In den letzten Wochen waren in der Schweiz erneut einige grosse Konzerne von Ransomware-Angriffen betroffen. Auch die Schweizer Traditionsfirma Bernina wollten Cyberkriminelle um 1,3 Millionen Franken erpressen. Wie der «Beobachter» berichtet, blamierte jedoch der Nähmaschinenhersteller die Angreifer, indem sich das Unternehmen mittels geschickter Verhandlungen – zumindest – wertvolle Zeit verschaffen konnte. Zunächst wurde über die Lösegeldsumme verhandelt, anschliessend wollte Bernina einen Beweis dafür, dass sich die Hacker tatsächlich im Besitz der Kundendaten befänden. In Verhandlungen sei es dann gelungen, anstelle der 1,3 Millionen nur zehn Dollar im Rahmen einer Testüberweisung an die Cyberbande zu übermitteln. Nicht immer vermag jedoch eine solche «Hinhaltetaktik» Schlimmeres abzuwenden.
Erst kürzlich hat das NCSC seinen Tätigkeitsbericht für das zweite Halbjahr 2022 veröffentlicht (Tec-Bite berichtete). 80 Prozent der Ransomware-Vorfälle treten laut einer Studie von Microsoft oft ein, wenn Firmen nebst vermeintlicher Links und E-Mails ihre Systeme nicht optimal konfigurieren. Ende November musste beispielsweise ein Berner Anbieter von Cloud-Computing-Dienstleistungen seine gesamten Rechenzentren infolge eines Angriffs, herunterfahren, der womöglich von der Gruppe «Play» ausging, welche sich jüngst im Darknet auch zum Angriff auf die CH-Media-Zeitungen bekannte. Im September 2022 war zudem eine Schokoladenfabrik von einem Incident betroffen, wodurch die gesamte Produktion und Logistik lahmgelegt wurden.
Meldungen an das NCSC im zweiten Halbjahr 2022 nach Kategorie. Quelle: NCSC
Qbot auf dem Rückgang
Auch Check Point Research (CPR), die Forschungsabteilung von Check Point, hat vor wenigen Tagen ihren jüngsten Quartalsbericht veröffentlicht. Für die Schweiz vermelden die Sicherheitsforscher gegenüber Vorjahr bei generellen Cyberattacken einen Anstieg von 18 Prozent. (Global stiegen die wöchentlichen Attacken laut den Security-Forensikern um sieben Prozent.) CPR hat nach eigenen Angaben mehrere ausgeklügelte Kampagnen beobachtet. Zu den jüngsten Beispielen zählen etwa ChatGPT zur Code-Generierung (quasi für weniger erfahrene Hacker) und ein Trojaner bzw. eine gefälschte DLL-Datei der 3CXDesktop-App. Dabei handelt es sich um den Desktop-Client für das Voice-over-IP-System (VoIP) von 3CX. Ausgemacht wurde darüber hinaus eine nicht-autorisierte Schwachstelle im Microsoft-Message-Queuing-Dienst (MSMQ). Weiter ist die Rede von «Rorschach», laut Check Point einer der schnellsten Verschlüsselungs-Ransomware, welche die Forensiker je detektiert hätten. Der Banking-Trojaner Qbot belegt trotz eines Rückgangs in der Schweiz weiterhin eine Spitzenposition. Global zelebriert übrigens der Remote Access Trojan «Tesla» seine Pole Position, der es aber in der Schweiz nicht mal ganz auf einen Anteil von 1 Prozent schafft 
Die Top-Malware-Bedrohungen in der Schweiz vom April 2023 gemäss Check Point. Quelle: Check Point
Die Schweiz, eine KMU-Landschaft …
Zwar beschäftigt sich der aktuelle Halbjahresbericht primär mit Bedrohungsszenarien aus KMU. Laut dem Bundesamt für Statistik gilt ein Unternehmen dann als KMU, wenn es nicht mehr als 250 Beschäftigte zählt. In der Schweiz sind das laut dem Bund 99,7 Prozent aller Unternehmen. Daran knüpft auch Florian Schütz, Delegierter des Bundesamtes für Cybersicherheit, im Editorial des Halbjahresberichts an: Das eine KMU gibt es nicht. Es gäbe also auch nicht «die» Cybersicherheit für KMU, so Schütz. Wie bei grossen Unternehmen können daher auch die Rahmenbedingungen zum Schutz vor Cyberangriffen ganz unterschiedlich ausfallen. Die allgemeinen Ratschläge des NCSC sind jedoch immer dieselben: Es sollten klare Vereinbarungen mit externen IT-Dienstleistern getroffen werden. Zudem gehöre Cybersicherheit zum Risikomanagement und müsse in diesem Rahmen von der Geschäftsleitung gesteuert werden. Es empfehle sich insbesondere, die Cybersicherheit als eigenständigen Budgetposten zu behandeln, damit Ressourcen explizit für entsprechende Massnahmen zur Verfügung stehen.
Ähnlich sieht es Mark Stäheli, Co-CEO bei AVANTEC AG: Es sei darüber hinaus wichtig, in die Prävention zu investieren, aber auch im Bereich Detection die nötigen Fähigkeiten zu erlangen, um bei einem Vorfall rasch reagieren zu können. «Bei KMU sind die Möglichkeiten häufig begrenzter», sagt Stäheli. Umso wichtiger sei es, die Prioritäten richtig zu setzen und einen langjährigen und erfahrenen Partner an seiner Seite zu wissen. «Uns wird es nicht treffen, wir sind zu klein, wir sind nicht auf dem Radar» sei eine Haltung, die definitiv falsch und gefährlich sein könne, moniert Stäheli: KMU fehle es oft an Zeit, Geld, Ressourcen und Know-how für eine angemessene IT-Security, weswegen man gegenüber Grossunternehmen noch stärker von externen Anbietern abhängig sein dürfte. Zu den Lösungen und Managed Services, die bei dem Schweizer IT-Security-Integrator seit einiger Zeit stärker nachgefragt werden, zählen beispielsweise sowohl Endpoint Detection and Response (EDR) als auch Managed Detection and Response (MDR), aber auch Security-Service-Edge-Plattformen (SSE) – etwa für weltweit tätige Unternehmen mit mobilen Mitarbeitenden. Generell mehr nachgefragt werden, nebst Privilege Management für grössere Unternehmen, auch Abwehrlösungen gegen Phishing sowie Mail Fraud und Business-Mail-Kompromittierungen.
Der Beitrag Sind KMU weniger sicher als «Grossunternehmen»? erschien zuerst auf Tec-Bite.