Zum Inhalt springen

Header

Audio
Angegriffene Aargauer Firma verhielt sich laut Experte vorbildlich
Aus Regionaljournal Aargau Solothurn vom 04.11.2019.
abspielen. Laufzeit 05:09 Minuten.
Inhalt

Erpressung im Netz «Uns ist nur die Spitze des Eisbergs bekannt»

Cyberkriminelle attackierten vor einer Woche das Computernetzwerk der Firma Stobag in Muri (AG) und legen die Computer lahm. Es ist ein Fall, wie er sich vermehrt ereignet, sagt Max Klaus, stellvertretender Leiter Melani (Melde- und Analysestelle Informationssicherung des Bundes). Die Freiämter Firma habe sich aber vorbildlich verhalten.

SRF News: Ein Fall, wie er sich nun im Freiamt ereignet hat, dass die Produktion einer Firma eine ganze Woche lang stillsteht: Ist das ein Einzelfall oder gibt es das immer wieder?

Max Klaus: Ich gehe davon aus, dass es sich in diesem Fall um einen sogenannten Kryptotrojaner handelt, welcher Daten verschlüsselt. In der letzten Zeit erlebten wir mehrere solche Fälle. Die Kriminellen verschlüsseln die Daten, fordern Lösegeld und bieten an, nach der Zahlung die Daten wieder herzustellen.

Es stellt sich die Frage, wie es dazu kommen kann. Im Fall im Freiamt weiss man es noch nicht. Früher funktionierte es etwa so, dass jemand eine «Dummheit» gemacht und den Anhang in einer unbekannten E-Mail angeklickt hat. Gehen die Kriminellen heute raffinierter vor?

Die Kriminellen gelangen häufig über E-Mails ins System – zum Beispiel mit einem Word-Dokument, das als Spontanbewerbung getarnt ist. Dieses löst einen Prozess aus, welcher die Daten verschlüsselt. Die Angriffe werden immer professioneller.

Das heisst, die Nachrichten sind unter Umständen auch personalisiert. Der Betrug ist gar nicht mehr erkennbar.

Eine Personalisierung sehen wir häufig. Es gibt eine persönliche Anrede und neuerdings informieren sich die Angreifer auch gut über das Unternehmen. Sie nehmen Bezug auf Geschäftsvorgänge, die tatsächlich stattgefunden haben. Das macht die Sache nicht einfacher.

Wie kann man denn einen Angriff überhaupt noch erkennen – wenn man etwa in einer E-Mail von einem Geschäftskunden persönlich angeschrieben wird?

Das ist genau das Problem: Es wird auch für Spezialisten immer schwieriger, solche Angriffe zu erkennen. Im Zweifelsfall hilft nur die Rückfrage beim Absender, ob die Nachricht wirklich von dieser Person stammt.

Wichtig ist auch eine Datensicherung, ein Backup. Im aktuellen Fall in Muri wurden solche Sicherungen gemacht auf Speichern, die zum Teil vom Netz getrennt wurden. Ist das eine gute Idee?

Das ist absolut vorbildlich. Eine Datensicherung sollten alle machen – ob Privatperson, KMU oder Grossunternehmen.

Das ist absolut vorbildlich. Eine Datensicherung sollten alle machen.

Und es ist sehr sinnvoll, diese Sicherung an einem anderen Ort als im Geschäft aufzubewahren – zum Beispiel in einem Banksafe. Eine Datensicherung ausser Haus hilft auch bei Unwetterschäden, Wasser oder Feuer.

Im Zweifelsfall beim Absender einer E-Mail nachfragen und Backups machen sind Verhaltensempfehlungen. Was kann man als Firma sonst noch unternehmen, um sich zu schützen?

Auf gar keinen Fall sollte man das geforderte Lösegeld bezahlen. Es gibt keine Garantie, dass man dann den Schlüssel zur Wiederherstellung der Daten tatsächlich erhält. Und wenn niemand mehr bezahlt, geht dieses Business kaputt und die Angriffe hören von selbst auf.

Aber die Verlockung ist sicher gross, wenn man keine Datensicherung hat, das Lösegeld zu bezahlen.

Wenn man keine Sicherung hat, hat man gar keine andere Wahl, als das Lösegeld zu bezahlen – sofern die Daten wichtig sind und man sie weiterhin braucht. Wir hören immer wieder von Firmen, die bezahlen. Es gibt allerdings keine Statistik, weil keine Meldepflicht besteht. Uns ist nur die Spitze des Eisbergs bekannt.

Das Gespräch führte Mario Gutknecht.

Der aktuelle Fall im Freiamt

Vor einer Woche traf der Angriff das Netzwerk des Storen-Hersteller Stobag mit Sitz in Muri, berichtet die «Aargauer Zeitung». Die Firma reagierte schnell und nahm die Computer vom Netz – mit der Folge, dass die modernen Produktionsanlagen ohne Computer ruhten. Immerhin seien keine Daten verloren gegangen, weil Backups erstell worden waren, heisst es bei der Firma auf Anfrage von SRF. Mit der Hilfe holländischer Spezialisten habe man die Daten zurückspielen können. Seit heute Montag läuft die Produktion wieder. Wie die Angreifer ins Netzwerk gelangen konnten und welchen Schaden sie dadurch anrichteten, ist noch unklar. Die Firma hat für solche Fälle eine Versicherung.

Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Push-Mitteilungen aktivieren

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?