Was die Schweizer IT-Bedrohungslandschaft im August geprägt hat

Was waren im vergangenen Monat die grössten IT-Bedrohungen für Schweizer Unternehmen?

Candid Wüest: Die grössten Cyber Bedrohungen in der Schweiz waren auch im August wieder Ransomware und Datendiebstähle. Laut unseren globalen Telemetrie-Daten aus den Cyber Protection Operation Centers (CPOC) war die Schweiz im August auf Rang 42 betreffend der globalen Malware-Erkennungen. 6.5 Prozent der Systeme in der Schweiz hatten mindestens eine Malware Erkennung. Für Ransomware Vorfälle ist es sogar Rang 23 mit 1.8 Prozent Erkennung. Diese Zahlen basieren auf einer Heuristik, welche die Datenverschlüsselung erkennt. Das bedeutet, dass 1 Computer von 55 einen Verschlüsselungstrojaner hatte, welcher durch E-Mail-Filter und Webproxy durchgekommen ist und bereits mit der Verschlüsselung begonnen hatte. Ransomware Attacken extrahieren meistens Daten, bevor diese lokal verschlüsselt werden, was die hohe Anzahl von Datenlecks erklärt. Des Weiteren werden solche Attacken natürlich durch Phishing-E-Mails und Infostealer Schadsoftware begünstigt, welche Zugangsdaten erspähen können.

Candid Wüest, Vice President of Cyber Protection Research von Acronis (Source: zVg)

Wie kann man sich davor am besten schützen?

Die aktuellen Cyberattacken sind relativ ausgeklügelt und benötigen ein mehrstufiges Schutzkonzept, um sich bestmöglich abzusichern. Dies sollte von der Prävention, über Erkennung, bis zur Aufarbeitung von Vorfällen alle Stufen beinhalten. Unternehmen müssen die Angriffsfläche durch zeitnahes Patchen minimieren und exponierte Services limitieren. Eine gute Erkennung durch Künstliche Intelligenz und verhaltensbasierte Analyse ist heute Standard, allerdings braucht es auch eine automatisierte und integrierte Reaktion, um effizient auf die verschiedenen erkannten Attacken zu reagieren.

Welche Lehren können wir aus den Cybervorfällen des vergangenen Monats ziehen?

Die aktuellen Vorfälle bestätigen einmal mehr, dass es jedes Unternehmen treffen kann. Man muss sich also darauf vorbereiten, egal ob KMU oder Grossunternehmen.

Leider zeigt es sich aber auch, dass häufig nicht einmal die grundlegenden Schutzprozesse umgesetzt sind und die Angreifer so leichtes Spiel haben. Die 5 wichtigsten Punkte sind:

• Hardware und Software-Discovery mit Patchmanagement

• Datenbackups, welche regelmässig getestet werden

• Umfassende Endpoint Protection Lösung

• E-Mail-Awareness und Schutzfilter

• Starke Authentifikation, zum Beispiel über 2FA

Dass auch 2FA keinen 100-prozentigen Schutz bietet, zeigen jüngste Phishing-E-Mails, welche MFA ausnutzen sowie die vergangenen Angriffe auf Okta, Twilio, LastPass und andere Anbieter.

Was sollten Schweizer Unternehmen jetzt tun – in Bezug auf die IT-Sicherheit?

Die Cyberattacken, aber auch die IT Infrastrukturen, werden immer komplexer. Ein Wildwuchs an Punktlösungen führt hier nicht zum gewünschten Ziel. Eine Umfrage von Acronis hat gezeigt, dass 22 Prozent der Unternehmen mehr als 10 Sicherheitslösungen parallel einsetzen. Letztes Jahr wurden 42 Prozent aller Systemausfälle durch menschliche Fehler, wie zum Beispiel Falschkonfiguration, verursacht. Cyberattacken waren nur in 36 Prozent der Fälle die Ursache.

Wir empfehlen deshalb, die Lösungen zu konsolidieren, um die Systeme und auch die Automatisierung zu vereinfachen. Dies erhöht die Resilience und spart meistens auch noch Geld.

Es empfiehlt sich auch einen Notfallplan zu erstellen und diesen regelmässig 1:1 durchzuspielen. Nur dann merkt man, ob man die Daten wirklich in nützlicher Frist wiederherstellen kann und ob man eine Backdoor im E-Mail-Server finden würde.

Wie wird sich die Bedrohungslandschaft in den nächsten Monaten wohl entwickeln?

Ransomware Attacken werden uns in der Schweiz auch in den nächsten Monaten weiterhin beschäftigen. Der Fokus liegt allerdings immer mehr auf der Exfiltration von Informationen und weniger auf der Verschlüsselung.

Hierzu kommen Angriffe aus der Cloud auf die Cloud, welche es auf die Daten in den SaaS Applikationen und die API Schnittstellen abgesehen haben. Bösartige E-Mails bleiben nach wie vor sehr beliebt bei den Cyberkriminellen, aber auch SMS, Teams und Slack Chats werden vermehrt als Auslieferungsmedium missbraucht.

Die Angriffe auf Software und Service Unternehmen wie zum Beispiel MSPs werden in Zukunft weiter ansteigen. Über solche vertrauenswürdigen Verbindungen gelangen die Angreifer schnell in eine Vielzahl von möglichen Opferunternehmen. Es ist also weiterhin wichtig, CyberFit zu bleiben.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Was bisher geschah

• Was die Schweizer IT-Bedrohungslandschaft im Juli geprägt hat, lesen Sie hier (eine Einschätzung von Urs Rufer, CEO von Terreactive)

• Was die Schweizer IT-Bedrohungslandschaft im Juni geprägt hat, lesen Sie hier (eine Einschätzung von Alvaro Amato, Country Manager Schweiz bei Check Point Software Technologies.).

• Was die Schweizer IT-Bedrohungslandschaft im Mai geprägt hat, lesen Sie hier (eine Einschätzung von Rainer Schwegler, Manager Territory Switzerland bei Eset).

• Was die Schweizer IT-Bedrohungslandschaft im April geprägt hat, lesen Sie hier (eine Einschätzung von Mathias Fuchs, Head of Investigations & Intelligence, Infoguard).

• Was die Schweizer IT-Bedrohungslandschaft im März geprägt hat, lesen Sie hier (eine Einschätzung von Florian Badertscher, Bug Bounty Switzerland).

• Was die Schweizer IT-Bedrohungslandschaft im Februar geprägt hat, lesen Sie hier (eine Einschätzung von Cornelia Lehle, G Data).

• Was die Schweizer IT-Bedrohungslandschaft im Januar geprägt hat, lesen Sie hier (eine Einschätzung von Daniel Schmutz, Trend Micro).