Verweigert der Computer morgens im Büro die Dienste, und die gestern noch bearbeiteten Dateien lassen sich nicht mehr öffnen, kommt ein mulmiges Gefühl auf. Als Erstes werden die Anschlüsse geprüft, danach alles einmal aus- und wieder eingeschaltet. Das mulmige Gefühl macht sich auf den Weg zur Panik. Dann taucht eine Textdatei namens «FILES ENCRYPTED.txt» auf, die sich öffnen lässt und in wenigen Worten mitteilt, dass die Daten gesperrt wurden und man sich an den angegebenen Kontakt wenden solle, um weitere Instruktionen zu erhalten. Jetzt ist sie da, die Panik, und von jetzt an ist alles anders.
Die Firma ist Opfer eines Hackerangriffs geworden. Offiziell traf dieses Schicksal im Jahr 2022 gemäss den Zahlen des Nationalen Zentrums für Cybersicherheit (National Cyber Security Centre, NCSC) rund 34'000 Netzwerke – davon ein Drittel solche von Privatpersonen und zwei Drittel solche von Unternehmen. Inoffiziell dürften es deutlich mehr sein, denn aus Angst vor Reputationsschäden zahlen viele Firmen das geforderte Lösegeld und breiten dann den Mantel des Schweigens über den Angriff. Doch mit jeder Lösegeldzahlung werden die Hacker ermutigt, weitere Angriffe zu starten.
Wer vorbereitet ist spart 80 Prozent der Kosten
In Firmen, die um die Wiederherstellung ihrer Daten kämpfen, wird der IT-Chef ad hoc zur wichtigsten Person. Kleinere Betriebe ohne IT-Verantwortliche wenden sich an ihren externen IT-Dienstleister oder an ihre Cyberversicherung. Wer niemanden zur Hand hat, sucht sich jetzt einen Anbieter, der auf Cyberattacken spezialisiert ist. Die Zeit ist knapp, jede Minute zählt. Im Unternehmen wird ein «War Room» eingerichtet, fortan der zentrale Arbeitsraum für alle, die versuchen, den angerichteten Schaden so gering wie möglich zu halten. Arbeitstage von 16 Stunden und mehr sind keine Seltenheit. Die Systeme müssen sofort getrennt und alles runtergefahren werden, Kundschaft und Mitarbeitende müssen ebenso informiert werden, unter Umständen auch die Polizei und Behörden.
«Unternehmen, die auf den Ernstfall einer Cyberattacke vorbereitet sind, sparen rund 80 Prozent der Kosten bei einem Incident», sagt Tobias Ellenberger, CEO der Oneconsult AG. Sein Unternehmen ist eine Art Feuerwehr bei Cyberangriffen. Für die bestehende Kundschaft gibt es eine 24/7-Hotline, allen anderen wird auch geholfen, aber vielleicht nicht sofort.
Back-ups helfen bei der Wiederherstellung der Syteme nur bedingt
Dann beginnt die Analyse des Angriffs. Was wurde verschlüsselt, was wurde kopiert, wo nahm die Schadsoftware ihren Weg durch die IT, und was hat sie alles angerichtet? Parallel dazu wird versucht, die Systeme wiederherzustellen. Ein Back-up hilft, aber was, wenn der Virus bereits seit längerer Zeit im System war und daher mit einem Back-up erneut aufgespielt würde? «Es ist extrem schwierig, den Zeitpunkt zu ermitteln, wann das System mit der Schadsoftware infiltriert wurde. Das kann Wochen vor dem eigentlichen Incident geschehen sein, und das erschwert natürlich die Wiederherstellung, weil erst auch alle Daten der Backups geprüft werden müssen», erklärt Ellenberger. Der gesamte Prozess könne daher mehrere Wochen dauern.
Im schlimmsten Fall ist die Firma während der gesamten Zeit handlungsunfähig, weil Maschinen und Anlagen nicht mehr gesteuert werden können, keine Aufträge mehr hereinkommen, keine Waren ausgeliefert werden können oder die Pforten des Online-Shops versiegelt sind. Die Schäden können schnell ein existenzgefährdendes Niveau erreichen. Nach Schätzungen der Swiss Re haben sich die weltweiten Angriffe innerhalb des letzten Jahres verdoppelt, und die entstandenen Schäden summieren sich auf über 900 Milliarden Dollar.
«Cyberattacken sind schon länger zu einem Massengeschäft geworden», erklärt Ellenberger. «Es existieren Baukästen für die Verbreitung von Schadsoftware, und sobald irgendwo eine neue Schwachstelle in einer Software entdeckt wird, hagelt es Phishing-Mails», berichtet er. Ob es dann ein KMU mit 20 Mitarbeitenden oder einen Konzern mit 20'000 Beschäftigten trifft, ist den Angreifenden egal. Sie fluten die Welt einfach mit immer authentischeren Phishing-Mails und warten ab, wer darauf reinfällt. Experten und Expertinnen schätzen, dass rund 60 Prozent des weltweiten Mailverkehrs heutzutage betrügerisch sind. Hat dann jemand den fatalen Klick auf den Link oder Anhang einer Phising-Mail getätigt und der Schadsoftware damit den Weg ins IT-System eröffnet, suchen die Angreifenden dort erst einmal in aller Ruhe nach den «Sweet Spots» bei ihren Opfern, also den attraktiven Angriffspunkten, um die angemessene Höhe des Lösegelds zu ermitteln.
Im War Room der Opfer kommen im Idealfall auch Juristinnen und Kommunikationsprofis zusammen, denn die rechtliche Seite einer Attacke hält auch ihre Fallstricke bereit. Sind EU-Bürger oder in der EU ansässige Firmen vom Datenklau betroffen, müssen auch Meldepflichten an Behörden eingehalten werden. Zudem müssen Lieferanten und die Kundinnen und Kunden informiert werden, und das möglichst so, dass die Geschäftsbeziehungen nicht auf ewig gekappt werden. Polizei und NCSC müssen nicht immer, sollten aber hinzugezogen werden.
«Jeder Incident trifft ein Unternehmen anders, es kann daher keine Anleitung geben, die im Detail aufzeigt, was, wann und mit wem zu kommunizieren ist. Wichtig ist aber, dass die langfristige Reputation des Unternehmens für die Kommunikationsmassnahmen richtungsweisend bleibt», erklärt Ivan Jäggi, der als Krisenexperte beim Kommunikationsunternehmen Farner schon viele War Rooms von innen gesehen hat.
Dreifache statt einfache Erpressung
Beschränkten sich Ransomeware-Attacken bis vor einiger Zeit auf die Verschlüsselung und erpresste Wiederfreigabe der Daten, kommen heute immer häufiger drei Stufen der Erpressung zusammen: Die Kriminellen verschlüsseln die Daten nicht nur, sondern kopieren sie auch und fordern dann erst einmal Lösegeld für deren Entschlüsselung. Danach drohen sie damit, die kopierten Daten zu veröffentlichen, und in einer dritten Erpressungsrunde drohen Sie damit, die Daten nach Personen zu analysieren und im Darknet zu verkaufen. Insgesamt ein nach wie vor lukratives Geschäft, auf Seiten der Angreifenden herrscht Hochkonjunktur: Als Ellenberger einmal mit den Absendern einer Ransomeware-Attacke verhandeln wollte, bekam er zur Antwort «Wir haben keine Zeit für euch, wir haben zu viele Opfer.»
Dieser Beitrag ist erstmals erschienen am 2. März 2023 im HZ Insurance Special «Cyber Risk» unter dem Titel «Firmen machen sich zum Opfer».