Wie schützt Du Dein Unternehmen vor Ransomware?

07.09.2021 von Jocelyne Lüscher

Das Nationale Zentrum für Cybersicherheit (NCSC) hat in den letzten Jahren immer wieder vor Cyberangriffen durch Ransomware gewarnt. Aus gutem Grund: Alleine in der Kalenderwoche 33 gingen 314 Meldungen über Cybervorfälle beim NCSC ein. In einem aktuellen Beitrag berichtet die NCSC, dass trotz den anhaltenden Bemühungen von Behörden und Wirtschaftsverbänden die empfohlenen Massnahmen und «Best-Practices» zum Schutz vor Ransomware nicht flächendeckend umgesetzt werden.

Um was geht es?

Ransomware (auch Verschlüsselungstrojaner genannt) verschlüsseln ganze Unternehmensnetzwerke und die darin enthaltenen Daten. Ziel ist es, dass die Berechtigten nicht mehr darauf zugreifen können. Für die Entschlüsselung oder Freigabe wird anschliessend ein Lösegeld gefordert.

Nachfolgend haben wir den Ablauf eines Ransomware-Angriffs auf verständliche Weise illustriert:

Der Cyberangriff erfolgt in drei Schritten: In einem ersten Schritt sucht sich der Hacker einen Weg, um in das Netzwerk zu gelangen (bsp. via E-Mail). In einem zweiten Schritt versucht der Hacker, sich Zugang zu allen verbundenen Geräte zu verschaffen. Und im letzten Schritt stiehlt der Hacker die Daten, verschlüsselt sie und verlangt anschiessend Lösegeld.

Wie schützt Du Dein Unternehmen vor Ransomware?

Obwohl es sich bei der Einschleusung von Ransomware-Software in der Regel um komplexe Attacken handelt, lassen sich die meisten davon relativ einfach verhindern:

Patch- und Lifecycle-Management: Alle Systeme müssen konsequent und regelmässig mit Sicherheitsaktualisierungen (Updates) versorgt werden. Software oder Systeme, welche vom Hersteller nicht mehr unterstützt werden, müssen abgeschaltet oder in eine separate, abgeschottete Netzzone verlegt werden.
Absicherung von Fernzugängen: Fernzugänge wie VPN, RDP, usw. sowie sämtliche andere Zugänge auf interne Ressourcen (z.B. Webmail, Sharepoint, usw.) müssen zwingend mit einem zweiten Faktor abgesichert werden (sog. Zwei-Faktor-Authentisierung).
Blockierung von gefährlichen E-Mail Anhängen: Blockiere den Empfang von gefährlichen E-Mail-Anhängen auf Deinem E-Mail-Gateway, dazu zählen auch Office-Dokumente mit Makros.¹
Offline-Backups: Erstelle regelmässig Sicherungskopien (Backups) Deiner Daten. Nutze dabei das Generationenprinzip (täglich, wöchentlich, monatlich - mindestens 2 Generationen). Dabei musst Du jeweils sicherstellen, dass Du das Medium, auf welchem Du die die Sicherungskopie erstellst, nach dem Backup-Vorgang vom Computer bzw. Netzwerk physisch trennst und sicher aufbewahrst.

_{¹ Z.B. erstellen Hacker interessant wirkende Office-Dokumente, verstecken in deren Makros ihren Schadcode und setzen darauf, dass ihre Opfer die Dokumente öffnen. Damit wird der Schadcode entweder direkt ausgeführt oder die Ausführung wird manuell erlaubt.}

Was sind die datenschutzrechtlichen Konsequenzen bei ungenügendem Ransomware-Schutz?

Gemäss Art. 8 revDSG musst Du als verantwortliche Person oder als Auftragsdatenbearbeiter geeignete technische und organisatorische Massnahmen implementieren, um die Datensicherheit zu gewährleisten. Deshalb musst Du Dich bspw. vor Ransomware-Attacken schützen.

Technische Massnahmen sind technik- bzw. systembasiert. Organisatorische Massnahmen hingegen beschäftigen sich mit dem menschlichen Faktor. Sie sollen die Wahrscheinlichkeit des menschlichen Versagens minimieren, indem bspw. alle Deine Mitarbeitenden zum Thema Phishing-Mails geschult werden.

Deine Massnahmen müssen sich an den Risiken orientieren, denen die von Deinem Unternehmen bearbeiteten Personendaten ausgesetzt sind. Die Risiken hängen bspw. von der Art der bearbeiteten Daten, der Bearbeitung an sich und dem Zweck der Bearbeitung ab. Zudem musst Du die Auswirkungen einer Datenschutzverletzung für die betroffenen Personen mitberücksichtigen.

Deine Massnahmen müssen die Systemverfügbarkeit und -zuverlässigkeit sowie die Datenintegrität sicherstellen. Sie müssen ausserdem gewährleisten, dass Datensicherheitsverletzungen rasch erkannt werden.

In Deiner Risikoabwägung darfst Du – zumindest gemäss dem Entwurf zur neuen Verordnung zum Datenschutzgesetz - auch die Kosten der Massnahmen berücksichtigen. Ob günstig oder teuer, sie müssen stets dem Stand der Technik entsprechen und sie sollte regelmässig auf ihre Wirksamkeit hin überprüft werden (bspw. mittels Penetration Testing).

Erfüllst Du die Mindestanforderungen an die Datensicherheit nicht, droht Dir – nebst allfälligen Schadenersatzklagen - eine Busse von bis zu CHF 250'000.00 (vgl. Art. 61 revDSG).

Wo kannst Du Dir Hilfe zum Thema Datensicherheit holen?

Das NCSC bietet Dir eine Vielzahl an Hilfestellungen und Merkblättern. Mehr Informationen findest Du auf: https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-unternehmen.html

Für den Online-Bereich wurde 2014 die Swiss Internet Security Alliance ins Leben gerufen. Auf ihrer Webseite findest Du hilfreiche Tipps zum Umgang mit Gefahrenquellen im Internet. Die Plattform informiert Dich ausserdem über kostenlose Prüftools: https://www.ibarry.ch/de/sicherheits-checks/

Künftig soll es für Dich noch einfacher werden, zu erkennen, ob digitale Produkte und Geräte als sicher gelten. Deshalb wurde das Nationale Testinstitut für Cybersicherheit NTC gegründet. Es ist zurzeit noch in der Pilotphase und soll künftig die Rolle einer «Cyber-Empa» einnehmen: https://ntc.swiss/about/