinierende Rolle übernehmen.
Urs Fitze
Alle 8,5 Minuten eine Meldung zu einem Cybervorfall
Bericht des Bundesrates zu Massnahmen gegen Ransomware-Angriffe
