Rettet uns der Cyber-Wetterbericht vor Ransomware-Angriffen?

In den letzten Tagen erschien in der SRF Rundschau ein Beitrag über Cyber-Attacken auf Schweizer Unternehmen. Ins Auge gestochen ist mir dabei nicht unbedingt die (hinlänglich bekannte und zugegebenermassen besorgniserregende) Problematik der zunehmenden Angriffe, sondern die Forderungen von SVP-Nationalrat Franz Grüter nach staatlicher Unterstützung und Hilfe.

Das wirkt dann schon etwas ungewollt ironisch: Da haben sich gerade rechtsbürgerliche Politikerinnen und Politiker in den letzten Jahren mit Vorstössen und Gesetzen überboten, welche es dem Staat erlauben, unter Ausnutzung digitaler Schwachstellen Online-Überwachung und -Spionage zu betreiben. Und nun stellt man mit Schrecken fest, dass genau dieselben Schwachstellen auch von anderen Staaten (RUAG) oder Hackergruppen ausgenutzt werden.

Vielleicht wäre es halt doch von Vorteil, wenn man die Experten-Stimmen, welche seit Jahren vor dieser Entwicklung warnen, ernst nehmen und aktiv etwas zur Verbesserung der IT-Sicherheit insgesamt tun würde (sei das durch das Fördern von Bug Bounty-Programmen, durch das aktive Melden von Lücken, durch Druck auf die Anbieter zu deren Behebung, durch internationale Zusammmenarbeit etc usw). Falls dadurch das eine oder andere vom NDB teuer aus Israel eingekaufte Tool seinen Wert verlieren sollte: Tant pis, es geht schliesslich ums Wohl der Wirtschaft (Vorsicht Ironie).

Der zweite interessante Punkt war der Wunsch nach einem staatlich bereitgestellten Cyber-Wetterbericht (ignorieren wir mal, dass ein Cyber-Wetterbericht im Gegensatz zu einem richtigen halt nur rückblickend und nicht vorausschauend und warnend sein kann). Vielleicht erwarte ich ja zuviel, aber bei Franz Grüter als langjährigem CEO von green.ch hätte ich jetzt vorausgesetzt, dass er das Nationale Zentrum für Cybersecurity (NCSC) kennt. Und dieses stellt den gewünschten Wetterbericht in Form eines Wochenrückblicks bereits zur Verfügung.

Diese Rückblicke liefern Woche für Woche Einblicke in die aktuellen Hot Topics in Sachen Cybercrime. Können Unternehmen denn auch auf einfache Weise herausfinden, was sie gegen die typischen Gefahren tun können? Kurz gesagt: ja, das können sie.

Auf derselben Website gibt es gut aufbereitete Informationen für Unternehmen mit weiteren Informationen über die aktuelle Lage, akute Bedrohungen und vor allem einer Liste von Massnahmen welche Unternehmen zum eigenen Schutz unternehmen können. Die vorgeschlagenen vorbeugenden Massnahmen zum Beispiel zum Schutz gegen Ransomware mögen zwar etwas knapp und windows-spezifisch wirken, aber schon die konsequente Umsetzung des ersten Punkts (verbunden mit mehreren, getrennt gespeicherten Backup-Generationen) hätte wohl diverse Opfer von Ransomware-Angriffen vor grösseren Schäden bewahrt.

Die im Interview geäusserte Erwartung an staatliche Unterstützung scheint also bereits erfüllt zu sein. Woran könnte es dann liegen, dass trotz der vorhandenen Informationen die IT-Sicherheit bei vielen Unternehmen noch immer eine (leicht ausnutzbare) Schwachstelle ist?

Simpel gesagt: IT-Sicherheit ist ein Prozess und keine einmalige Aktion.

• Es ist, um bei der Thematik der Backups zu bleiben, nicht damit getan, dem Betreiber der eigenen IT-Infrastruktur “regelmässige Backups” ins Pflichtenheft zu schreiben. Mindestens so wichtig ist es, mit diesem typischen Szenarien (sei es Harddisk-Crash, sei das Hacker-Attacke) zu diskutieren, Abläufe/Prozesse für den Ernstfall festzulegen und diese immer und immer wieder zu üben.
• Eine im Pausenraum aufgehängte IT-Richtlinie ist das Papier nicht wert auf der sie gedruckt wurde, Mitarbeitende müssen regelmässig im Umgang mit Mails und Datenträgern geschult und beübt werden. Weisungen wie “bitte öffnet keine Attachments von unbekannten Absendern” helfen wenig wenn ein Unternehmen geschäftlich oft solche Mails erhält und man die Mitarbeitenden mit der Lösung des Problems alleine lässt. Hinweise wie “nimm keine Überweisungsaufträge von unbekannten Absendern an” laufen ins Leere wenn der CFO sich angewöhnt hat, Mails an die Buchhaltung von seiner Privatadresse zu schicken. Auch wenn eine Umfrage von Cisco als Anbieter von Sicherheitslösungen wohl dazu tendiert, das Problem zu überzeichnen: In der Thematik besteht Handlungsbedarf in der Schweiz.

“Angesichts der zunehmenden Attacken auf Schweizer Organisationen, die zudem immer intensiver und schwerwiegender werden, überrascht das Umfrageergebnis”, kommentiert Stefanov. “Das Unsicherheitsgefühl der Mitarbeitenden und das Umgehen von Sicherheitstechnologien zeigt, dass eine echte Kultur fehlt. Hier besteht – nebst der Aufrüstung von Netzwerken – ein grosser Aufholbedarf.”

https://www.swisscybersecurity.net/cybersecurity/2021-10-13/schweizer-mitarbeitende-kritisieren-die-cybersecurity-ihrer-unternehmen

• Auch wenn SW-Updates Geld und Zeit kosten: Veraltete (d.h. vom Hersteller nicht mehr mit Security-Patches unterstützte) Software hat im produktiven Einsatz nichts zu suchen, auch nicht auf dem alten PC in der Ecke welcher “nur” den grossen, selten genutzten Spezialdrucker ansteuert (aber im Netzwerk eingebunden ist weil man sonst ja nicht direkt vom Arbeitsplatz aus drucken kann). Klar ist man als Unternehmen aufgeschmissen, wenn es für den diesen längst amortisierten Drucker keine aktuelle Software mehr gibt, aber dann kann man ihn zumindest vom Netz abtrennen und Druckaufträge per (nur für diesen Zweck eingesetzten) USB-Stick transportieren.
• Das heisst dann auch, dass vom Hersteller bereitgestellte Patches (vor allem security-relevante) umgehend eingespielt werden sollten (je nach Situation halt auch mal zur Arbeitszeit). Klar trägt jeder Upgrade auch das Risiko eines Ausfalls mit sich (hier sind sowohl die SW-Anbieter wie auch die Outsourcer/Administratoren gefordert), aber lieber einen Ausfall unter kontrollierbaren Bedingungen als ein Ransomware-Angriff. Und eine Not-Lösung zum Weiterführen eines Minimalbetriebs trotz IT-Ausfall hat man als Unternehmen doch sicher (hüstel hüstel).

Kurz gesagt: IT-Sicherheit braucht Aufmerksamkeit auf Geschäftsleitungs-Stufe und kostet Geld (und Nerven). Solange jeder Geschäftsführer und CEO denkt, dass sein Unternehmen zu klein/unbedeutend sei um angegriffen zu werden, wird es an beidem mangeln. Und solange sich niemand drum kümmert, werden die Angriffe und Datenverluste weitergehen und die Schlagzeilen sich weiterhin häufen. Gerade “kommerziell orientierte” Hacker (also Gruppen welche in IT-Systeme eindringen, deren Inhalte verschlüsseln und dann Lösegeld fordern) betreiben ein Massengeschäft, angegriffen wird was sich mit den vorhandenen Werkzeugen angreifen lässt. Um sich da zu schützen, braucht es noch nicht mal eine Hochsicherheits-IT. Es reicht, in den richtigen Teilen ein bisschen besser zu sein als die Werkzeuge der Hacker. Wenn die vorhandenen Informationen und regelmässigen Schlagzeilen nicht in der Lage sind, in Unternehmen ein Umdenken zu bewirken, dann wird es der eingangs angerufene Staat auch nicht können.

PS: Um Kommentaren vorzubeugen: Obiges entstand als Reaktion auf den erwähnten Rundschau-Beitrag, und fokussiert primär auf Problematik des dort erwähnten staatlichen Handlungsbedarfs. Mir ist bewusst, dass grundsätzlich auch die Software-Anbieter und diverse andere Player gefordert sind um die Situation zu verbessern, sei das durch Bug Bounty-Programme, schnellere Reaktion auf gemeldete/erkannte Lücken, einfachere Update-Möglichkeiten und idealerweise Security by Design.