Ransomware: Bedrohungslage in der Schweiz, Bekannte Angriffe und Verteidigungsstrategien

In den letzten Jahren hat sich Ransomware zu einer der bedeutendsten Bedrohungen für Unternehmen weltweit entwickelt, und die Schweiz bildet dabei keine Ausnahme. Cyberkriminelle nutzen diese Art von Malware, um Systeme zu verschlüsseln und anschließend Lösegeld für die Freigabe zu verlangen. Besonders alarmierend ist die Tatsache, dass sowohl kleine als auch große Unternehmen Opfer solcher Angriffe werden können. Ransomware ist nicht mehr nur ein Problem für Konzerne, sondern trifft vermehrt auch KMUs, die über weniger ausgereifte Sicherheitsinfrastrukturen verfügen. In diesem Blog-Beitrag wird untersucht, wie sich Ransomware-Angriffe in der Schweiz entwickelt haben, wer die Täter sind, welche Ziele sie verfolgen und wie Unternehmen sich schützen können.

Ransomware-Angriffe in der Schweiz

Die Schweiz war in den letzten Jahren zunehmend Ziel von Ransomware-Angriffen. Diese Angriffe werden häufig durch internationale Hackergruppen verübt, die gut organisierte und ausgeklügelte Methoden einsetzen. Schweizer Unternehmen, Krankenhäuser, Schulen und sogar staatliche Einrichtungen wurden bereits Opfer solcher Angriffe. In vielen Fällen ging es den Angreifern nicht nur darum, Lösegeld zu erpressen, sondern auch sensible Daten zu stehlen, die sie für weitere Erpressungen nutzen konnten. Ein entscheidender Faktor bei der Wahl der Ziele ist die Verwundbarkeit der IT-Infrastruktur. Organisationen mit veralteten oder schlecht konfigurierten Sicherheitslösungen sind besonders gefährdet.

Arten von Ransomware und ihre Funktionsweise

Ransomware lässt sich grob in zwei Kategorien unterteilen: Verschlüsselungs-Ransomware und Lösch-Ransomware. Bei der Verschlüsselungs-Ransomware handelt es sich um die gängigste Art. Hierbei wird der Zugang zu den Dateien des Opfers gesperrt, indem diese verschlüsselt werden. Die Hacker fordern dann ein Lösegeld, häufig in Kryptowährungen wie Bitcoin, um den Entschlüsselungsschlüssel bereitzustellen. Bekannte Beispiele für solche Ransomware sind WannaCry, REvil und Maze.

Lösch-Ransomware ist eine weitere Variante, bei der Daten nach einer bestimmten Zeit oder nach einer versuchten Wiederherstellung unwiderruflich gelöscht werden. Dies erhöht den Druck auf die Opfer, schnell zu handeln und das geforderte Lösegeld zu zahlen.

Ein neuer Trend, der sich abzeichnet, ist die Doppelte Erpressung. Hierbei stehlen die Angreifer zuerst die Daten und drohen, sie zu veröffentlichen oder weiterzuverkaufen, wenn das Opfer nicht zahlt. Selbst wenn das Unternehmen über Backups verfügt und den Datenverlust selbst abwenden kann, bleibt die Drohung einer Veröffentlichung sensibler Daten bestehen.

Bekannte Ransomware-Fälle in der Schweiz

1. Stadler Rail (2020)

Im Jahr 2020 wurde der Schweizer Zughersteller Stadler Rail Opfer eines Ransomware-Angriffs. Die Hacker drohten damit, sensible Unternehmensdaten zu veröffentlichen, sollte Stadler das geforderte Lösegeld nicht zahlen. Das Unternehmen bestätigte den Angriff, lehnte es jedoch ab, öffentlich bekannt zu geben, ob es ein Lösegeld gezahlt hat oder nicht. Es dauerte Wochen, bis die Systeme wiederhergestellt wurden, und die genauen finanziellen Auswirkungen des Angriffs wurden nicht veröffentlicht, doch es wird vermutet, dass der Schaden Millionen von Franken betrug.

2. SPIE Switzerland Ltd. (2021)

Im Jahr 2021 wurde die Schweizer Niederlassung der SPIE-Gruppe, einem großen internationalen Anbieter von technischen Dienstleistungen, Opfer eines REvil-Ransomware-Angriffs. Es wurde eine Lösegeldforderung von über 1,5 Millionen US-Dollar gestellt. Während der Angriff andauerte, war das Unternehmen gezwungen, seine IT-Systeme herunterzufahren und große Teile des Geschäftsbetriebs einzustellen.

3. Universität Basel (2021)

Die Universität Basel wurde ebenfalls Opfer eines Ransomware-Angriffs. Dieser Angriff betraf Forschungsergebnisse und sensible Informationen von Studierenden und Mitarbeitenden. Der Vorfall unterstreicht die wachsende Bedrohung für den Bildungssektor und die Herausforderungen, denen sich Hochschulen in Bezug auf Cybersicherheit gegenübersehen.

4. Netzwerk von Schweizer Städten (2022)

2022 wurden mehrere Schweizer Städte und Gemeinden Ziel von Ransomware-Angriffen. Die Angreifer nutzten Schwachstellen in den IT-Systemen, um kritische Daten zu verschlüsseln. In einigen Fällen führte dies zu einem zeitweiligen Ausfall von Verwaltungsdiensten, was sowohl bei den betroffenen Bürgern als auch den Behörden zu erheblichem Unmut führte.

5. Rechenzentrum Swiss Cloud (2021)

Ein besonders schwerwiegender Angriff ereignete sich 2021 auf das Schweizer Rechenzentrum Swiss Cloud. Der Angriff führte dazu, dass viele der dort gehosteten Unternehmen und Dienstleistungen betroffen waren. Der Ausfall zog sich über Tage hin, und es dauerte lange, bis die vollständige Funktionalität wiederhergestellt werden konnte.

Angriffswege und Kosten

Die Angriffswege bei Ransomware-Attacken sind vielfältig. Meistens nutzen die Angreifer Phishing-E-Mails, um sich Zugang zu den IT-Systemen zu verschaffen. Auch das Ausnutzen von ungepatchten Schwachstellen in Software oder Systemen ist eine gängige Methode. In vielen Fällen erfolgt der Zugang über unsichere Fernwartungslösungen, wie beispielsweise schlecht geschützte RDP-Zugänge (Remote Desktop Protocol).

Die Kosten eines Ransomware-Angriffs sind schwer zu beziffern, da sie nicht nur das Lösegeld betreffen. Neben direkten Lösegeldforderungen können Unternehmen durch Produktionsausfälle, den Verlust von Daten und die Wiederherstellung der Systeme immense finanzielle Verluste erleiden. Beispielsweise wurde geschätzt, dass der Angriff auf Swiss Cloud zu einem Gesamtschaden im zweistelligen Millionenbereich geführt hat, auch wenn das genaue Lösegeld nicht veröffentlicht wurde.

Empfehlungen der Behörden in der Schweiz und Deutschland

Sowohl in der Schweiz als auch in Deutschland haben die zuständigen Behörden Empfehlungen für den Umgang mit Ransomware entwickelt.

In der Schweiz ist das Nationales Zentrum für Cybersicherheit (NCSC) die zentrale Anlaufstelle für Cybersicherheitsvorfälle. Das NCSC empfiehlt Unternehmen, regelmäßige Backups durchzuführen, ihre Systeme kontinuierlich zu aktualisieren und sicherzustellen, dass kritische Schwachstellen zeitnah gepatcht werden. Zudem sollten Unternehmen in Schulungen investieren, um ihre Mitarbeiter für die Gefahren von Phishing-Angriffen zu sensibilisieren. Falls ein Ransomware-Angriff erfolgt, rät das NCSC davon ab, das Lösegeld zu zahlen, da dies die Täter nur weiter motiviert.

In Deutschland gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) ähnliche Empfehlungen heraus. Das BSI betont die Wichtigkeit von präventiven Maßnahmen wie der Zwei-Faktor-Authentifizierung, der Verschlüsselung kritischer Daten und der Umsetzung von Incident-Response-Plänen. Im Fall eines Angriffs sollten Unternehmen sofort die zuständigen Behörden informieren und die Systeme vom Netzwerk trennen.

Können die Behörden helfen?

Obwohl die Behörden in der Lage sind, Unternehmen bei einem Ransomware-Angriff zu unterstützen, ist ihre Rolle oft auf beratende Funktionen und die Ermittlung der Angreifer begrenzt. In den meisten Fällen können die Behörden den verschlüsselten Daten nicht direkt helfen, da die Entschlüsselung nur mit dem Schlüssel der Angreifer möglich ist. Sie können jedoch mit forensischen Analysen dazu beitragen, den Angriff aufzudecken und zukünftige Angriffe zu verhindern. Auch bei der Kommunikation mit den Angreifern raten die Behörden davon ab, Lösegeld zu zahlen, da dies das Risiko für weitere Angriffe erhöht.

Die Entwicklung von Ransomware und neue Trends

In den letzten Jahren hat sich Ransomware stark weiterentwickelt. Besonders die zuvor erwähnte “Doppelte Erpressung” ist ein Trend, der sich zunehmend etabliert hat. Darüber hinaus setzen Hackergruppen vermehrt auf RaaS (Ransomware as a Service). Dabei handelt es sich um ein Modell, bei dem Ransomware von weniger erfahrenen Hackern gemietet werden kann, um Angriffe durchzuführen, wobei ein Teil des Lösegelds an die Entwickler geht. Diese Professionalisierung des kriminellen Geschäftsmodells macht es für immer mehr Gruppen möglich, groß angelegte Ransomware-Angriffe durchzuführen.

Ein weiterer Trend ist der Einsatz von automatisierten Angriffen, bei denen Bots und Malware eingesetzt werden, um gezielt nach Schwachstellen zu suchen und diese zu nutzen. Dies verkürzt die Zeit, die für die Durchführung eines Angriffs benötigt wird, erheblich.

Die besten Verteidigungsmaßnahmen

Die beste Verteidigung gegen Ransomware beginnt mit Prävention. Regelmäßige Penetrationstests und Red-Teaming-Übungen sind dabei entscheidend, um Schwachstellen in der IT-Infrastruktur zu identifizieren, bevor Angreifer dies tun. Diese Tests simulieren echte Angriffe und helfen dabei, Sicherheitslücken aufzudecken, die oft unentdeckt bleiben. Zudem sollten Unternehmen in moderne EDR-Lösungen (Endpoint Detection and Response) investieren, um verdächtige Aktivitäten auf Endgeräten frühzeitig zu erkennen.

Ein effektives Backup-Management ist ebenfalls unerlässlich. Backups sollten regelmäßig und sicher durchgeführt werden, idealerweise in einem Offline-System, das für Angreifer nicht zugänglich ist. Im Ernstfall können so Daten schnell wiederhergestellt werden, ohne dass auf die Forderungen der Angreifer eingegangen werden muss.

Fazit

Ransomware bleibt eine erhebliche Bedrohung für Unternehmen jeder Größe, auch in der Schweiz. Die Angriffe sind in den letzten Jahren immer ausgefeilter und zerstörerischer geworden. Präventive Maßnahmen wie Penetrationstests, regelmäßige Backups und die Schulung von Mitarbeitern sind unerlässlich, um Unternehmen vor den enormen finanziellen und reputationsschädigenden Folgen eines Angriffs zu schützen. Auch wenn die Behörden in der Schweiz und in Deutschland unterstützend tätig werden können, liegt die Hauptverantwortung bei den Unternehmen selbst, ihre Sicherheitsinfrastruktur kontinuierlich zu verbessern.