Gemessen daran, was es in der Schweiz zu holen gibt, ist das Land hinsichtlich Cyberangriffen besser positioniert, als man manchmal vermuten könnte. Die jüngsten Berichte des Bundesamtes für Cybersicherheit haben etwa gezeigt, dass die Zahl der beim BACS gemeldeten Ransomware-Angriffe in den letzten drei Jahren zwar einer gewissen Schwankung unterliegt, sich für den Moment aber recht stabil um etwa 100 Meldungen jährlich eingependelt hat.
Während das BACS die Zahlen anhand der eingehenden Meldungen von Unternehmen und Privatpersonen dokumentiert, suchen andere im Darknet nach den RansomwareOpfern in der Schweiz. So etwa Manuel Löw-Beer, Geschäftsführer des österreichischen Monitoring-Spezialisten Risikomonitor, der sich auf Domain- und Infrastruktur-Monitoring sowie Darknet-Recherchen spezialisiert hat. Das Unternehmen will das laufende Jahr nutzen, um in der Schweiz Fuss zu fassen – für Risikomonitor eine passende Gelegenheit, die Cybersecurity-Situation im Land mit Blick von aussen zu beleuchten.
Und auch der Darknet-Spezialist kommt zum Schluss: So schlecht schaut’s in der Schweiz bezogen auf Ransomware überraschenderweise gar nicht aus. Seit 2020 wurden laut Löw-Beer gerade einmal 171 Ransomware-Angriffe gegen Schweizer Unternehmen auf den einschlägigen Plattformen der Ransomware-Kriminellen dokumentiert. Tendenziell beobachtet der Anbieter sogar einen Rückgang der Ransomware-Fälle in der Schweiz.
Global gesehen berichtet
Risikomonitor derweil vom Gegenteil: Hier zeigt das Monitoring von Löw-Beer und seinen Kollegen, dass seit 2023 die Zahl Publikationen, die von Ransomware-Fällen ausgehen, im Darknet um beachtliche 377 Prozent gestiegen ist.
Ransomware ist in der Öffentlichkeit zwar meist eines der dominanten Cybersecurity-Themen, aber bei weitem nicht das einzige. Besonders etwas fällt Löw-Beer im Rahmen seiner Darknet-Recherchen nämlich immer wieder auf: Der Schutz der Sekundärinfrastruktur – sprich IoT-Hardware, Remote-Desktops und viele weitere Gerätschaften mit Netzwerkstecker, LTE-SIM-Karten oder WLAN-Zugang – ist in der Schweiz genauso schwach wie bei den Nachbarn.
Im Gespräch ordnet Löw-Beer die Zahlen ein und gibt Hinweise, wie sich das Security-Mindset hierzulande ändern muss, um sicherer zu sein.
«Swiss IT Magazine»: Ihre Zahlen zeigen, dass die Schweiz in Sachen Ransomware recht resilient und mehrheitlich diszipliniert ist. Ist die Situation so viel besser als bei Ihren Landsleuten?
Manuel Löw-Beer: Natürlich gibt es bei unseren Zahlen auch eine relevante Dunkelziffer. Aber ja, die Zahlen sprechen tatsächlich für die Schweiz. Wir Österreicher verschlafen das Thema irgendwie und sagen uns einfach: «schau ma mal, ob was kommt» (lacht).
Haben Sie eine Theorie, warum wir trotz vieler kultureller Parallelen und der geografischen Nähe doch dermassen unterschiedlich aufgestellt sind?Ich denke, die Schweiz nimmt Dinge allgemein ernster, einfach, weil man sicher sein will. Das sieht man ja beispielsweise auch an der starken Armee.
Mit der Sicherung unserer Infrastruktur nehmen wir es hierzulande hingegen aber nicht so genau?Ja, hier nehmen es die Schweizer ähnlich ungenau wie etwa Österreich. Das steht im auffälligen Kontrast zum vergleichsweise guten Ransomware-Schutz.
Worauf stossen Sie da im Rahmen Ihrer Recherchen im Darknet, wenn Sie sich die Schweiz anschauen?Beispielsweise finden wir viele direkte Zugänge zu Webcams und Sicherheitskameras. Das beginnt bei Privathaushalten, die oft sündhaft teures Equipment haben, das aber ungenügend konfiguriert ist. Aber es gibt auch viele noch heiklere Fälle – Krankenhäuser, Kindergärten, kritische Infrastruktur. Die Führung im Iran wurde im Vorfeld des US-Angriffs übrigens ebenfalls über derartige Kameras ausspioniert.
Wie kommt es, dass sich Leute High-end-Überwachungskameras fürs Zuhause oder ihr Unternehmen kaufen und Sie den Livestream dann trotzdem im Darknet finden?
Nicht selten, weil der Elektriker sie falsch installiert hat und sie damit offen im Netz stehen. Die Leute haben schlicht zu viel Vertrauen in ihre Dienstleister.
Sprechen wir also einfach von menschlichem Versagen?
Es gibt hier einen Widerspruch: Diese High-end-Kameras kosten teils 20’000 Franken und wären, wie auch die gängigen Haussteuerungssysteme im Smart-Home-Bereich, grundsätzlich sicher. Aber solche Installationen sind kompliziert, wenn man sie richtig umsetzen will. Statt bei der Installation ebenfalls tiefer in die Tasche zu greifen, heissts dann aber gerne «Pfeif drauf, mach einfach alle Ports auf, dann funktioniert das!» Offenbar will sich trotz der teils hohen Anschaffungskosten niemand die Zeit nehmen, eine aufwändigere Installation in Kauf zu nehmen.
Dass ein solcher Fehler einem Dorfelektriker in einem Privathaushalt unterlaufen kann, ist schlecht, aber nachvollziehbar. Wie zeigt sich die Situation bei Unternehmen?
Auch bei Unternehmen treffen wir unglaubliche Situationen an. Bei einem Kunden haben wir unlängst mehrere Server gefunden, von denen die IT nichts wusste! Ein mittlerweile pensionierter Mitarbeiter hatte diese eingerichtet, weil er ein Problem mit den internen Sicherheitsvorschriften hatte. Mit Zugang zu diesen seit der Pensionierung nicht mehr aufdatierten Servern konnte man sich im ganzen Netzwerk bewegen.
Und was treffen Sie bei Unternehmen sonst oft an?
Zusätzlich zu offenen Kameras und anderen IoT-Geräten finden wir auch auffällig viele Remote-Desktop-Zugänge offen im Netz. Wer diese eingerichtet hat, kann ich natürlich nicht sehen. Aber man muss wohl davon ausgehen, dass oft ein Dienstleister im Spiel war.
Wenn man die IP-Adresse eines Remote Desktops kennt, braucht man aber mindestens noch Login Credentials, um Schaden anzurichten, oder?
Das Grundproblem von Remote Desktop ist, dass die meisten das ohne VPN einsetzen. Damit werden die Login-Daten im Klartext durchs Netz geschickt. Jeder kann da einsteigen, dafür braucht man nicht mal IT-Kenntnisse, die Passwörter sind oft mit den IP-Adressen der Remote-Desktop-Systeme im Darknet zu haben. Wir vermuten, dass die schnellen Massnahmen rund um Home Office während der Pandemie zur überstürzten Einrichtung vieler dieser schlecht gesicherten Remote-Desktop-Setups geführt hat.
Das würde zumindest erklären, warum hier vielerorts gepfuscht wurde. Sie haben vorhin aber auch ungeschützte Sekundärinfrastruktur bei kritischer Infrastruktur angesprochen. Was beobachten Sie hier?
Wir haben unter anderem auch schlecht geschützte Geräte bei Schweizer Windanlagen oder Mülldeponien gefunden.
Das ist selbstverständlich problematisch. Aber in vielen Fällen sprechen wir ja einfach von einer offenen Überwachungskamera. Wenn dort jemand das Bild sieht, kann er zwar herausfinden, wer vor Ort ist, aber ein eklatantes Sicherheitsproblem ist das noch nicht zwingend, oder?
Das kommt massgeblich darauf an, wie die Kamera im Netz integriert ist. Nicht selten reicht dieser Zugang, um sich von dort aus weiter im Netzwerk fortbewegen zu können und erweiterte Privilegien zu bekommen. Ich könnte über eine offene Kamera dort teilweise ohne grossen Aufwand auch auf die Steuerungsanlagen zugreifen. Aus Sicht des Angreifers bin ich mit dem Zugriff auf eine Kamera nicht unglücklich.
…und eine offene Kamera kann darüber hinaus zu einem Datenschutzproblem werden.
Ja, aber in Sachen Datenschutz fällt uns während unserer Recherchen im Darknet ein noch grösseres Problem auf: Mittlerweile gibt es eine grosse Zahl gehackter Notare und Rechtsanwälte. Wir finden da haufenweise Unterlagen, die mit Sicherheit nicht öffentlich sein sollten.
Warum hören wir dazu nicht mehr in den Medien?
Ich weiss nicht, ob das Darknet schlicht noch zu kompliziert ist oder woran es sonst liegen könnte. Aber allem Anschein nach ist die Zahl der Leute, die dort nach Informationen sucht, aktuell noch so klein, dass den Unternehmen die Leaks egal sind. Das ist völlig konträr zum Datenschutzrecht.
Viele Unternehmen ignorieren das Datenschutzproblem bei geklauten Daten also einfach, solange es keinen Ransomware-Vorfall oder Ähnliches gibt?
Ja, deren grösstes Risiko sind die Kosten bei einem Ransomware-Vorfall für Lösegelder oder Consultants. Spannendes Detail dazu: Die Ransomware-Gruppen sind hochprofessionell und wissen, wie teuer die Consultants im Land sind. Die Lösegelder sind in der Regel also 10 Prozent geringer als die Consulting-Kosten und auch noch verhandelbar. Dazu kommt, dass die Gruppen oft wirklich nett und hilfsbereit sind. Man bekommt fürs Lösegeld oft auch Hinweise, wie man seine Security verbessern kann. In den letzten Jahren hat sich Cybercrime erheblich professionalisiert, das ist heute Servicecrime, könnte man sagen.
Noch einmal zu den geleakten Notaren und Rechtsanwälten. Sie finden also viel mehr Daten im Darknet, als in krimineller Kapazität überhaupt verwendet werden?
Ja. Das mag vielleicht einige überraschen, aber Fakt ist: Fast niemand wird gezielt angegriffen. Die Hacker nehmen sich bestimmte Schwachstellen zum Ziel, die automatisiert abgefragt und dann in Angriffswellen verarbeitet werden. Return on Investment ist das Ziel. Einzelne Personen als Ziele lohnen sich wenn überhaupt nur, wenn Reisepässe oder Personalausweise vorliegen und sich der Wiederkauf für Identitätsdiebstahl anbietet.
Also ist die Wirtschaft zum klassischen Argument meines digital verwirrten Onkels übergegangen, der sagt, «ich brauch doch keinen Datenschutz, bei mir gibt’s ja nichts zu holen»?
Ganz genau. Und das sagen die Leute selbst dann noch, wenn sie bereits gehackt wurden! Auch wenn das Argument schlecht ist, stimmt es in den meisten Fällen aber wohl auch, dass mit den Akten eines kleinen Notars kaum was zu holen ist. Die bei Breaches gestohlenen Daten können in der Tat sehr selten weiterverkauft werden. Nur beispielsweise wertvolles geistiges Eigentum oder Reisepässe lassen sich gut verkaufen, hier werden die Lösegelder dann meistens auch bezahlt, um den Verkauf zu verhindern. Was sich im Darknet nach wie vor mit Abstand am besten handeln lässt, sind Zugangsdaten.
Genauso wie mein Onkel – und ein Stück weit auch wir alle – gegenüber Big Tech immer gläserner werden, werden Unternehmen im Darknet immer gläserner…
…und wir wissen nicht, wohin das führt. Die Daten wären beispielsweise sehr hilfreich, wenn man Marktmanipulation und Insider Trading machen wollen würde. Vielleicht passiert das auch schon längst, wer weiss. Allgemein gesprochen stellen wir fest, dass den Leuten und Unternehmen nach wie vor die Awareness fehlt, was solche Datenverluste bedeuten. Das merken wir auch in den seltenen Fällen, in denen wir mal Awareness-Trainings in Firmen machen.
Was fällt dabei besonders auf?
Bei den meisten der Trainings, die durchgeführt werden, geht’s ausschliesslich darum, keine Haftung zu haben und sich abzusichern. Wenn wir entsprechende Genehmigungen bekommen, dringen wir während unserer Trainings manchmal in die Geräte und Accounts der Teilnehmenden ein. Was man da zutage fördern kann, ist erstaunlich und zeigt den Leuten sofort auf, welche Gefahren damit einhergehen.
Haben Sie da eine spannende Anekdote aus der Praxis?
Wenn es so weit geht, dass wir an die Passwörter von Mitarbeitenden kommen, wird das Problem sehr gut sichtbar. Bumble, Badoo, Tinder, Adult Friend Finder – fast jede Dating-Plattform war schon Opfer eines Data Breaches mit oft pikanten Details. Viele denken, dass man sicher ist, wenn man ein Pseudonym nutzt. Aber Menschen halten sich immer an Muster. Ähnliche Usernamen und Pseudonyme, E-Mail- und IP-Adressen – dank KI und Big Data braucht es heute nicht viele Variablen, um valide Rückschlüsse ziehen zu können, wer hinter einem Pseudonym steckt.
Zusammenfassend kann man sagen: Wer seine Infrastruktur schlecht schützt, riskiert Datenverlust oder gar einen Angreifer im Netzwerk. Unter Umständen fliegt einem das sogar erst Jahre später um die Ohren. Was muss in Ihren Augen folglich das Learning sein für die IT-Entscheider in Schweizer Unternehmen?
Ich denke, dass die Leute vor allem ihre Lieferanten im Blick haben sollten. Alle Gründer, Eigentümer und Geschäftsleiter müssen verstehen: Die teuerste Firewall der Welt nützt nichts, wenn der Elektriker ohne Security-Know-how Fehler bei der Installation eines IoT-Gerätes macht. IT-Security darf nicht an der Haustür enden. Das gilt im Übrigen auch für Privatpersonen.
Und wie vermittelt man das?
Die Wahrheit ist leider, dass man die Leute kaum erziehen kann. Dem Problem wirklich Herr werden kann man in meinen Augen nur, wenn die Hersteller mitmachen und ihre Geräte von Werk her absichern. Oder wenn der Staat interveniert und wie in Kanada einzelne Webcam-Modelle verbietet, weil sie unsicher sind. Statt Security by Design haben wir Security by Hope. Und davon müssen wir wegkommen.
Gibt’s neben der Schaffung von mehr Awareness weitere Massnahmen, die Sie Unternehmen empfehlen, um nicht mit schlecht gesicherter Infrastruktur ins offene Messer zu laufen?
Ich würde jedem KMU ein jährliches Security-Audit oder mindestens einen Pentest bei einer Bug-Bounty-Organisation ans Herz legen. Das ist budgetär überschaubar und bringt solide Ergebnisse wie auch Haftungsdiversifikation.
Mit welchen Kosten muss man dabei rechnen?
Für einen kleinen Betrieb sollte ein Audit inklusive Reporting in einem Personentag fertig sein. Wenn man den Stundensatz seines Security-Dienstleisters kennt, ist das schnell ausgerechnet. Und das lohnt sich: Man landet nicht im Darknet, und falls es zu einem Breach kommt, hat man gegenüber seiner Cyberversicherung wenigstens Argumente.
(win)
