Über Hälfte der Schweizer Firmen zahlt Hackern Lösegeld

In Österreich sorgt eine neue Studie zur Cyber-Sicherheit für Aufsehen. Demnach hat rund jede vierte Firma, die von Cyber-Erpressern attackiert wurde, Lösegeld bezahlt. In einzelnen Fällen ging es um Beträge zwischen 100’000 und 500’000 Euro.

Auch in der Schweiz werden Unternehmen regelmässig Opfer solcher Angriffe. Das Bundesamt für Cybersicherheit (BACS) kann zwar keine belastbaren Zahlen nennen. Klar sei aber: Ransomware gehöre weiterhin zu den grössten Gefahren für Unternehmen.

«Cyberangriffe auf Schweizer Unternehmen finden täglich statt», schreibt das BACS auf Anfrage von Nau.ch. Zu den derzeit aktivsten Gruppen gehöre die Ransomware-Gruppierung Akira, vor der das Bundesamt bereits im vergangenen Oktober gewarnt hatte.

Bei Ransomware-Angriffen verschaffen sich Kriminelle Zugang zu Firmensystemen. Danach verschlüsseln sie Daten und verlangen Geld für deren Freigabe.

Häufig bleibt es aber nicht dabei. Laut dem Genfer Cybersicherheitsunternehmer Steven Meyer arbeiten die Täter meist mit einer doppelten Drohung.

Sie blockieren den Betrieb – und stehlen zusätzlich Daten. Danach drohen sie, diese zu veröffentlichen, zu verkaufen oder gegen das Unternehmen zu verwenden. Für betroffene Firmen kann das existenzbedrohend werden.

Meyer sagt: «Wenn man kein Backup hat und seine Daten nicht wiederherstellen kann, kann man aus dem Geschäft gedrängt werden.» Wer keine funktionierenden Sicherungen habe, könne seinen Betrieb im schlimmsten Fall nicht mehr weiterführen.

Offiziell bekannt wird nur ein Teil der Fälle. Meyer sagt, seine Firma Zendata habe seit Jahresbeginn sechs Organisationen bei Ransomware-Vorfällen unterstützt. Nur einer dieser Fälle sei öffentlich geworden.

In den vergangenen sechs Monaten habe Zendata zudem 40 öffentlich bekannt gewordene Ransomware-Opfer in der Schweiz identifiziert. «Das heisst, wir haben mindestens alle fünf Tage ein Opfer», so Meyer.

Pikant: Nach Meyers Einschätzung zahlen viele Opfer. «Ich würde sagen, dass sich mehr als die Hälfte der Opfer für eine Zahlung entscheidet», sagt er. Eine offizielle Bestätigung dafür gibt es nicht.

Und das, obwohl das BACS davon abrät, Lösegeld zu bezahlen. Denn: «Solche Zahlungen stärken das Geschäftsmodell der Kriminellen und bieten auch keine Garantie, dafür, dass die verschlüsselten Daten wiederhergestellt werden.»

Auch Meyer warnt davor, Zahlungen als sichere Lösung zu sehen. Er berichtet von einem Fall, bei dem ein Unternehmen zahlte, die Täter die Daten danach aber nicht entschlüsseln konnten.

Auffällig ist laut Zendata, dass unter den öffentlich bekannten Schweizer Opfern besonders viele Firmen aus der Bau- und IT-Branche waren.

Von den 40 erfassten Fällen entfielen sieben auf Bau und Konstruktion, fünf auf IT-Dienstleister und drei auf Architektur und Planung. Weitere Fälle betrafen unter anderem Gesundheit, Industrie, Detailhandel und Autobranche.

Das BACS warnt jedoch davor, das Risiko auf einzelne Branchen zu verengen. Cyberkriminelle gingen meist opportunistisch vor. «Gefährdet ist grundsätzlich jede Organisation, die zentrale Schutzmassnahmen vernachlässigt, wie etwa das konsequente Aktualisieren ihrer Systeme», so der Sprecher.

Trotzdem sieht auch der Schweizerische Baumeisterverband SBV für seine Branche besondere Risiken. Die Baubranche sei wegen ihrer eng verflochtenen Lieferketten und des umfangreichen digitalen Datenaustauschs «tatsächlich ein attraktives Ziel für Cyberangriffe».

Auf Baustellen und in Projekten werden heute grosse Mengen an Daten ausgetauscht: Pläne, Verträge oder digitale Gebäudemodelle.

Viele Firmen, Planungsbüros, Generalunternehmen und Subunternehmen greifen auf gemeinsame Informationen zu, erklärt Sprecherin Jacqueline Theiler. Das schafft Angriffsflächen.

Der SBV selbst könne keine IT-Systeme einzelner Betriebe schützen, so Theiler. Die Verantwortung liege bei den Unternehmen und spezialisierten IT-Dienstleistern. Der Verband setze aber auf Sensibilisierung, Checklisten und Schulungen.

Die Täter nutzen laut BACS häufig einfache Schwachstellen. Besonders verbreitet seien nicht aktualisierte Systeme und Fernzugriffe wie VPN oder Remote Desktop, die nicht mit Zwei-Faktor-Authentifizierung geschützt seien.

Auch Warnmeldungen von Sicherheitsprogrammen würden auf kritischen Systemen immer wieder ignoriert, so Der Sprecher.

Betroffene Firmen sollten laut BACS sofort die zuständige Kantonspolizei kontaktieren und Anzeige erstatten. Noch wichtiger sei aber die Vorbereitung. Dazu gehören Updates, geschützte Zugänge, funktionierende Backups und ein Notfallkonzept.