Cyberkriminelle attackierten vor einer Woche das Computernetzwerk der Firma Stobag in Muri (AG) und legen die Computer lahm. Es ist ein Fall, wie er sich vermehrt ereignet, sagt Max Klaus, stellvertretender Leiter Melani (Melde- und Analysestelle Informationssicherung des Bundes). Die Freiämter Firma habe sich aber vorbildlich verhalten.
SRF News: Ein Fall, wie er sich nun im Freiamt ereignet hat, dass die Produktion einer Firma eine ganze Woche lang stillsteht: Ist das ein Einzelfall oder gibt es das immer wieder?
Max Klaus: Ich gehe davon aus, dass es sich in diesem Fall um einen sogenannten Kryptotrojaner handelt, welcher Daten verschlüsselt. In der letzten Zeit erlebten wir mehrere solche Fälle. Die Kriminellen verschlüsseln die Daten, fordern Lösegeld und bieten an, nach der Zahlung die Daten wieder herzustellen.
Es stellt sich die Frage, wie es dazu kommen kann. Im Fall im Freiamt weiss man es noch nicht. Früher funktionierte es etwa so, dass jemand eine «Dummheit» gemacht und den Anhang in einer unbekannten E-Mail angeklickt hat. Gehen die Kriminellen heute raffinierter vor?
Die Kriminellen gelangen häufig über E-Mails ins System – zum Beispiel mit einem Word-Dokument, das als Spontanbewerbung getarnt ist. Dieses löst einen Prozess aus, welcher die Daten verschlüsselt. Die Angriffe werden immer professioneller.
Das heisst, die Nachrichten sind unter Umständen auch personalisiert. Der Betrug ist gar nicht mehr erkennbar.
Eine Personalisierung sehen wir häufig. Es gibt eine persönliche Anrede und neuerdings informieren sich die Angreifer auch gut über das Unternehmen. Sie nehmen Bezug auf Geschäftsvorgänge, die tatsächlich stattgefunden haben. Das macht die Sache nicht einfacher.
Wie kann man denn einen Angriff überhaupt noch erkennen – wenn man etwa in einer E-Mail von einem Geschäftskunden persönlich angeschrieben wird?
Das ist genau das Problem: Es wird auch für Spezialisten immer schwieriger, solche Angriffe zu erkennen. Im Zweifelsfall hilft nur die Rückfrage beim Absender, ob die Nachricht wirklich von dieser Person stammt.
Wichtig ist auch eine Datensicherung, ein Backup. Im aktuellen Fall in Muri wurden solche Sicherungen gemacht auf Speichern, die zum Teil vom Netz getrennt wurden. Ist das eine gute Idee?
Das ist absolut vorbildlich. Eine Datensicherung sollten alle machen – ob Privatperson, KMU oder Grossunternehmen.
Das ist absolut vorbildlich. Eine Datensicherung sollten alle machen.
Und es ist sehr sinnvoll, diese Sicherung an einem anderen Ort als im Geschäft aufzubewahren – zum Beispiel in einem Banksafe. Eine Datensicherung ausser Haus hilft auch bei Unwetterschäden, Wasser oder Feuer.
Im Zweifelsfall beim Absender einer E-Mail nachfragen und Backups machen sind Verhaltensempfehlungen. Was kann man als Firma sonst noch unternehmen, um sich zu schützen?
Auf gar keinen Fall sollte man das geforderte Lösegeld bezahlen. Es gibt keine Garantie, dass man dann den Schlüssel zur Wiederherstellung der Daten tatsächlich erhält. Und wenn niemand mehr bezahlt, geht dieses Business kaputt und die Angriffe hören von selbst auf.
Aber die Verlockung ist sicher gross, wenn man keine Datensicherung hat, das Lösegeld zu bezahlen.
Wenn man keine Sicherung hat, hat man gar keine andere Wahl, als das Lösegeld zu bezahlen – sofern die Daten wichtig sind und man sie weiterhin braucht. Wir hören immer wieder von Firmen, die bezahlen. Es gibt allerdings keine Statistik, weil keine Meldepflicht besteht. Uns ist nur die Spitze des Eisbergs bekannt.
Das Gespräch führte Mario Gutknecht.