Beobachter: Wie wählen sogenannte Ransomware-Erpresser ihre Opfer aus?
Max Klaus: Die meisten Angriffe laufen nach dem Giesskannenprinzip, indem Erpresser Hunderttausende Mails mit einer Schadsoftware im Anhang verschicken. Solche Adressdatenbanken werden im Darknet zum Kauf angeboten. Es steckt also meist kein zielgerichteter Angriff auf ein bestimmtes Unternehmen dahinter.


Wie legen die Erpresser die Höhe des Lösegelds fest?
Sie schätzen das Potenzial eines Unternehmens aufgrund von Grösse, Branche und Umsatz ein. Die in der Schweiz oft im Internet zugänglichen Jahresberichte der Unternehmen sind hier hilfreich. Von kleineren Firmen werden dann einige Tausend Franken in einer Kryptowährung verlangt, bei grossen kann es in die Millionen gehen.


Sie raten grundsätzlich von solchen Lösegeldzahlungen ab. Die Veröffentlichung von Firmendaten kann aber doch viel schwerwiegendere Folgen haben?
Uns ist ein Vorfall bekannt, bei dem ein Unternehmen rund 25’000 zusätzliche Arbeitsstunden einsetzen musste, um die IT wieder aufzubauen. Es ist verständlich, dass da Firmen Kosten-Nutzen-Rechnungen anstellen und erwägen, das geforderte Lösegeld zu bezahlen. Als Behörde aber wollen wir das Geschäftsmodell von Erpressern nicht noch fördern. Und mit jedem Bezahlen von Lösegeld passiert genau das. Wenn aber ein Unternehmen entgegen unserer Empfehlung bezahlt, dann akzeptieren wir das.

«Es fehlt oft am Bewusstsein, dass jedes Unternehmen Ziel eines Angriffs werden kann.»

Max Klaus, Nationales Zentrum für Cybersicherheit (NCSC)

Sinkt die Bereitschaft, in eine sichere IT zu investieren, wenn mittlerweile Versicherungen solche Lösegeldzahlungen abdecken? 
Das Risiko besteht natürlich. Vor allem wenn der Versicherungsschutz nicht von Mindeststandards bei der IT-Sicherheit abhängt. Wir weisen immer darauf hin, dass der Abschluss einer Cyberversicherung nicht zu einer Kürzung des IT-Budgets führen darf.


Verlangen Versicherungen das Einhalten solcher Mindeststandards?
Es gibt offenbar Versicherungen, die das ernster nehmen als andere. Die führen vor dem Abschluss einer Police Audits bei den interessierten Unternehmen durch.


Was sollten Firmen mindestens einhalten, um einigermassen geschützt zu sein?
Das regelmässige Anlegen von Offline-Backups gehört dazu, damit diese Daten bei einem Angriff nicht gleich mit verschlüsselt werden. Betriebssysteme und andere Software müssen aktuell gehalten werden, und der Zugang zum Firmennetzwerk sollte nur über eine Zwei-Faktor-Authentifizierung möglich sein. Das ist beispielsweise beim E-Banking in der Schweiz schon lange der Fall. 


Das tönt nicht wahnsinnig kompliziert. Was läuft in der Praxis schief?
Es fehlt oft am Bewusstsein, dass jedes Unternehmen Ziel eines Angriffs werden kann, auch ein KMU. Und ein grösseres Unternehmen verfügt natürlich eher über eine professionalisierte IT als eine kleine Schreinerei mit fünf Angestellten.

Buchtipp
IT-Sicherheit für KMU
IT-Sicherheit für KMU

In den USA ist das Gesundheitswesen mit seinen besonders heiklen Daten zum häufigsten Ziel von Hackern geworden. Sind wir da besser aufgestellt? 
Wahrscheinlich besser als auch schon. Gerade in Spitälern gab es nach unserer Einschätzung wesentliche Fortschritte. Es gibt aber auch spezifische Probleme. So dürfen medizinische Geräte meist nur in einer vom Hersteller gelieferten Konfiguration eingesetzt werden. Es kann also vorkommen, dass ein Computertomograf noch auf einem alten Windows-System läuft, die Informatiker im Spital aber keine neuere Software aufspielen dürfen, weil der Hersteller dann ein korrektes Funktionieren nicht mehr garantiert. Es gibt hier also eine starke Abhängigkeit von Drittfirmen, die zum Sicherheitsproblem werden kann. 


Nicht bei jedem Erpressungsversuch haben die Täter tatsächlich etwas in der Hand. Die Mails, in denen jemand behauptet, er habe die Kontrolle über einen Computer übernommen und verfüge über belastende Fotos und Videos des Opfers, sind ja wohl meistens Bluff. 
Ja, zum Teil mit tragischen Folgen. Die Täter verfügen zwar über gewisse persönliche Daten, wie zum Beispiel ein vom Opfer schon benutztes Passwort und andere Informationen, die aus einem Datenleck stammen und im Darknet in grossen Mengen verkauft werden. Das kann eine erpresste Person natürlich verunsichern. Sie glaubt, der Täter verfüge tatsächlich über kompromittierendes Material, das er veröffentlichen könnte. Erst kürzlich hatten wir den Fall eines Rentners, der dreimal Geld an den Täter überwiesen hat, insgesamt über 10'000 Franken in Bitcoins. Erst nach einer vierten Forderung meldete er sich bei uns. 


Was raten Sie?
Die Mail ignorieren und den Vorfall bei uns auf ncsc.ch kurz melden. Das gibt uns Hinweise, wann wieder eine Welle mit Erpresser-Mails losbricht, und wir können die Öffentlichkeit davor warnen. 

Zur Person

Max Klaus ist stellvertretender Leiter der Abteilung operative Cybersicherheit des Nationalen Zentrums für Cybersicherheit (NCSC).

Die besten Artikel – Woche für Woche
«Die besten Artikel – Woche für Woche»
Peter Johannes Meier, Ressortleiter
Der Beobachter Newsletter