Was die Schweizer IT-Bedrohungslandschaft im April geprägt hat

Cybersecurity

Nur wer weiss, welche Gefahren lauern, kann diesen effektiv entgegentreten. Der monatliche Bedrohungsradar von SwissCybersecurity.net zeigt, wovor man sich hüten sollte. Was im April die Schweizer Bedrohungslandschaft prägte, sagt Mathias Fuchs, Head of Investigations & Intelligence bei Infoguard.

(Source: Skill Up / Fotolia.com)

Was waren im vergangenen Monat die grössten IT-Bedrohungen für Schweizer Unternehmen?

Mathias Fuchs: Wir haben beobachtet, dass die Anzahl der Ransomware-Angriffe zurückgeht. Gleichzeitig häufen sich die Anzeichen für Industriespionage.

Wie kann man sich davor am besten schützen?

Je früher man einen Angriff erkennt, desto geringer ist der Schaden. Sich vor einer erfolgreichen Kompromittierung einzelner Systeme zu schützen, ist sehr schwierig; wohl aber kann ein Vorfall zeitnah entdeckt werden. In diesem Fall stehen die Chancen gut, mit einem blauen Auge davonzukommen. Zudem sehen wir jüngst zwei Dinge: Ersten patchen Unternehmen kritische Lücken zu langsam, speziell bei im Internet verfügbaren Services, was Angreifer anlockt. Zweitens sind Unternehmen trotz Patching verheerenden Angriffen ausgesetzt. Der Grund: Vor dem Patchen wurde nicht geprüft, ob die Sicherheitslücke bereits ausgenutzt wurde. Angreifer sind häufig sehr beschäftigt und schreiten oft erst später zur Tat.

Mathias Fuchs, Head of Investigations & Intelligence bei Infoguard. (Source: zVg)

Welche Lehren können wir aus den Cybervorfällen des vergangenen Monats ziehen?

Industriespionage ist schwerer zu erkennen und zu bekämpfen, als das bei klassischen Ransomware-Angriffen der Fall ist. Das macht auch die Evaluation eines geeigneten Partners schwierig, der das Unternehmen nach einem Angriff unterstützt. Bei Industriespionage sprechen wir von APTs, also Advanced Persistent Threats. Advanced zeichnet sich durch bessere Werkzeuge, ein massvolleres Vorgehen und ein grundsätzlich besseres System sowie Architekturverständnis aus. Persistent heisst, dass viel Wert darauf gelegt wird, die komplette Entfernung des Angreifers aus dem Netz zu erschweren. Da Unternehmen von derartigen Angriffen oft nie etwas mitbekommen, kann die Bedrohungslage durch APTs aufgrund des Abflusses vertraulicher Informationen gross sein. Incident Response Teams, die bisher hauptsächlich mit Ransomware-Fällen beschäftigt waren, können hier oft keine komplette Bereinigung sicherstellen.

Was sollten Schweizer Unternehmen jetzt für die IT-Sicherheit tun?

Ersteinbrüche können kaum vermieden werden, wenn IT-Systeme noch nutzbar betrieben werden sollen. Also muss die Angriffskette so früh wie möglich unterbrochen werden. Bei Entdeckung des Angriffs sollten allerdings die Spuren nicht entfernt werden. Zuerst gilt es, den Angriff zu verstehen, um ihn dann gezielt und nachhaltig zu bereinigen. Ebenso ist das Patchen kritischer Lücken extrem wichtig. Da die Lücke aber trotz unmittelbarem Patching bereits ausgenutzt worden sein kann, sollten verwundbare Systeme genau überprüft werden. Hierbei können sich Erkenntnisse über potenzielle Angriffsarten aber noch Monate nach Entdeckung der Schwachstelle verändern. Ein einmaliger Check reicht also mitunter nicht aus.

Wie wird sich die Bedrohungslandschaft in den nächsten Monaten wohl entwickeln?

Vermutlich werden neue, jedoch wie bislang ähnliche Ransomware-Gruppen auftreten. Allerdings wurde der Ton bei Verhandlungen rauer. Die Verhandlungsbereitschaft ist zurückgegangen und die Angreifer kennen die "Verhandlungsstory". Gleichzeitig sinken aber auch die Forderungen. Der Post-Encryption-Prozess scheint sich also immer mehr zu professionalisieren. Einen Anstieg erwarten wir auch in der Industriespionage durch staatliche und kriminelle Akteure – nicht, weil mehr spioniert wird, sondern weil Unternehmen besser aufpassen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.